Compute Engine GCP – bezpieczeństwo instancji

[rzepson]

Cześć!

 

Zamierzam postawić sobie sklep internetowy w google cloud na instancji compute engine. Do wyboru są tam różne obrazy, zamierzałem celować w ubuntu lub jakąś gotową prekonfigurowaną paczkę typu Open Lite Speed Server etc.

 

Kwestia która mnie nurtuje to bezpieczeństwo tej maszyny.

 

1. Na forach znalazłem masę informacji jak zabezpieczać serwery VPS (fail2ban, iptables, clamav, rkhunter etc.) – Ale czy Compute engine to to samo co VPS?

2. Czy faktycznie takie instancje są często atakowane? Jak porządnie się zabezpieczyć przed atakiem?

 

 

[chivito]

1. Tak

 

2. Jak wszystkie inne zasoby które mają publiczny adres IP.

Jeśli chodzi o podstawowe zabezpieczenie to sugerowałbym wstępnie uniemożliwienie logowania jako root + zmianę ustawień ssh (wymuszone logowanie nie hasłem a kluczem).

Osobiście sądzę że fail2ban jest do niczego, a iptables niekoniecznie, jeśli będzie to GCP bo tam są software'owe firewalle; co do reszty wymienionych nie znam za bardzo więc nie mam zdania

 

Ale poza tym pozwól że spytam, jeśli dobrze zrozumiałem, chcesz stawiać sklep na jednym serwerze?

Po pierwsze, jeśli tak, to raczej zmieniłbym dostawcę*, a po drugie, potencjalnie zatrudnił admina (np. na tym forum, bo AFAIK nie brak adminów do wynajęcia;) - chyba że ten sklep to do nauki ma być (osobiście bałbym się kupować cokolwiek u kogoś kto nie wie jak zabezpieczyć swój serwer)

 

*Skąd to Google? Czyżbyś miał w cholerę darmowych kredytów do przepalenia? GCP ma swoje zastosowania** , ale wydaje mi się, że na to co piszesz jest on po prostu za drogi... Poczytaj/spytaj na forum może? Nie znając absolutnie planów co do sklepu, na początek całkowicie w ciemno naganiałbym na jakiegoś skromnego Hetznera [Cloud]

 

**np. GKE czy konfiguracje o wysokiej dostępności tj. kilka serwerów w wielu lokalizacjach geograficznych za równoważnikiem obciążenia (???=load balancerem, czy to jest dobre tłumaczenie _-_"?)

Edytowane 11 Maja 2021 przez chivito

[psz]

Tak, Compute Engine to VPS i jak każdy VPS, są regularnie "atakowane" przez m.in. SSH. Z reguły są to głupie boty próbujące różnych często stosowanych haseł, ale czasem zdarzają się ataki na dziury bezpieczeństwa, które nie są w porę załatane (nie każdy instaluje aktualizacje na czas).

 

Polecam wykonać następujące:

- na firewallu (w konsoli Google Cloud lub na samym VPS) otwórz wyłącznie porty, które są Ci niezbędne, a więc przychodzące 80 (tylko w celu przekierowania HTTP->HTTPS) i 443. Nie otwieraj innych portów przychodzących, chyba że potrzebujesz jakiejś usługi dostępnej publicznie (z Internetu)

- nie otwieraj portu 22 (SSH), zamiast tego łącz się do maszyny poprzez konsolę Google Cloud (jest tam SSH przez przeglądarkę), lub skonfiguruj Cloudflare Access (darmowe)

- zainstaluj i włącz pakiet unattended-upgrades, który będzie automatycznie instalował poprawki bezpieczeństwa

- jeśli chcesz pozostawić port 22 dostępny publicznie, ustaw logowanie poprzez klucze SSH i wyłącz logowanie hasłem

- ustaw backup: tradycyjny (np. restic+B2) albo bardzo prosty (np. regularne robienie snapshotów w konsoli Google Cloud).

- co jakiś czas ręcznie instaluj pozostałe aktualizacje (unattended-upgrades domyślnie tego nie robi, ale można to skonfigurować)

- instaluj aktualizacje oprogramowania/wtyczek swojego sklepu internetowego

 

Powyższe powinny zapewnić Ci spokojny sen.

