SEC 5: 如何保護您的網路資源?
任何具有某種網路連線能力的工作負載,無論是網際網路或私有網路,都需要多層防禦來協助保護其不受外部和內部網路威脅的影響。
資源
Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC
最佳實務:
-
建立網路層: 將共用連線能力需求的元件分組成許多層。例如:不需存取網際網路的 VPC 中的資料庫叢集,應放置在沒有往返網際網路路由的子網路中。在沒有 VPC 的情況下操作的無伺服器工作負載中,與微型服務類似的分層和區隔可以達到相同的目標。
-
控制所有層級的流量: 針對傳入和傳出流量套用深入防禦方法的控制項。例如:對於 Amazon Virtual Private Cloud (VPC),這包括安全群組、網路 ACL 和子網路。對於 AWS Lambda,請考慮使用以 VPC 為基礎的控制在您的私有 VPC 中執行。
-
自動化網路保護: 自動化保護機制,以借助威脅情報和異常偵測提供自衛網路。例如:可以主動適應目前威脅並降低其影響的入侵偵測和預防工具。
-
實作檢查和保護: 檢查和篩選每一層的流量。例如:使用網頁應用程式防火牆,以協助防止應用程式網路層意外存取。對於 Lambda 函數,第三方工具可以新增應用程式層防火牆到您的執行時間環境。
改進方案
建立網路層
VPCs and subnets
Route tables
控制所有層級的流量
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points
自動化網路保護
AWS WAF security automations
Infrastructure security
實作檢查和保護
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
VPC traffic mirroring