iT邦幫忙

2021 iThome 鐵人賽

DAY 21
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 21

Day21: Infrastructure Protection on AWS

接下來我們進入到五大面向的第三個面向:基礎設施保護。

基礎設施保護是雲端資安計劃的關鍵部分,它可以確保您的工作負載中的系統和服務免受意外和未經授權的存取以及暴露潛在的漏洞。在AWS的分類中基礎設備保護又分為網路防護以及運算防護。

網路防護
在設計網路架構時,你應該要採用零信任(Zero trust)的機制去完全避免任何人或服務能去存取你網路層級的任何資源。AWS的許多服務都是建立於VPC內,而VPC內的資安規則都是由上到下繼承的,透過人力來檢查太耗工費時,所以建立自動化機制是很重要的。

相較於過往地端將服務放在同一個子網域狀況,在AWS上的儲存公司或個人資料的AP層Instance、RDS等服務應放在不對外連網的子網域。如果是要進行VPC互相連接可採用Peering或是Transit Gateway等服務走AWS私有骨幹網路進行傳輸。

在Instance以及VPC層級可使用前面Day 3以及Day 4文章所提到的SG、NACL進行流量存取的控制。如果是要連結不在VPC內的服務,例如:S3、Dynamo DB,可以透過endpoint或是走PrivateLink的形式進行連接。
除了流量控制之外,你也可以透過在ELB、CloudFront、API Gateway上面加裝WAF來阻擋HTTP相關的攻擊,來阻擋L7的攻擊,或是透過Sheild (Advanced)來阻擋L3、4、7攻擊。

運算防護
雖然在AWS上的運算服務有非常多項,但你可以為他們歸類出幾個策略,如:深度防護、漏洞管理、配置及操作自動化等概念。

漏洞管理的部分,系統OS必須要隨時進行Patch的更新,你可以透過AWS System Manager 的Patch Manager來上Patch,減少人為手動作業。在服務的選擇上,可以選擇AWS 託管的服務如RDS,他們將會自動幫您進行備份、更新、擴展,讓整體流程更加自動化。

基礎設施保護介紹先講到這邊,下篇進入相關服務介紹


上一篇
Day 20: Security Hub 新帳號加入、Insight設定
下一篇
Day22: WAF、Firewall Manager、Shield簡介
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言