Alibaba Cloud - duży gracz na rynku Cloud Computing

Ali Cloud - Aliyun - Chiński dostawca chmury obliczeniowej. Tworzenie konta, ustawienie 2FA + podniesienia bezpieczeństwa

Marcin Wojtczak

5 minute read

Kilka słów o Alibaba Group

Grupa Alibaba powstała w 1999 roku. Obecnie zatrudnia ok. 93 tyś. pracowników. Nazwa firmy pochodzi od Ali Baby - postać z bliskowschodniej kolekcji opowiadań ludowych One Thousand and One Nights i powstała ze względu na jej uniwersalny wygląd. Logo Grupy (źródło: https://www.alibabagroup.com/en/global/home)

Kilka słów o Alibaba Cloud (Aliyun / AliCloud)

Niebawem dziesięciolecie (wrzesień 2019) platformy Alibaba Cloud. Platforma chmury obliczeniowej Alibaba ma ponad 50% udziału w rynku w Chinach (luty 2019, źródło: https://www.fool.com). Logo firmy zapisane w języku ojczystym:

Usługi Cloud dostępne są dla nas od 2014 roku a w listopadzie 2016 powstał pierwszy w Europie rejon w Frankfurcie.

Ważniejsze usługi

W skrócie jak wyglądają oferta Alibaba Cloud.

Gałąź technologi Opis
Elastic Computing Usługi wykorzystujące moce obliczeniowe, równoważenie obciążenia, (zaawansowane) możliwości sieciowe
Storage & CDN Przechowuje i udostępnia duże ilość danych i obiektów za pomocą zarządzanych produktów do przechowywania i dostarczania treści
Networking Twórz i zabezpieczaj sieci dla swoich usług (np. Cloud VPC, ExpressConnect
Database Services Zarządzanie bazami danych
Security Ochrona danych, aplikacji i serwerów przed złośliwymi atakami
Monitoring & Management Zarządzaj i monitoruj w czasie rzeczywistym dedykowanymi do tego narzędziami
Domains & Website Obsługa domen i DNSa Alibaba Cloud
Analytics & Big Data Narzędzia do analityki hurtowni danych, analiza biznesowa, przetwarzanie wsadowe, przetwarzanie strumieniowe, uczenie maszynowe i rozwiązania Big Data
Application Service Komponenty i narzędzia do zarządzania i tworzenia aplikacji i zarządzanie nimi
Media Services Platforma to przetwarzania dźwięku i obrazu (video)
Middleware Rozwiązania mikroserwisowe i wdrażanie aplikacji
Cloud Communication Usługa Short Message Service
Apsara Stack Połączenie naszego onpremisowego środowiska z Alibabą
Internet of Things Dwa narzędzia IoT Platform i IoV Command Center

Rozpoczęcie pracy - tworzenie konta

Możemy utworzyć konto na dwa sposoby:

  • za pomocą witryny internetowej
  • za pomocą aplikacji

Dzisiaj utworzymy sobie konto pierwszym sposobem (za pośrednictwem strony www). Przy rejestracji na pierwszym ekranie uzupełniamy:

Pole Wartość Uwagi
Kraj Poland Należy mieć na uwadze, że po zatwierdzeniu naszego wyboru nie ma możliwości zmiany tego parametru
Email marcin@gnulinux.pl Zostanie wysłana informacja o rejestracji
Password tAJn3_Haa$#o7_max20 Maksymalnie 20 znaków :/
Confirm tAJn3_Haa$#o7_max20 Potwierdzamy wpisując ponownie to samo hasło

Należy pamiętać o wyrażeniu zgody - zatwierdzeniu regulaminu.

Po zatwierdzeniu wyświetli nam się okienko z prośbą o przepisanie sześcio-cyfrowego kody weryfikującego poprawność naszego adresu e-mail. Po weryfikacji otrzymamy kolejnego maila z informacją o utworzeniu konta.

Już od teraz mamy dostęp do konsoli Alibaba Cloud. Kolejnym etapem będzie włączenie:

  • wieloetapowej autoryzacji (MFA)
  • ograniczenie dostępu do konsoli na podstawie listy dozwolonych adresów IP

Weryfikacja TOTP

W prawym górnym rogu strony www wybieramy z menu Account Management

Wieloetapowa autoryzacja (MFA) tutaj widnieje w pozycji Account Protection jako weryfikacja TOTP (Time-based One-Time Password algorithm).

