Name: Tremplin Numérique
Price range: $$$

Les pare-feu sont essentiels pour la sécurité de tout serveur. Autoriser uniquement le bon trafic vers la bonne ressource empêche le trafic malveillant et les attaques potentielles de tirer parti de votre serveur non protégé. DigitalOcean propose des machines virtuelles, appelées Droplets, qui offrent leurs propres avantages de configuration, de surveillance et de maintenance de système de pare-feu par rapport aux pare-feu traditionnels au niveau du système d'exploitation.

Le système de pare-feu s'appelle Cloud Firewalls. Il s'agit d'un pare-feu au niveau du réseau qui supprime le trafic que vous ne souhaitez pas acheminer vers votre Droplet. Par conséquent, le trafic potentiellement malveillant n'atteindra jamais votre serveur. Certaines des fonctionnalités des Cloud Firewalls sont:

Pare-feu avec état entrant et sortant
Services nommés, tels que SSH, HTTP (S), MySQL, etc.
Ports personnalisés
Gammes de ports
Limitation par sources, telles que les droplets, les équilibreurs de charge, les VPC, les balises ou des adresses CIDR IPv4 ou IPv6 spécifiques

Récemment, DigitalOcean a publié des réseaux de cloud privé virtuel (VPC). En définissant un ensemble de ressources dans un VPC, tout le trafic est maintenu interne à ce réseau, même à partir d'autres réseaux VPC. Les pare-feu cloud fonctionnent en conjonction avec les VPC pour segmenter et protéger davantage le trafic. Pour cet article, nous allons utiliser deux machines virtuelles configurées dans le manoir suivant:

OS: Ubuntu 18.04.3 LTS x64
Tarification: VM de base à 5 $ / mois
Région: Région SFO2
Authentification: Clés SSH
Mots clés: test, ubuntu

Sommaire

Créer un pare-feu cloud

Après avoir créé une machine virtuelle Linux, l'une des premières tâches consiste à protéger le service SSH, car il s'agit souvent d'une cible de choix pour les acteurs malveillants. Créons un pare-feu simple et facile à utiliser qui limitera SSH à notre machine virtuelle nouvellement créée uniquement par l’IP que nous désignons.

Dans cet exemple, ce sera l'adresse IP 192.168.100.5. Après avoir cliqué sur «Créer un pare-feu», on nous présente un formulaire demandant le nom, les règles entrantes, les règles sortantes et la ressource à laquelle appliquer le pare-feu.

Nom: ssh-limit
Règles entrantes

Voyons ensuite les règles de sortie. Ce que vous voyez ci-dessous sont les règles par défaut. Cela signifie que tout le trafic sortant TCP / UDP est autorisé vers tous les emplacements, tout comme le trafic ICMP. En général, cela convient, en fonction de vos besoins. La plupart des administrateurs de serveur ont un niveau de contrôle plus élevé sur le trafic sortant que sur le trafic entrant. Cela étant dit, vous pouvez certainement limiter ce trafic.

Enfin, appliquons ce nouveau pare-feu à une VM nouvellement créée que nous avons taguée test. Pourquoi appliquer le pare-feu à une balise plutôt qu'au Droplet lui-même? En appliquant à une balise, ce pare-feu s'appliquera automatiquement à chaque nouvelle ressource balisée de manière appropriée. Il automatise la configuration et signifie que les configurations de pare-feu importantes ne seront pas manquées.

Après la création, vous pouvez voir que le pare-feu est correctement appliqué au Droplet, et supprimera désormais tout le trafic qui ne correspond pas à ce modèle, avant que le trafic ne parvienne au Droplet.

Provisionner un nouveau droplet

Que se passe-t-il ensuite lorsque nous provisionnons un nouveau Droplet et marquons cette VM avec le test marque? Après avoir provisionné une nouvelle VM et accédé à la section mise en réseau du droplet, vous pouvez voir que le ssh-limit le pare-feu que nous avons précédemment créé est automatiquement appliqué.

Limiter le trafic VPC interne

Et si nous avons des bases de données MySQL sur nos deux Droplets qui ont été provisionnées et que nous souhaitons nous assurer que le trafic ne fuit pas au-delà de ces ressources? Pour s'assurer que le trafic du port 3306 (MySQL) n'est autorisé qu'à partir d'autres ressources au sein du VPC, une règle de pare-feu cloud peut effectivement être appliquée à la plage de trafic VPC.

Si vous utilisez le produit Managed Databases de DigitalOcean, tel qu'une base de données MySQL, PostGres ou Redis, cette capacité facilite également la protection de ces ressources. La configuration idéale serait de contenir toutes les ressources pertinentes dans un VPC, puis d'utiliser des pare-feu cloud pour protéger correctement le trafic entre les différentes ressources.

Mises en garde relatives au pare-feu cloud

Vous devez être conscient de quelques éléments lorsque vous utilisez Cloud Firewalls. Certaines d'entre elles sont des limites de quantité sur les pare-feu Cloud, et d'autres sont des limitations de produit qui peuvent affecter la façon dont vous utilisez les pare-feu Cloud.

Il y a un maximum de 10 gouttelettes ajoutées individuellement à un pare-feu donné.
Il y a un maximum de 5 balises qui peuvent être ajoutées à un pare-feu donné, mais en utilisant des balises, vous pouvez contourner la règle des 10 gouttelettes individuelles (c'est-à-dire qu'une balise avec 50 gouttelettes fonctionnera toujours avec le pare-feu).
Un pare-feu peut avoir un total de 50 règles entrantes et sortantes combinées.
Les pare-feu ne prennent en charge que le trafic ICMP, TCP et UDP pour le moment.
Les journaux de trafic ne seront pas disponibles pour le trafic abandonné, car cela se produit au niveau du réseau.

Conclusion

Bien qu'il ne s'agisse que d'un aperçu des fonctionnalités et des règles qui peuvent être définies pour DigitalOcean Droplets, la combinaison d'un pare-feu au niveau du réseau et de réseaux VPC peut facilement protéger vos Droplets du trafic malveillant. Avec le faible coût des gouttelettes de faible puissance et la facilité de configuration, on peut rapidement voir comment utiliser Cloud Firewalls pour protéger les ressources de leur serveur.