Alibaba Cloud - duży gracz na rynku Cloud Computing
Ali Cloud - Aliyun - Chiński dostawca chmury obliczeniowej. Tworzenie konta, ustawienie 2FA + podniesienia bezpieczeństwa
Kilka słów o Alibaba Group
Grupa Alibaba powstała w 1999 roku. Obecnie zatrudnia ok. 93 tyś. pracowników. Nazwa firmy pochodzi od Ali Baby - postać z bliskowschodniej kolekcji opowiadań ludowych One Thousand and One Nights i powstała ze względu na jej uniwersalny wygląd. Logo Grupy (źródło: https://www.alibabagroup.com/en/global/home)
Kilka słów o Alibaba Cloud (Aliyun / AliCloud)
Niebawem dziesięciolecie (wrzesień 2019) platformy Alibaba Cloud. Platforma chmury obliczeniowej Alibaba ma ponad 50% udziału w rynku w Chinach (luty 2019, źródło: https://www.fool.com). Logo firmy zapisane w języku ojczystym:
Usługi Cloud dostępne są dla nas od 2014 roku a w listopadzie 2016 powstał pierwszy w Europie rejon w Frankfurcie.
Ważniejsze usługi
W skrócie jak wyglądają oferta Alibaba Cloud.
| Gałąź technologi | Opis |
|---|---|
| Elastic Computing | Usługi wykorzystujące moce obliczeniowe, równoważenie obciążenia, (zaawansowane) możliwości sieciowe |
| Storage & CDN | Przechowuje i udostępnia duże ilość danych i obiektów za pomocą zarządzanych produktów do przechowywania i dostarczania treści |
| Networking | Twórz i zabezpieczaj sieci dla swoich usług (np. Cloud VPC, ExpressConnect |
| Database Services | Zarządzanie bazami danych |
| Security | Ochrona danych, aplikacji i serwerów przed złośliwymi atakami |
| Monitoring & Management | Zarządzaj i monitoruj w czasie rzeczywistym dedykowanymi do tego narzędziami |
| Domains & Website | Obsługa domen i DNSa Alibaba Cloud |
| Analytics & Big Data | Narzędzia do analityki hurtowni danych, analiza biznesowa, przetwarzanie wsadowe, przetwarzanie strumieniowe, uczenie maszynowe i rozwiązania Big Data |
| Application Service | Komponenty i narzędzia do zarządzania i tworzenia aplikacji i zarządzanie nimi |
| Media Services | Platforma to przetwarzania dźwięku i obrazu (video) |
| Middleware | Rozwiązania mikroserwisowe i wdrażanie aplikacji |
| Cloud Communication | Usługa Short Message Service |
| Apsara Stack | Połączenie naszego onpremisowego środowiska z Alibabą |
| Internet of Things | Dwa narzędzia IoT Platform i IoV Command Center |
Rozpoczęcie pracy - tworzenie konta
Możemy utworzyć konto na dwa sposoby:
- za pomocą witryny internetowej
- za pomocą aplikacji
Dzisiaj utworzymy sobie konto pierwszym sposobem (za pośrednictwem strony www). Przy rejestracji na pierwszym ekranie uzupełniamy:
| Pole | Wartość | Uwagi |
|---|---|---|
| Kraj | Poland | Należy mieć na uwadze, że po zatwierdzeniu naszego wyboru nie ma możliwości zmiany tego parametru |
| marcin@gnulinux.pl | Zostanie wysłana informacja o rejestracji | |
| Password | tAJn3_Haa$#o7_max20 | Maksymalnie 20 znaków :/ |
| Confirm | tAJn3_Haa$#o7_max20 | Potwierdzamy wpisując ponownie to samo hasło |
Należy pamiętać o wyrażeniu zgody - zatwierdzeniu regulaminu.
Po zatwierdzeniu wyświetli nam się okienko z prośbą o przepisanie sześcio-cyfrowego kody weryfikującego poprawność naszego adresu e-mail. Po weryfikacji otrzymamy kolejnego maila z informacją o utworzeniu konta.
Już od teraz mamy dostęp do konsoli Alibaba Cloud. Kolejnym etapem będzie włączenie:
- wieloetapowej autoryzacji (MFA)
- ograniczenie dostępu do konsoli na podstawie listy dozwolonych adresów IP
Weryfikacja TOTP
W prawym górnym rogu strony www wybieramy z menu Account Management
Wieloetapowa autoryzacja (MFA) tutaj widnieje w pozycji Account Protection jako weryfikacja TOTP (Time-based One-Time Password algorithm).
