AWS EC2インスタンスの1つが破壊され、他のインスタンスが作成されるのを防ぐにはどうすればよいですか?
無料利用枠のEC2インスタンスでカスタムサーバープログラムを実行しています。私はセキュリティの専門家ではないため、ソフトウェアを保護する方法を知っているすべての手順を実行しましたが、コードまたはインスタンスで実行されている他のプログラムに、攻撃者が実行できる脆弱性がある可能性があります。コントロール。
ハッカーがEC2インスタンスを破壊し、EC2 APIを使用して、EC2アカウントでビットコインをマイニングするために数万ドル相当のコンピューティングを購入し、被害者に請求書を残してしまうという恐ろしい話を聞いたことがあります。
VM とにかく内からEC2インスタンスを動的に変更する機能を使用できないので、これをオフにするか、この種の攻撃を軽減するにはどうすればよいですか? ?
AWSは、EC2インスタンスの「ロール」の概念を維持しています。新しいインスタンスを起動するときに、サーバーに役割を割り当てることができます。ロール必須はビルド中に適用され、すでに実行中のサーバーに追加することはできません。 Identity and Access Management(IAM)領域では、ロールに実行する権限があるものを定義できます(たとえば、追加のコンピューティングユニットの起動、サーバーの停止、EBSボリュームの削除など)。
ベストプラクティスは、サーバーが意図した目的に必要のないAWS操作を実行できないようにするロールを作成することです。
EC2のAWSロールベースアクセスの詳細を読むことができます ここ 。
そして、一般的な役割について ここ 。
さらに、サーバーが外部と通信する必要がある場合は、サーバーをファイアウォールで保護することを検討してください。 AWSでは、これは セキュリティグループ で行われます。