Google Kids Space présente du contenu adapté aux enfants sur les tablettes Android – Review Geek
1 septembre 2020
Comment empêcher iTunes de s'ouvrir automatiquement sous Windows 10
1 septembre 2020

Logo de l'océan numérique

Les pare-feu sont essentiels pour la sécurité de tout serveur. Autoriser uniquement le bon trafic vers la bonne ressource empêche le trafic malveillant et les attaques potentielles de tirer parti de votre serveur non protégé. DigitalOcean propose des machines virtuelles, appelées Droplets, qui offrent leurs propres avantages de configuration, de surveillance et de maintenance de système de pare-feu par rapport aux pare-feu traditionnels au niveau du système d'exploitation.

Le système de pare-feu est appelé Pare-feu cloud. Il s'agit d'un pare-feu au niveau du réseau qui supprime le trafic que vous ne souhaitez pas acheminer vers votre Droplet. Par conséquent, le trafic potentiellement malveillant n'atteindra jamais votre serveur. Certaines des fonctionnalités des Cloud Firewalls sont:

  • Pare-feu avec état entrant et sortant
  • Services nommés, tels que SSH, HTTP (S), MySQL, etc.
  • Ports personnalisés
  • Gammes de ports
  • Limitation par sources, telles que les droplets, les équilibreurs de charge, les VPC, les balises ou des adresses CIDR IPv4 ou IPv6 spécifiques

Récemment, DigitalOcean a publié Cloud privé virtuel (VPC) réseaux. En définissant un ensemble de ressources dans un VPC, tout le trafic est maintenu interne à ce réseau, même à partir d'autres réseaux VPC. Les pare-feu cloud fonctionnent en conjonction avec les VPC pour segmenter et protéger davantage le trafic. Pour cet article, nous allons utiliser deux machines virtuelles configurées dans le manoir suivant:

  • OS: Ubuntu 18.04.3 LTS x64
  • Tarification: VM de base à 5 $ / mois
  • Région: Région SFO2
  • Authentification: Clés SSH
  • Mots clés: tester, Ubuntu

Créer un pare-feu cloud

Après avoir créé une machine virtuelle Linux, l'une des premières tâches consiste à protéger le service SSH, car il s'agit souvent d'une cible de choix pour les acteurs malveillants. Créons un pare-feu simple et facile à utiliser qui limitera SSH à notre machine virtuelle nouvellement créée par la seule adresse IP que nous désignons.

Dans cet exemple, ce sera l'adresse IP 192.168.100.5. Après avoir cliqué sur «Créer un pare-feu», on nous présente un formulaire demandant le nom, les règles entrantes, les règles sortantes et la ressource à laquelle appliquer le pare-feu.

  • Nom: limite ssh
  • Règles entrantes

Créez un pare-feu.

Voyons ensuite les règles de sortie. Ce que vous voyez ci-dessous sont les règles par défaut. Cela signifie que tout le trafic sortant TCP / UDP est autorisé vers tous les emplacements, tout comme le trafic ICMP. En règle générale, cela convient, en fonction de vos besoins. La plupart des administrateurs de serveur ont un niveau de contrôle plus élevé sur le trafic sortant que sur le trafic entrant. Cela étant dit, vous pouvez certainement limiter ce trafic.

Règles sortantes

Enfin, appliquons ce nouveau pare-feu à une VM nouvellement créée que nous avons taguée tester. Pourquoi appliquer le pare-feu à une balise plutôt qu'au Droplet lui-même? En appliquant à une balise, ce pare-feu s'appliquera automatiquement à chaque nouvelle ressource balisée de manière appropriée. Il automatise la configuration et signifie que les configurations de pare-feu importantes ne seront pas manquées.

Appliquer un nouveau pare-feu à la VM nouvellement créée

Après la création, vous pouvez voir que le pare-feu est correctement appliqué au Droplet et qu'il supprimera désormais tout le trafic qui ne correspond pas à ce modèle, avant que le trafic ne parvienne au Droplet.

Le pare-feu est correctement appliqué à Droplet et supprime tout le trafic qui ne correspond pas à ce modèle avant que le trafic ne parvienne à Droplet

Provisionner un nouveau droplet

Que se passe-t-il ensuite lorsque nous provisionnons un nouveau Droplet et marquons cette VM avec le tester marque? Après avoir provisionné une nouvelle VM et accédé à la section mise en réseau du droplet, vous pouvez voir que le limite ssh le pare-feu que nous avons précédemment créé est automatiquement appliqué.

Le pare-feu ssh-limit est automatiquement appliqué

Limiter le trafic VPC interne

Que faire si nous avons des bases de données MySQL sur nos deux Droplets qui ont été provisionnées et que nous souhaitons nous assurer que le trafic ne fuit pas au-delà de ces ressources? Pour s'assurer que le trafic du port 3306 (MySQL) n'est autorisé qu'à partir d'autres ressources du VPC, une règle de pare-feu cloud peut effectivement être appliquée à la plage de trafic VPC.

Règle de pare-feu cloud appliquée à la plage de trafic VPC

Si vous utilisez le Bases de données gérées produit de DigitalOcean, comme une base de données MySQL, PostGres ou Redis, cette capacité facilite également la protection de ces ressources. La configuration idéale serait de contenir toutes les ressources pertinentes dans un VPC, puis d'utiliser des pare-feu cloud pour protéger correctement le trafic entre les différentes ressources.

Mises en garde relatives au pare-feu cloud

Vous devez être conscient de quelques éléments lorsque vous utilisez Cloud Firewalls. Certaines d'entre elles sont des limites de quantité sur les pare-feu Cloud, et d'autres sont des limitations de produit qui peuvent affecter la façon dont vous utilisez les pare-feu Cloud.

  • Il y a un maximum de 10 gouttelettes ajoutées individuellement à un pare-feu donné.
  • Il y a un maximum de 5 balises qui peuvent être ajoutées à un pare-feu donné, mais en utilisant des balises, vous pouvez contourner la règle des 10 gouttelettes individuelles (c'est-à-dire qu'une balise avec 50 gouttelettes fonctionnera toujours avec le pare-feu).
  • Un pare-feu peut avoir un total de 50 règles entrantes et sortantes combinées.
  • Les pare-feu ne prennent en charge que le trafic ICMP, TCP et UDP pour le moment.
  • Les journaux de trafic ne seront pas disponibles pour le trafic abandonné, car cela se produit au niveau du réseau.

Conclusion

Bien qu'il ne s'agisse que d'un aperçu des fonctionnalités et des règles qui peuvent être définies pour les Droplets DigitalOcean, la combinaison d'un pare-feu au niveau du réseau et de réseaux VPC peut facilement protéger vos Droplets du trafic malveillant. Avec le faible coût des gouttelettes de faible puissance et la facilité de configuration, on peut rapidement voir comment utiliser Cloud Firewalls pour protéger les ressources de leur serveur.

//]]>