云原生-AWS EC2使用、安全性及国内厂商对比

目录

  • 什么是EC2
  • 启动一个EC2实例
  • 连接一个实例
    • 控制台
    • ssh
  • Security groups
    • 规则
    • 默认安全组与自定义安全组
  • 安全性
    • 操作系统安全
    • 密钥泄漏
    • 部署应用安全
    • 元数据造成SSRF漏洞出现时敏感信息泄漏
    • 网络设置错误
  • 厂商对比
  • 参考


本文通过实操,介绍了EC2的基本使用,并在功能、安全性上与其他厂商进行对比。

什么是EC2

EC2(Elastic Compute Cloud)是AWS云中的服务器,提供按需、可扩展的计算能力。本文以Linux为例。下图是EC2的位置。
在这里插入图片描述
Instance就是EC2,它被Security group(安全组)保护着,持久性存储使用了EBS( Elastic Block Store)。在安全组外面是子网,子网外面是VPC,VPC通过网关与外部通信。

启动一个EC2实例

名称随意,上面默认,创建一个密钥对。
在这里插入图片描述
在这里插入图片描述
点击启动实例,之后可以在控制台看到实例信息。
在这里插入图片描述

连接一个实例

前面为了快速创建,都是默认的,默认的安全组是不同的,需要先创建一个安全组,开通22端口。
在这里插入图片描述
添加入站规则
在这里插入图片描述
在这里插入图片描述
选择新建的安全组即可

控制台

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ssh

给密钥权限后使用ssh登录即可。
在这里插入图片描述

Security groups

安全组是云服务器级别的防火墙,一个云服务器可以绑定多个安全组,一个安全组也可以被多个云服务器绑定。安全组由入站规则和出站规则组成。

规则

规则主要由以下字段组成:

  • 协议:允许的协议。最常见的协议是 6 (TCP)、17 (UDP) 和 1 (ICMP)。
  • 端口范围:对于 TCP、UDP 或自定义协议,允许的端口范围。您可以指定单个端口号(例如22)或端口号范围(例如 7000-8000)或all。
  • 源或目标:允许的流量的源(入站规则)或目标(出站规则)。指定以下选项之一:
    • 单个 IPv4 地址。您必须使用/32前缀长度。例如, 203.0.113.1/32。
    • 以 CIDR 块表示法表示的 IPv4 地址范围。例如, 203.0.113.0/24。
    • 单个 IPv6 地址。您必须使用/128前缀长度。例如, 2001:db8: 1234:1a00::123/128.
    • IPv6 地址范围,采用 CIDR 块表示法。例如, 2001:db8: 1234:1a00::/64.
    • 前缀列表ID。例如, pl-1234abc1234abc123. 有关更多信息,请参阅Amazon VPC 用户指南 中的前缀列表。
    • 安全组(此处称为指定安全组)的ID。例如,当前安全组、同一 VPC 的安全组或对等 VPC 的安全组。这允许基于与指定安全组关联的资源的私有 IP 地址的流量。这不会将指定安全组中的规则添加到当前安全组。

规则由以下特点:

  • 允许入的,默认允许出,不必再设置出规则。
  • 规则默认都是允许,没有拒绝。

默认安全组与自定义安全组

默认安全组允许所有出流量,但入流量仅允许绑定该安全组的资源。
自定义安全组允许所有出流量,入流量不允许,需要添加规则来进行控制进出流量。

安全性

操作系统安全

EC2安装了操作系统,在创建时可以使用开源的操作系统,如果出现问题,也将影响AWS EC2对应的实例。

密钥泄漏

ssh的密钥文件一般很少泄漏,不过用户也可以修改sshd,启用账号密码登录。
在这里插入图片描述

部署应用安全

EC2上面如果部署应用,应用有漏洞,也可能影响EC2实例。

元数据造成SSRF漏洞出现时敏感信息泄漏

访问metadata能够获取以下信息
在这里插入图片描述
local-ipv4、public-ipv4、security-groups、identity-credentials等是比较敏感的信息,当然AWS是默认不开启元数据的,并且使用IMSV2(实例元数据服务版本2)来解决了普通的GET型SSRF问题(攻击者可控URL)。
用户数据类似
在这里插入图片描述

