Plesk / Cloudflare / Lightsail 混合架構的安全規劃

本文紀錄 Plesk / Cloudflare / Lightsail 混合架構的安全規劃。

開頭先介紹一下這三樣服務的角色：

• Lightsail 是 Amazon 的雲產品之一，可以理解為簡化版的 AWS，Lightsail 裡面的服務有通用虛擬機、資料庫、IP、儲存空間、快照備份這些，它們在 AWS 也都有相對應的服務，但在 Lightsail 這邊提供的是設定與費率更為簡化的版本，雖然設定簡化了，但享用與 AWS 同樣強健的基礎架構，很適合做為 AWS 的入門。在下文我們以一台 IP 為 5.1.2.1 的虛擬機為例。
• Cloudflare 是以 DNS 與 CDN 服務為核心的公司，以核心服務為基礎拓展了一堆安全與遠端存取相關的系列服務，以及以 CDN 全球節點為基礎提供的媒體串流服務 Stream 與 serverless 服務 Workers 等，把原本無聊的 DNS 和 CDN 生意做的多采多姿，是本人的愛廠之一。
• Plesk 是伺服器管理系統，和比較多人知道的 cPanel 比起來毫不遜色，而且有和 Lightsail 合作的佛心版，或許是本人是先用過 Plesk 後才用 cPanel 的關係，一直較偏愛 Plesk，因此也造成了難以適應 cPanel 的後遺症 XD。

本文以這三個服務做為某個 web app 的基礎架構為例，在安全性的方面做出規劃，在此我們希望能達成下列目標：

• 安全性要有，這是最基本的。
• 除了 80、443 以外的埠不要暴露，或者限定只給我的電腦訪問。
• Plesk 控制台要有網址入口，因為 IP 太難記，並且這個網址也限定只給我的電腦訪問。
• 主機的公共 IP 不要暴露。
• 防火牆盡量不要佔用到主機本身的資源，最大化 web app 本身能運用的運算資源以及節省主機費用。

用 Lightsail 防火牆做埠管理

Lightsail 的防火牆雖然滿陽春的，不過也能滿足我們對埠管理的需求，基本上只要是與網址無關的單純的 IP:port 規則，都會在 Lightsail 這邊做設定，簡單有效。

我們的 web app 除了會對外開放的 80、443 以外，還有幾個埠做為內部使用，必須管制只讓我的電腦的 IP 訪問，完整的清單如下：

• 80，HTTP 的標準埠，對外開放。
• 443，HTTPS 的標準埠，對外開放。
• 22，SSH 的埠，需限定連入 IP。
• 8443，Plesk web 控制台的入口，需限定連入 IP。
• 8447，Plesk Installer 的入口，變更 Plesk 元件或更新時會用到，需限定連入 IP。

埠管理這一塊很簡單，用 Lightsail 內的防火牆功能即可設定以上所有的埠號，設定畫面如下：

用 Plesk 設定 Plesk 控制台的入口網址

前面提到 Plesk 會用到 8443 和 8447 埠，在 Lightsail 那邊我們也已經對這兩個埠設定了只有我電腦的 IP 可以訪問它們，但目前的必須透過 IP:port 的方式進入，這對永遠記不住 IP 的本人來說會很困擾，所以最好讓它們有個網址方便往後進入，Plesk 也的確提供了指定網址的功能，見下圖的「自訂 Plesk URL」：

猛擊會出現網址的設定畫面：

我們選第二個，並輸入要當作 Plesk 控制台入口的網址，上例為 plesk.o.com，當然在 DNS 上也要有對應的一筆設定讓 plesk.o.com 連到這台 Plesk 主機的 IP。

接著我們要讓 plesk.o.com 只接受我的電腦的訪問。

施做前先整理一下目前的防火牆設定與 Plesk 的進入點：

• https://plesk.o.com/，這個網址目前是接受公眾訪問的，待會要讓它只能讓我的電腦訪問。
• https://5.1.2.1:8443/，這個入口受到 Lightsail 防火牆的管制，只接受我的電腦的訪問。
• https://5.1.2.1/ ，這個 IP 的入口目前並未受到管制，接受公眾訪問，待會利用 Cloudflare 的 proxy 來隱蔽此 IP，減少 IP 暴露的風險。