Opisywana konfiguracja zwiększa bezpieczeństwo. Polega na dodaniu do naszej aplikacji na telefonie / tablecie / laptopie / komputerze / pralce kodu (który jest ciągiem znaków znanym tylko Tobie i serwerowi). W większości przypadków nasza aplikacja zeskanuje obrazek z kodem QR w którym jest zawarty wspomniany kod. W przypadku problemów (zeskanowanie kodu jest niemożliwe lub aplikacja kliencka nie ma takiej funkcjonalności) można go przepisać. Otrzymany w ten sposób wpis w naszej aplikacji generuje kod autoryzacyjny co 30 sekund i powstaje z kodu oraz bieżącego znacznika czasu.

Uogólniając:

qwertyKODqwerty + 1234CZAS56789 = 123456

Generowanie odbywa się jednocześnie po stronie klienta (nas) jak i po stronie serwera (usługi do której się logujemy). Większość aplikacji generuje 6-cio cyfrowy ciąg znaków, lecz jest możliwość otrzymania ośmio-cyfrowej kombinacji (zależy to od konfiguracji usługi przez serwis). Na urządzenia mobilne polecam aplikację FreeOTP, ponieważ:

  • Open Source
  • obsługa HOTP i TOTP
  • dodawanie za pomocą kodu QR lub wpisanie kodu ręcznie
  • licencja Apache 2.0
  • wspierany przez Red Hat-a
  • wspiera iOS-a i Android-a
  • klarowny interfejs i intuicyjna obsługa
  • więcej w repo: https://github.com/freeotp

Osoby zaciekawione tematem zachęcam do lektury (kolejność losowa):

Włączenie dodatkowej ochrony

W Account Protection wybieramy Edit

W formularzu zaznaczamy poniższe opcje:

Obszary wymagające ochrony

  • logowanie do konta
  • zmiana danych konta

Metoda weryfikacji

  • TOTP

Istnieje możliwość weryfikacji za pomocą kodu SMS, lecz owe rozwiązanie (w mojej ocenie) jest zawodne i mniej bezpieczne.

Po otrzymanie komunikatu o podobnej treści:

Verification in progress m^^^^@gnulinux.pl Enable TOTP Please select the method of verification

Wybieramy By Email Verification. Na poczcie otrzymamy sześcio-cyfrowy kod, który przepisujemy do interfejsu webowego i zatwierdzamy klawiszem Submit.

Jeśli wcześniej podaliśmy numer telefony to automatycznie pojawi się dodatkowa możliwość weryfikacji za pomocą SMS-a (zdjęcie poniżej)

Na kolejnym ekranie jest propozycja zainstalowania Google Authenticator, lecz pomijamy ten krok (mając zainstalowaną inną aplikację obsługującą TOTP, np FreeOTP) wybierając Next.

Kolejny ekran wyświetli nam kod QR oraz możliwość wpisania z palca kodu - opcja znajduje się pod niebieskim linkiem Scan failed?.

Po zeskanowaniu QR-a (dodaniu do aplikacji) należy przepisać wygenerowany kod i zatwierdzić.

Konfiguracja zakończona. Od teraz przy każdym logowaniu będą wymagane poniższe dane:

  • login (e-mail)
  • hasło (podane przy rejestracji)
  • sześcio-cyfrowy ciąg znaków z aplikacji

Zaufane adresy IP

Chcąc zwiększyć swoje bezpieczeństwo podczas prób logowania dodatkowo należy podać listę adresów IP. Owe adresy pozwolą na zalogowanie się do konsoli (interfejsu webowego). Konfiguracja jest bardzo prosta i ogranicza się do podania jednego / wielu adresów oddzielonych średnikiem (;).

Tak jak wcześniej w prawym górnym rogu strony www wybieramy z menu Account Management

Wybieramy Set w pozycji opisanej jako Login Mask

Zgodnie z instrukcją w pole wpisujemy nasze adresy IP z których jesteśmy widoczni w sieci.

Zwróć uwagę, że przy zmiennym IP w domu po zmianie przez ISP Twojego adresu logowanie nie będzie możliwe.

Tutaj proponuję wpisać kilka adresów, aby ustrzec się przed odcięciem sobie możliwości zalogowania.

  • Adres IP z domku (jeśli mamy stałe zewnętrzne IP)
  • Adres IP / pula adresów z naszej firmy (jeśli takowe posiada)
  • Adresy IP kilku naszych VPS-ów / serwerów dedykowanych

Teraz wystarczy zatwierdzić i zmianą są już widoczne w panelu.

Podsumowanie

Krótko: Alibaba Cloud to ciekawa konkurencja dla innych dużych dostawców.

W kolejnym artykule zrobimy podłączenie konta PayPal.

comments powered by Disqus