Freigeben über


[資安小常識] 透過Windows Azure Pack 安全地管理您的網站

編者:Cho-Han Wu


 

01

圖一、 Windows Azure Pack 讓您更輕易地管理網路服務 (圖片來源)

 

Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012 R2 的功能,讓您的私有雲也可以享受 Windows Azure 的操作體驗。

 

近幾年有許多網站接受到 阻斷攻擊 (Denial of Service, DoS),原因是因為主機的伺服器受到駭客大量且密集的封包請求而導致網站無法立即處理這些封包而被癱瘓,造成一定程度的損失。本次的資安小常識將會整理幾項設定方法讓您部屬於 Windows Azure Pack 的網站服務更加安全。

 

本篇文章提供您三種設定方法來防範阻斷服務 (Dos) 的攻擊:

1. 過濾來源IP (建立黑名單)

2. 設定系統資源配額

3. 設定不同的使用者角色

 

02

圖二、 Dos Attack (圖片來源)

 

 

過濾來源IP:

 

管理者可以藉由篩選某些區段的 IP 來避免網路服務受到攻擊。常見的阻斷攻擊方法是從 Service 的內部下手,例如藉由網頁呼叫Web farm 裡的其他服務,而有機會造成一個阻斷攻擊。所以在這個例子中,管理者可以選擇將Web farm牽涉到的子網路IP位置設為黑名單,避免承租戶使用此區段的IP而造成風險。您可以用兩種方式來進行設定:

1. 使用 Windows Azure Pack 管理入口網站

• 在入口網站左側的功能列表中,選取Web Site Clouds

• 選取您要設定的網站

• 選擇 Block List

• 在下方的指令列表中選取Add

• 在文字方愧內輸入過濾IP區段的起點和終點

• 點選確認即可完成

 

2. 使用 PowerShell

指令中的及請自行更換為欲過濾之IP

Add-pssnapin WebHostingSnapin

Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1

Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange ,

 

接著需要重啟 Dynamic WAS Service

net stop dwassvc

net start dwassvc

 

 

設定系統資源配額:

 

另外一種防範阻斷攻擊 (DoS) 的方法是設定系統資源的配額,管理者可以藉由設定CPU、記憶體、頻寬、硬碟等等的配額來限制攻擊者的行為。以致系統資源在接受到突如其來的大量請求時,會因為超過設定的配額而短暫關閉,進而可以達到保護系統資料的效果。有些攻擊者會利用重複嘗試的方法來破解密碼,如果遇到強度較高的密碼,則系統則有可能在攻擊者破解之前就關閉,讓攻擊者無法入侵。

 

 

設定不同的使用者角色:

 

在最安全的情況下是針對每個不同的開發者或使用者都給予不同的角色憑證,Windows Azure Pack 管理入口網站也可以讓您輕鬆地管理並編輯使用者的角色憑證。

• 以管理者權限登入,並選擇要管理的 Web Site Clouds

• 點選 Credentials,並選取要修改的使用者名稱

• 在下方指令列表中點選Edit,並設定新的名稱和密碼

• 重複步驟直到每一個角色憑證都是唯一的

 

在設定的過程中需要注意的是千萬不能將每個角色都設定為管理者,否則會造成資安上的問題。另外,除了密碼之外,角色名稱也應該在固定的週期內更換。在更換的過程中也要注意必須在新的角色憑證都可以使用後才將舊的角色憑證刪除,以確保系統可以正常登入。

 

Windows Azure Pack 除了提供一個良好的且便利的虛擬化平台外,也提供使用者一個可以安全地部屬網路服務的環境。本次資安小常識提供了三種在Windows Azure Pack 網站服務中避免遭受阻斷服務 (DoS) 的方法,希望您可以多加利用,讓您的網頁服務遠離可能遇到的資安風險,並可以永續不斷地提供優質的服務。

 

 

參考資料