今天要談的是AWS(Amazon Web Services)雲端服務,
這個也是眾多雲端服務當中,我最熟悉,也是唯一熟悉的一個了。
不過也只是我自己本身相較其他來說熟悉啦XD
硬要說都還是弱弱的,2019年底幸運取得AWS Security認證之後,
其實根本就沒有甚麼管理、架設或是維運AWS的服務,
所以只是大概知道有哪些服務,可以做的甚麼事情,一些安全相關知識。
不過今後算是會有機會碰到了~
也要開始慢慢花時間找回過去記憶,並且持續學習與熟悉AWS服務。
今年鐵人賽也有其他人主題是與AWS相關的,也有AWS資安,
弱有興趣的話,當然是建議去好好花點時間看看別人的心血。
照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252
SG(Security Group)其實就算是EC2的防火牆啦,可以針對這台EC2進行存取控制的設定。
inspector是看OS裡面(只負責看跟找出弱點,不會做任何動作)trusted advisor是看外面到防火牆,譬如今天port 22 開啟有問題advisor會跟你說開啟這個有問題inspector則是看進入port22裡面會造成的弱點。兩者是互補,功能不重複矛盾。
AWS Shield是針對DDoS的保護服務,他也只提供DDoS的保護。
CLoudFront, Route 53還有Elastic Load Balancing(ELB)都可以。
CloudWatch是針對Performance進行監控與告警的服務。不合適用作稽核,CloudWatch並非稽核的監控,
而是效能的監控(metric),還有硬碟I/O、網路流量、CPU使用量等。
VPC Peering是將兩個VPC串在一起的,可以將兩個不同帳戶的VPC跟VPC串在一起,也可以跨帳號,也可以跨region。
限制權限的。沒告訴你甚麼可以做,但是告訴你甚麼不能做。
Dedicated Instances運行你的instances上的Server不會有別人的Instances。可是每次運行時,你有可能會換到不同的server主機。Dedicated Hosts就是這台主機就是你的,只會運行你的instance每次開機都在同個主機。
先stop instance,接著將EBS進行snapshot,再利用snapshot重新佈署一個隔離環境的instance,開始進行調查與鑑識。
針對identift-based的policy,有AWS Managed policies、Customer Managed policies跟Inline policies三種。
Secrets Manager主要是用來保護API/SSH的Key,或是DB裡面的credentials資訊,在傳輸與儲存過程中內容都會是加密的,並且可以與RDS整合,然後需要付費。Parameter Store可以用來儲存各種參數、設定資訊、或是帳號密碼資訊也都可以,可以是明文也可以是加密,然後不用付費。
AWS Config是可以讓你評估與稽核目前AWS當中各項資源設定的服務,也會記錄設定有甚麼更變,也能夠透過一些Rules去檢驗說有甚麼不符合Rules的異動。
GuardDuty是一種威脅偵測服務,可以持續監控VPC Flow或是CloudTrail等Log,來去判斷說是否有存在可能的惡意行為、惡意流量、或是未經授權的行為。並且會整合CrowdStrike和Proofpoint的最新威脅情報,也會利用機器學習分析偵測。
AWS麻煩的,應該都不會是上面的問題XDD
IAM當中對於Role, User還有Resourese的權限設定,
然後還有要串接各種服務的時候要設定的權限,
這個我覺得就算是麻煩的惹。
大公司當中,牽扯到跨Region還有跨帳號,
多個帳號不同服務串接的情況,
這個真的是要很熟悉AWS服務才行。
其實也不止AWS啦,各家應該都差不多。
若有要補充也都歡迎留言
稽核還是用Cloudtrail嗎?很久沒碰AWS了
我目前自己是也沒在用,
不過當初學的內容,
稽核的話應該Cloudtrail、AWS Config、AWS Security Hub
這幾個服務都是與稽核、合規有相關。
當然也還有其他服務都有相關,至於新的服務我就不知道了,
雲端廠商服務其實都變動滿快的XD
確實~因為雲端服務變滿快,一直在想到底要不要去考證照