Opisywana konfiguracja zwiększa bezpieczeństwo. Polega na dodaniu do naszej aplikacji na telefonie / tablecie / laptopie / komputerze / pralce kodu (który jest ciągiem znaków znanym tylko Tobie i serwerowi). W większości przypadków nasza aplikacja zeskanuje obrazek z kodem QR w którym jest zawarty wspomniany kod. W przypadku problemów (zeskanowanie kodu jest niemożliwe lub aplikacja kliencka nie ma takiej funkcjonalności) można go przepisać. Otrzymany w ten sposób wpis w naszej aplikacji generuje kod autoryzacyjny co 30 sekund i powstaje z kodu oraz bieżącego znacznika czasu.
Uogólniając:
qwertyKODqwerty + 1234CZAS56789 = 123456
Generowanie odbywa się jednocześnie po stronie klienta (nas) jak i po stronie serwera (usługi do której się logujemy). Większość aplikacji generuje 6-cio cyfrowy ciąg znaków, lecz jest możliwość otrzymania ośmio-cyfrowej kombinacji (zależy to od konfiguracji usługi przez serwis). Na urządzenia mobilne polecam aplikację FreeOTP, ponieważ:
- Open Source
- obsługa HOTP i TOTP
- dodawanie za pomocą kodu QR lub wpisanie kodu ręcznie
- licencja Apache 2.0
- wspierany przez Red Hat-a
- wspiera iOS-a i Android-a
- klarowny interfejs i intuicyjna obsługa
- więcej w repo: https://github.com/freeotp
Osoby zaciekawione tematem zachęcam do lektury (kolejność losowa):
- https://tools.ietf.org/html/rfc1321
- https://tools.ietf.org/html/rfc2104
- https://tools.ietf.org/html/rfc4226
- https://tools.ietf.org/html/draft-mraihi-totp-timebased-08
Włączenie dodatkowej ochrony
W Account Protection wybieramy Edit
W formularzu zaznaczamy poniższe opcje:
Obszary wymagające ochrony
- logowanie do konta
- zmiana danych konta
Metoda weryfikacji
- TOTP
Istnieje możliwość weryfikacji za pomocą kodu SMS, lecz owe rozwiązanie (w mojej ocenie) jest zawodne i mniej bezpieczne.
Po otrzymanie komunikatu o podobnej treści:
Verification in progress m^^^^@gnulinux.pl Enable TOTP Please select the method of verification
Wybieramy By Email Verification. Na poczcie otrzymamy sześcio-cyfrowy kod, który przepisujemy do interfejsu webowego i zatwierdzamy klawiszem Submit.
Jeśli wcześniej podaliśmy numer telefony to automatycznie pojawi się dodatkowa możliwość weryfikacji za pomocą SMS-a (zdjęcie poniżej)
Na kolejnym ekranie jest propozycja zainstalowania Google Authenticator, lecz pomijamy ten krok (mając zainstalowaną inną aplikację obsługującą TOTP, np FreeOTP) wybierając Next.
Kolejny ekran wyświetli nam kod QR oraz możliwość wpisania z palca kodu - opcja znajduje się pod niebieskim linkiem Scan failed?.
Po zeskanowaniu QR-a (dodaniu do aplikacji) należy przepisać wygenerowany kod i zatwierdzić.
Konfiguracja zakończona. Od teraz przy każdym logowaniu będą wymagane poniższe dane:
- login (e-mail)
- hasło (podane przy rejestracji)
- sześcio-cyfrowy ciąg znaków z aplikacji
Zaufane adresy IP
Chcąc zwiększyć swoje bezpieczeństwo podczas prób logowania dodatkowo należy podać listę adresów IP. Owe adresy pozwolą na zalogowanie się do konsoli (interfejsu webowego). Konfiguracja jest bardzo prosta i ogranicza się do podania jednego / wielu adresów oddzielonych średnikiem (;).
Tak jak wcześniej w prawym górnym rogu strony www wybieramy z menu Account Management
Wybieramy Set w pozycji opisanej jako Login Mask
Zgodnie z instrukcją w pole wpisujemy nasze adresy IP z których jesteśmy widoczni w sieci.
Zwróć uwagę, że przy zmiennym IP w domu po zmianie przez ISP Twojego adresu logowanie nie będzie możliwe.
Tutaj proponuję wpisać kilka adresów, aby ustrzec się przed odcięciem sobie możliwości zalogowania.
- Adres IP z domku (jeśli mamy stałe zewnętrzne IP)
- Adres IP / pula adresów z naszej firmy (jeśli takowe posiada)
- Adresy IP kilku naszych VPS-ów / serwerów dedykowanych
Teraz wystarczy zatwierdzić i zmianą są już widoczne w panelu.
Podsumowanie
Krótko: Alibaba Cloud to ciekawa konkurencja dla innych dużych dostawców.
W kolejnym artykule zrobimy podłączenie konta PayPal.
