iT邦幫忙

2021 iThome 鐵人賽

DAY 24
0
Security

過關斬將,資安面試300題系列 第 24

雲端資安之AWS篇

  • 分享至 

  • xImage
  •  

今天要談的是AWS(Amazon Web Services)雲端服務,
這個也是眾多雲端服務當中,我最熟悉,也是唯一熟悉的一個了。

不過也只是我自己本身相較其他來說熟悉啦XD
硬要說都還是弱弱的,2019年底幸運取得AWS Security認證之後,
其實根本就沒有甚麼管理、架設或是維運AWS的服務,
所以只是大概知道有哪些服務,可以做的甚麼事情,一些安全相關知識。

不過今後算是會有機會碰到了~
也要開始慢慢花時間找回過去記憶,並且持續學習與熟悉AWS服務。

今年鐵人賽也有其他人主題是與AWS相關的,也有AWS資安,
弱有興趣的話,當然是建議去好好花點時間看看別人的心血。

照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麼是Security Group?

SG(Security Group)其實就算是EC2的防火牆啦,可以針對這台EC2進行存取控制的設定。

2.AWS Inspector跟Trusted Advisor有甚麼差異?

inspector是看OS裡面(只負責看跟找出弱點,不會做任何動作)trusted advisor是看外面到防火牆,譬如今天port 22 開啟有問題advisor會跟你說開啟這個有問題inspector則是看進入port22裡面會造成的弱點。兩者是互補,功能不重複矛盾。

3.甚麼是AWS Shield?

AWS Shield是針對DDoS的保護服務,他也只提供DDoS的保護。

4.除了AWS Shield,甚麼樣的服務,也是可以達到減緩DDoS攻擊?

CLoudFront, Route 53還有Elastic Load Balancing(ELB)都可以。

5.甚麼是CloudWatch?是否可以利用該服務協助進行稽核。

CloudWatch是針對Performance進行監控與告警的服務。不合適用作稽核,CloudWatch並非稽核的監控,
而是效能的監控(metric),還有硬碟I/O、網路流量、CPU使用量等。

6.VPC peering

VPC Peering是將兩個VPC串在一起的,可以將兩個不同帳戶的VPC跟VPC串在一起,也可以跨帳號,也可以跨region。

7.permissions boundary

限制權限的。沒告訴你甚麼可以做,但是告訴你甚麼不能做。

8.Dedicated Instances vs. Hosts

Dedicated Instances運行你的instances上的Server不會有別人的Instances。可是每次運行時,你有可能會換到不同的server主機。Dedicated Hosts就是這台主機就是你的,只會運行你的instance每次開機都在同個主機。

9.如果你的EC2被入侵了,你會執行甚麼樣的動作?

先stop instance,接著將EBS進行snapshot,再利用snapshot重新佈署一個隔離環境的instance,開始進行調查與鑑識。

10.當你在IAM中要對identity設定Policy,有哪幾種policy?

針對identift-based的policy,有AWS Managed policies、Customer Managed policies跟Inline policies三種。

11.AWS Secrets Manager與Parameter Store有甚麼區分?

Secrets Manager主要是用來保護API/SSH的Key,或是DB裡面的credentials資訊,在傳輸與儲存過程中內容都會是加密的,並且可以與RDS整合,然後需要付費。Parameter Store可以用來儲存各種參數、設定資訊、或是帳號密碼資訊也都可以,可以是明文也可以是加密,然後不用付費。

12.甚麼是AWS Config?

AWS Config是可以讓你評估與稽核目前AWS當中各項資源設定的服務,也會記錄設定有甚麼更變,也能夠透過一些Rules去檢驗說有甚麼不符合Rules的異動。

13.甚麼是Amazon GuardDuty?

GuardDuty是一種威脅偵測服務,可以持續監控VPC Flow或是CloudTrail等Log,來去判斷說是否有存在可能的惡意行為、惡意流量、或是未經授權的行為。並且會整合CrowdStrike和Proofpoint的最新威脅情報,也會利用機器學習分析偵測。


AWS麻煩的,應該都不會是上面的問題XDD
IAM當中對於Role, User還有Resourese的權限設定,
然後還有要串接各種服務的時候要設定的權限,
這個我覺得就算是麻煩的惹。

大公司當中,牽扯到跨Region還有跨帳號,
多個帳號不同服務串接的情況,
這個真的是要很熟悉AWS服務才行。

其實也不止AWS啦,各家應該都差不多。

若有要補充也都歡迎留言


上一篇
雲端資安之GCP篇(Google Cloud Platform)
下一篇
雲端資安之Azure篇(Microsoft)
系列文
過關斬將,資安面試300題30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-10-09 01:34:26

稽核還是用Cloudtrail嗎?很久沒碰AWS了

HackerCat iT邦新手 2 級 ‧ 2021-10-09 11:29:11 檢舉

我目前自己是也沒在用,
不過當初學的內容,
稽核的話應該Cloudtrail、AWS Config、AWS Security Hub
這幾個服務都是與稽核、合規有相關。
當然也還有其他服務都有相關,至於新的服務我就不知道了,
雲端廠商服務其實都變動滿快的XD

確實~因為雲端服務變滿快,一直在想到底要不要去考證照

我要留言

立即登入留言