SEC 5: 如何保护您的网络资源?
任何以某种形式连接至网络的工作负载(互联网或私有网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。
资源
Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC
最佳实践:
-
创建网络层: 将具有相同可访问性需求的组件分组为若干层。例如,应将 VPC 中无需进行互联网访问的数据库集群放在无法向/从互联网路由的子网中。在不使用 VPC 操作的无服务器工作负载中,使用微服务进行类似的分层和隔离可实现相同目的。
-
控制所有层的流量: 为入站和出站流量应用具有深度防御方法的控制措施。例如,对于 Amazon Virtual Private Cloud (VPC),这通过安全组、网络 ACL 和子网来实现。对于 AWS Lambda,请考虑在私有 VPC 中运行时使用基于 VPC 的控制措施。
-
自动执行网络防护: 自动运行保护机制,以提供基于威胁情报和异常检测的自我防御网络。例如,可主动应对最新威胁并减轻其影响的入侵检测和预防工具。
-
实施检查和保护: 检查和筛选每层的流量。例如,使用 Web 应用程序防火墙可帮助防止应用程序网络层遭到意外访问。对于 Lambda 函数,第三方工具可将应用程序层防火墙添加到运行时环境中。
改进计划
创建网络层
VPCs and subnets
Route tables
控制所有层的流量
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points
自动执行网络防护
AWS WAF security automations
Infrastructure security
实施检查和保护
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
VPC traffic mirroring