接下來我們進入到五大面向的第三個面向:基礎設施保護。
基礎設施保護是雲端資安計劃的關鍵部分,它可以確保您的工作負載中的系統和服務免受意外和未經授權的存取以及暴露潛在的漏洞。在AWS的分類中基礎設備保護又分為網路防護以及運算防護。
網路防護
在設計網路架構時,你應該要採用零信任(Zero trust)的機制去完全避免任何人或服務能去存取你網路層級的任何資源。AWS的許多服務都是建立於VPC內,而VPC內的資安規則都是由上到下繼承的,透過人力來檢查太耗工費時,所以建立自動化機制是很重要的。
相較於過往地端將服務放在同一個子網域狀況,在AWS上的儲存公司或個人資料的AP層Instance、RDS等服務應放在不對外連網的子網域。如果是要進行VPC互相連接可採用Peering或是Transit Gateway等服務走AWS私有骨幹網路進行傳輸。
在Instance以及VPC層級可使用前面Day 3以及Day 4文章所提到的SG、NACL進行流量存取的控制。如果是要連結不在VPC內的服務,例如:S3、Dynamo DB,可以透過endpoint或是走PrivateLink的形式進行連接。
除了流量控制之外,你也可以透過在ELB、CloudFront、API Gateway上面加裝WAF來阻擋HTTP相關的攻擊,來阻擋L7的攻擊,或是透過Sheild (Advanced)來阻擋L3、4、7攻擊。
運算防護
雖然在AWS上的運算服務有非常多項,但你可以為他們歸類出幾個策略,如:深度防護、漏洞管理、配置及操作自動化等概念。
漏洞管理的部分,系統OS必須要隨時進行Patch的更新,你可以透過AWS System Manager 的Patch Manager來上Patch,減少人為手動作業。在服務的選擇上,可以選擇AWS 託管的服務如RDS,他們將會自動幫您進行備份、更新、擴展,讓整體流程更加自動化。
基礎設施保護介紹先講到這邊,下篇進入相關服務介紹