Двухфакторная аутентификация на EC2
Вероятно, необходимо будет определить, где в мире их центр (центры) обработки данных. Полагайте, что некоторые области мирового угля записи, тогда как некоторые другие используют гидро, произвели электричество.
Рассмотрите:
EC2 позволяет Вам устанавливать свои машины с различными сертификатами SSH, которые можно создать, самое легкое решение для Вас состояло бы в том, чтобы просто создать тот, который требует пароля.
Также знайте об ограничениях безопасности EC2, безопасность является периферийным устройством, и Вы не знаете, какие машины делают то, что внутри так помещает строгую безопасность для передачи между машинами, некоторое устойчивое шифрование, VPN (OpenVPN или stunnel) высоко желаема для этого.
Вам потребуется защитить доступ к консоли EC2 с помощью двух факторов. Вот и вы во власти Amazon. Для доступа по SSH вы можете сделать множество вариантов. Вы можете использовать ключи SSH и требовать, чтобы у ключей был пароль. Однако обратите внимание, что ничто не мешает кому-либо написать SSH-клиент, который лжет о сертификате, имеющем пароль. SSH отлично подходит для обеспечения безопасности, но не всегда соответствует нормативным требованиям. Например, может потребоваться периодическая генерация ключей. SSH не поддерживает это.
Радиус PAM - ваш друг, если вы решите использовать двухфакторную систему аутентификации: http://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to
hth,
Обновление
AWS недавно объявила о разрешениях на уровне ресурсов для Amazon EC2 и Amazon RDS , чтобы устранить этот давний недостаток поддержки IAM в EC2 и RDS, упомянутый в моем исходном ответе ниже:
Сегодня мы делаем IAM еще более мощным, вводя разрешения на уровне ресурсов для Amazon EC2 и Amazon RDS . [...]
На стороне EC2 теперь вы можете создавать и использовать политики IAM для управления доступ к экземплярам EC2, томам EBS, изображениям и эластичному IP-адресу адреса. [...]
Вот лишь несколько вещей, которые вы можете сделать:
- Разрешить пользователям работать с ограниченным набором ресурсов в более крупной многопользовательской среде EC2.
- Установить разные разрешения для ресурсы "разработки" и "тестирования".
- Укажите, какие пользователи могут завершать какие экземпляры.
- Требовать дополнительных мер безопасности, таких как аутентификация MFA, при работе с определенными ресурсами. [курсив мой]
Как подчеркивалось, использование MFA при работе с определенными ресурсами теперь возможно и для экземпляров EC2, поэтому вы можете, например, ограничить остановку и завершение экземпляра EC2 для пользователя, который аутентифицируется именем пользователя / паролем и кодом аутентификации от устройства MFA.
Первоначальный ответ
Двухфакторная аутентификация, аналогичная SecurID, легко доступна через AWS Identity and Access Management (IAM) с помощью Многофакторной аутентификации AWS . Относится ли это на самом деле к вашему вопросу, зависит от вашего конкретного варианта использования, то есть от того, какие сценарии вам нужно защитить с помощью двухфакторной аутентификации (например, упомянутый доступ SSH против доступа к Консоли управления AWS против доступа к веб-сайтам, которые вы размещаете на EC2 взамен и т. д.).
В частности, IAM охватывает доступ к Консоли управления AWS, но, очевидно, не SSH, кроме того, EC2 является одним из продуктов AWS, где IAM не применяется на уровне ресурсов, а только на сервисе уровень
контролировать, кто имеет доступ к конкретным инстансам Amazon EC2. Вы не можете использовать
система IAM, чтобы разрешить или запретить доступ к определенному экземпляру.
Обратите внимание, что использование IAM настоятельно рекомендуется для чего-либо AWS, независимо от многофакторной аутентификации.
Наконец, я хотел бы выделить два недавних дополнения к IAM, которые также могут быть полезны для вашего варианта использования:
- AWS Identity и управление доступом - теперь с Identity Federation - Эта новая возможность позволяет существующим удостоверениям (например, пользователям) на вашем предприятии получать доступ к API и ресурсам AWS с помощью детализированных элементов управления доступом IAM без необходимости создания пользователя IAM для каждой личности.
- Виртуальная (программная) многофакторная аутентификация AWS - Поддержка RFC 6238 - Мы поддерживаем аппаратные устройства MFA, которые вы можете приобрести для генерации кодов аутентификации MFA. [... ] Сегодня мы рады сообщить, что представляем дополнительную опцию - устройство Virtual MFA. Теперь вы можете сгенерировать коды аутентификации MFA на своем смартфоне или планшете.
С duo_unix вы можете добавьте двухфакторную аутентификацию для любого метода входа по SSH, а с интеграцией Duo OpenVPN вы можете добавить двухфакторную аутентификацию в OpenVPN.
Отказ от ответственности, я работаю в Duo.
EC2 теперь имеет двухфакторную аутентификацию » С EC2 вы не знаете, где находятся данные и как они эффективно хранятся. Вы можете обнаружить, что ваш VPS используется совместно с другими VPS из других организаций.
Поэтому, если вы собираетесь хранить финансовые данные на EC2 на диске EBS, вы должны зашифровать их.
Но хотя вы можете подумать, что это так, поэтому безопасно, вы защищены настолько, насколько ваше самое слабое звено.
Процитирую другой источник , потому что он хорошо об этом говорит.
... но экземпляры ВМ часто совместно используют физические оборудования с другими экземплярами, и поскольку EC2 является общественной службой, эти совместные виртуальные машины могут быть не совсем дружелюбными. Основная угроза вот, конечно, уязвимости программного обеспечения - вещи, которые могут позволить злоумышленник прорывается из одной виртуальной машины в другую. Но даже если ты идеален программного обеспечения, есть еще одна более коварная угроза: экземпляр виртуальной машины злоумышленника может запустить атаку по побочному каналу на совмещенная виртуальная машина.
Что сделало бы двухфакторную аутентификацию бесполезной против этого типа атак.
Теперь, если вы можете смириться с этим, как вы это сделаете? Этот вопрос / ответ о переполнении стека дает вам несколько ответов об использовании аутентификатора Google, который является одним из лучших.
Но есть много вариантов двухфакторной аутентификации, некоторые из них требуют аппаратных брелоков, а другие, например, Google аутентификатор используйте свой мобильный телефон. Банк или финансовое учреждение может фактически указать, какой метод двухфакторной аутентификации они разрешат.
OpenID - отличная идея, поскольку он позволяет вам использовать свой openid для входа во многие службы. Но он также ошибочен, потому что позволяет одному логину получить доступ ко многим вещам. Побывав в Google, я нашел http://wikid.com/ , который использует OpenID и двухфакторную аутентификацию. Я бы не решился использовать его в вашем конкретном случае.
Кстати, вы собираетесь принимать платежи с кредитных карт? Возможно, вы обнаружите, что вам необходимо соответствовать PCI , и я не совсем уверен, сможете ли вы соответствовать требованиям на экземпляре EC2. Они довольно строгие, но не зря. Есть способы снизить ваши риски, но не принимать платежи по картам напрямую и не хранить данные кредитных карт, а использовать услуги стороннего поставщика платежей, с которыми может взаимодействовать ваш веб-сайт.
Если вы являетесь продавцом, который принимает платежные карты, вы обязаны соответствовать стандарту безопасности данных PCI. Вы можете узнать ваши точные требования соответствия только от вашего платежного бренда или покупатель. Однако, прежде чем действовать, вы можете получить справочная информация и общее понимание того, что вы будете необходимо сделать из информации и ссылок здесь.