開始施工，進入 Cloudflare 的防火牆，建立一條規則：封鎖對 plesk.o.com 的訪問，如下圖：

封鎖後再開一個小門讓我電腦的 IP 可以進去，新增一個 IP 存取規則：

如此一來，plesk.o.com 就只有白名單內的 IP 可以進入。

用 Cloudflare 的 proxy 和防火牆做 IP 隱蔽與網址訪問管理

因為 Lightsail 的防火牆只能設定簡易的 IP:port 規則，如果是牽扯到與網址有關的訪問設定，就必須依賴 Cloudflare 的服務了。

Cloudflare 的全球 CDN 節點會幫我們網站上的內容做快取，讓訪客可以就近從 CDN 節點取得內容，這樣的服務除了有加速的好處外，還可以避免讓訪客直接連線到我們的主機，讓主機與 IP 獲得某種程度的隱蔽性，另外 Cloudflare 也幫我們做了分散流量的工作，讓我們的主機不會被暴衝的流量打爆，總之在自己的服務前面掛一層 Cloudflare 絕對是好處多多，絕對不要因為免費的節點不包括台灣就貿然放棄。

回到正題，要享用 Cloudflare CDN 加速與防護的好處，只要在 Cloudflare 的 DNS 管理頁面把那朵橘色的雲打開即可，如下圖：

橘色小雲表示 Cloudflare 的 proxy 節點，也就是前面提到的 CDN 節點，它們是同概念在不同視角下的名稱，Cloudflare 把這些廣怖在全球節點稱為 edge 節點，不論是 CDN 節點、proxy 節點或是 edge 節點，指的都是同樣的事物，即佈署在全球各個地理位置的伺服器。

開啟後等待個一分鐘讓新的 DNS 設定傳播完畢生效即可。

上圖中可以看到「mail」這筆設定是沒有開橘色小雲的，因為這個郵件代管服務會因為 Cloudflare 的 proxy 而異常。除了例子裡的 mail 外，在實際經驗下最好還是對每組 DNS 紀錄的小雲做一輪測試，確保在 Cloudflare Proxy 開啟時還是能正常工作，確保原服務的可用性，這是比較妥當的作法。

上圖的「www」這一組就是我們主要對外服務的網址，它對應的真實的主機 IP 是 5.1.2.1，但因為有開啟小雲，所以訪客訪問 www.o.com 時不會連到真正的 5.1.2.1，而是會連到 Cloudflare DNS 回應的某個離訪客地理位置最近的 proxy 節點，因此訪客無法從 DNS 查詢出真正的主機 IP 是 5.1.2.1，這樣的特性可以保護我們的主機 IP 暴露，並減少壞人直接對 IP 發動攻擊的可能性。（其實透過一些手段還是有機會知道真正的 IP，所以資安的防禦不能只依賴單一服務或單一層次，必須在架構的每一層都設想安全的防禦機制。）

總結

透過以上一連串的設定，我們做到幾件事：

• 只公開必要的服務。
• 內部用的服務入口都有限定 IP。
• 主機 IP 不暴露。
• 不用主機的資源跑防火牆。
• Plesk 可以用好記的網址進入，而且也受到限定 IP 的管制。

但還有一個小漏洞：https://5.1.2.1/ 這個 IP 的入口並未受到管制。其實可以利用 Plesk 本身的防火牆來設定可以進去的白名單，這點不在本文的宗旨內就不提了。

本文比較著重在基礎架構的安全設定，但其實最脆弱的環節是在用戶的安全意識上，其次才是系統的安全設計。

另外，設定這麼多的感想是，採用 PaaS 或 Serverless 才是更快達到 time to market 的做法，把底層的配置都轉嫁給平台，我們只要專心做產品就好，也不用考慮那麼多層面的安全設定，當然前提是平台本身要夠給力。

分享一點紀錄與心得，希望對大家有幫助。