Edytowane 11 Maja 2021 przez psz

[rzepson]

48 minut temu, chivito napisał:

Ale poza tym pozwól że spytam, jeśli dobrze zrozumiałem, chcesz stawiać sklep na jednym serwerze?

Po pierwsze, jeśli tak, to raczej zmieniłbym dostawcę*, a po drugie, potencjalnie zatrudnił admina (np. na tym forum, bo AFAIK nie brak adminów do wynajęcia;) - chyba że ten sklep to do nauki ma być (osobiście bałbym się kupować cokolwiek u kogoś kto nie wie jak zabezpieczyć swój serwer)

 

*Skąd to Google? Czyżbyś miał w cholerę darmowych kredytów do przepalenia? GCP ma swoje zastosowania** , ale wydaje mi się, że na to co piszesz jest on po prostu za drogi... Poczytaj/spytaj na forum może? Nie znając absolutnie planów co do sklepu, na początek całkowicie w ciemno naganiałbym na jakiegoś skromnego Hetznera [Cloud]

 

**np. GKE czy konfiguracje o wysokiej dostępności tj. kilka serwerów w wielu lokalizacjach geograficznych za równoważnikiem obciążenia (???=load balancerem, czy to jest dobre tłumaczenie _-_"?)

Sklep ma być postawiony całkowicie do nauki. Sam bałbym się ryzykować. Google oferuje 300$ na start więc nauka będzie całkowicie darmowa. Docelowo chciałbym się nauczyć administrowania serwera, później trzymaniem jakiś wersji stage na takim serwerze etc.

Mam nadzieje że dla mi się dojść do etapu w którym zacznę stawiać aplikacje w wersji produkcyjnej na takim serwerze.

 

 

42 minuty temu, psz napisał:

Polecam wykonać następujące:

- na firewallu (w konsoli Google Cloud lub na samym VPS) otwórz wyłącznie porty, które są Ci niezbędne, a więc przychodzące 80 (tylko w celu przekierowania HTTP->HTTPS) i 443. Nie otwieraj innych portów przychodzących, chyba że potrzebujesz jakiejś usługi dostępnej publicznie (z Internetu)

- nie otwieraj portu 22 (SSH), zamiast tego łącz się do maszyny poprzez konsolę Google Cloud (jest tam SSH przez przeglądarkę), lub skonfiguruj Cloudflare Access (darmowe)

- zainstaluj i włącz pakiet unattended-upgrades, który będzie automatycznie instalował poprawki bezpieczeństwa

- jeśli chcesz pozostawić port 22 dostępny publicznie, ustaw logowanie poprzez klucze SSH i wyłącz logowanie hasłem

- ustaw backup: tradycyjny (np. restic+B2) albo bardzo prosty (np. regularne robienie snapshotów w konsoli Google Cloud).

- co jakiś czas ręcznie instaluj pozostałe aktualizacje (unattended-upgrades domyślnie tego nie robi, ale można to skonfigurować)

- instaluj aktualizacje oprogramowania/wtyczek swojego sklepu internetowego

 

Dziękuje za podpowiedzi, posprawdzam sobie wszystkie te opcje 

Edytowane 11 Maja 2021 przez rzepson
Literówka

[chivito]

>Sklep ma być postawiony całkowicie do nauki.(...) Google oferuje 300$ na start więc nauka będzie całkowicie darmowa.

Powodzenia zatem!

 

Pamiętaj tylko że jeśli właśnie założyłeś konto, 300 dolarów ważnych nie 12 a już tylko 3 miesiące + potem jest też mini serwerek za darmo, ale transfer wychodzący drogi - w razie czego możesz jeszcze na podobnej zasadzie (darmowy okres próbny) zwiedzić AWS, Azure i inne takie (Oracle, Digital Ocean, Vultr, ...)

[psz]

Koszt transferu możesz obniżyć używając jednego z partnerów w programie CDN Interconnect, np. Cloudflare.

[szuwarekmini]

Godzinę temu, chivito napisał:

 możesz jeszcze na podobnej zasadzie (darmowy okres próbny) zwiedzić AWS, Azure i inne takie (Oracle, Digital Ocean, Vultr, ...)

Oracle oferuje na zawsze 2x darmową instancję najmniejszą. Czy któryś z powyższych też ma taką opcję? Wstępnie widziałem, że oferują pewną pulę $$ i  dostępność na 3-12 miesięcy

[chivito]

Nie, reszta tylko czasowo