网络设置错误

安全组配置错误时,可能造成一台EC2被攻击后,其他EC2也被扫描出来。

厂商对比

对比项AWS阿里云华为云
密钥泄漏默认密钥文件登录默认账号密码登录默认账号密码登录
安全组只能添加允许规则可以允许或拒绝,有优先级字段,相同时拒绝优先和阿里云类似
元数据服务提供了IMSV2来防御GET型SSRF通过加固模式防御GET型SSRF需要租户自己解决,且元数据过多

参考

EC2用户指南
如何安全设置AWS EC2
针对AWS EC2的SSRF攻击
IMSV2仍有SSRF攻击

阿里云-云服务器ECS
华为云-弹性云服务器ECS

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/125269.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

光环云出席国际数据经济产业合作大会,成为国际数据经济产业园首批生态合作企业

光环云作为临港新片区国际数据港全球云算服务生态合作伙伴受邀出席会议,与跨境数科等单位共同参与共建国际数据港启动仪式,光环云执行董事兼CEO吴曼以《AGI-x时代跨境数据流动》为主题作主旨演讲。 10月27日,国际数据经济产业合作大会在临港新…

MATLAB——多层小波的重构

%% 学习目标:多层小波的重构 %% 程序1 clear all; close all; load noissin.mat; xnoissin; [C,L]wavedec(x,3,db1); %小波多层分解 ywaverec(C,L,db1); %重构,必须小波类型一致 emax(abs(x-y)) %重构的误差 %% 程序2 clear all;…

一文弄懂Linux信号机制

目录 1.什么是信号? 2.信号实现原理 ​3.信号生命周期 4.信号分类 5.信号常见概念 6.信号阻塞和信号忽略的区别? 1.什么是信号? Linux信号机制是进程间通信的一种方式,用于在不同进程之间传递信息。它通过向目标进程发送一…

控制穆格射流管伺服阀控制器

驱动穆格MOOG伺服阀放大器是一种电子设备,用于驱动伺服阀。它能够将输入信号转换成控制电流来驱动伺服阀力矩马达,从而实现对流量、压力等参数的精确控制。 伺服阀已成为许多自动化系统中不可或缺的一部分。它们被广泛应用于液压和气动系统,…

selenium (自动化概念 测试环境配置)

什么是自动化测试 自动化测试介绍 自动化测试指软件测试的自动化,在预设状态下运行应用程序或者系统. 预设条件包括正常和异常,最后评估运行结果。   自动化测试,就是将人为驱动的测试行为转化为机器执行的过程。 【机器 代替 人工】 自动化…

linux查看系统版本、内核信息、操作系统类型版本

1. 使用 uname 命令:这将显示完整的内核版本信息,包括内核版本号、主机名、操作系统类型等。 uname -a2. 使用 lsb_release 命令(仅适用于支持 LSB(Linux Standard Base)的发行版):这将显示包含…

chatgpt论文润色 降重

用chatgpt最好要给他范例。chatgpt降重原理: https://www.bilibili.com/video/BV1Eh411M7Ug/?spm_id_from333.337.search-card.all.click&vd_sourceebc47f36e62b223817b8e0edff181613 一. 中文论文翻译成英文 广义零样本学习是我的研究方向,下面…

商城小程序开发流程详解:一步步打造专属电商应用

​随着移动互联网的普及,电商行业也迅速发展起来。而商城小程序作为电商行业中的一种新形式,越来越受到企业和个人的关注。那么,如何开发一款专属的商城小程序呢?下面给大家介绍商城小程序的开发流程,帮助大家一步步打…

cad怎么转换成pdf?

cad怎么转换成pdf?cad是什么格式?CAD是计算机辅助设计(Computer-Aided Design)的缩写,是一种用于制图和设计的软件。CAD软件可以帮助工程师、建筑师、设计师等专业人士创建和编辑各种类型的图形和设计,如平…

Hive On Spark 概述、安装配置、计算引擎更换、应用、异常解决

文章目录 Hadoop 安装Hive 安装Hive On Spark 与 Spark On Hive 区别Hive On SparkSpark On Hive 部署 Hive On Spark查询 Hive 对应的 Spark 版本号下载 Spark解压 Spark配置环境变量指定 Hadoop 路径在 Hive 配置 Spark 参数上传 Jar 包并更换引擎 测试 Hive On Spark解决依赖…

thinkphp链接mqtt服务器,然后在订阅下发布消息

cmd打开项目根目录&#xff0c;安装插件&#xff0c;执行下面的命令 composer require php-mqtt/client执行完成之后会在vendor 目录下有php-mqtt 文件 然后在你的 extend文件下 新建mqtt文件 在文件中新建 Mqtt.php 下面是代码 <?php /** S: * Name: 控制器: * Autho…

安防视频汇聚平台EasyCVR调用播放接口的详细流程

视频云存储/安防监控EasyCVR视频汇聚平台基于云边端智能协同&#xff0c;支持海量视频的轻量化接入与汇聚、转码与处理、全网智能分发、视频集中存储等。流媒体视频平台EasyCVR拓展性强&#xff0c;视频能力丰富&#xff0c;具体可实现视频监控直播、视频轮播、视频录像、云存储…

用 docker 创建 jmeter 容器, 实现性能测试

我们都知道&#xff0c;jmeter 可以做接口测试&#xff0c;也可以用于性能测试&#xff0c;现在企业中性能测试也大多使用 jmeter。docker 是最近这些年流行起来的容器部署工具&#xff0c;可以创建一个容器&#xff0c;然后把项目放到容器中&#xff0c;就可以构建出一个独立的…

excel技巧

excel技巧 &#x1f353;选中&#x1f353;填充&#x1f353;日期&#x1f352;&#x1f352; 日期快捷方式&#x1f352;&#x1f352; 日期计算&#x1f352;&#x1f352;时间相减 &#x1f353;求和&#x1f353;去除小数点&#x1f353;美化表格&#x1f352;&#x1f352…

Spring Cloud 之RabbitMQ的学习【详细】

服务通信 分布式系统通信两种方式&#xff1a; 直接远程调用&#xff08;同步&#xff09;借助第三方间接通信&#xff08;异步&#xff09; 同步通讯的问题 Feign就属于同步通讯。存在的如下问题 耦合度高&#xff0c;每次添加新的模块就要修改原有模块的代码性能下降&am…

[论文阅读]Voxel R-CNN——迈向高性能基于体素的3D目标检测

Voxel R-CNN Voxel R-CNN: Towards High Performance Voxel-based 3D Object Detection 迈向高性能基于体素的3D目标检测 论文网址&#xff1a;Voxel R-CNN 论文代码&#xff1a;Voxel R-CNN 简读论文 该论文提出了 Voxel R-CNN&#xff0c;这是一种基于体素的高性能 3D 对象…

Go 语言gin框架的web

节省时间与精力&#xff0c;更高效地打造稳定可靠的Web项目&#xff1a;基于Go语言和Gin框架的完善Web项目骨架。无需从零开始&#xff0c;直接利用这个骨架&#xff0c;快速搭建一个功能齐全、性能优异的Web应用。充分发挥Go语言和Gin框架的优势&#xff0c;轻松处理高并发、大…

Qt实现卡牌对对碰游戏

效果 闲来无事&#xff0c;实现一个对对碰游戏&#xff0c;卡牌样式是火影动漫。 先上效果&#xff1a; 卡牌对对碰_火影主题 玩法 启动游戏&#xff0c;进入第一关卡&#xff0c;所有卡牌都为未翻开状态&#xff0c;即背面朝上&#xff1b;点击卡牌&#xff0c;则将卡牌翻开…

jenkins工具系列 —— 删除Jenkins JOB后清理workspace

文章目录 问题现象分析解决思路脚本实现问题现象分析 Jenkins使用过程中,占用空间最大的两个位置: 1 、workspace: 工作空间,可以随便删除,删除后再次构建时间可能会比较长,因为要重新获取一些资源。 2 、job: 存放的是项目的配置、构建结果、日志等。不建议手动删除,…

双亲委派模式

双亲委派模型 双亲委派的工作过程 一个类加载器收到类加载的请求时&#xff0c;它不会马上加载该类&#xff0c;而是把这个请求委托给父加载器去完成&#xff0c;每一个层次的类加载器都是如此&#xff0c;因此所有的类加载请求都必须先通过启动类加载器尝试加载&#xff0c;只…