Day 22 - 資安架構

14th鐵人賽 aws shield aws waf aws firewall manager

1166 瀏覽

資安架構

為什麼資安這麼重要?

因為駭客很簡單，哪邊有利可圖就往哪裡駭！

尤其是對外服務的應用程式，如果又牽扯到一些金流，那更可能遭受到駭客的攻擊。

建議每年可以至 OWASP ( Open Web Application Security Project )，開放網路軟體安全計畫查看每年的 Top10 的資安問題。

以下為 AWS 為了資安所做出來的服務。

Shield 是一種可保護 AWS 上執行的應用程式不受 DDoS 攻擊。

DDoS 針對 Layer 3 網路層以及 Layer 4 傳輸層做攻擊

AWS Shield 有兩種方案 – Standard 與 Advanced。

Standard 無須額外付費，所有的 AWS 資源都自動具有該功能。

舉例來說，我們對外的 EC2、ELB、CloudFront、Global Accelerator 和 Amazon Route 53 。

預設已經具備 Standard 的防護了。

Advanced ，則是提供更高水準的防護，擁有以下特性:

有些 AWS 服務如 CloudFront、Global Accelerator 和 Route 53 節點都可另外開啟 Advanced 功能。

AWS WAF 是一種 Web 應用程式防火牆，不耗用過多資源的幫助你保護 Web 應用程式或 API 不受常見的 Layer 7 應用層的攻擊，如 Web 入侵程式和機器人侵擾。

AWS WAF 包含功能完整的 API，以自動化安全規則的建立、部署和維護。

透過規則去防範這些攻擊，建立的規則來篩選流量，以保護 Web 應用程式不受到攻擊。

例如: 可以篩選 Web 請求的任何部分，諸如 IP 位址、HTTP 標頭、HTTP 本文或 URI 字串。

規則可被快速部屬、快速抵禦攻擊，建立規則的方法有兩種: 使用 AWS 受控的規則、自定義的規則。

使用 AWS 受控的規則，可以快速用於解決 OWASP 10 大安全風險或是那種消耗過多資源、偏移指標或可能導致停機時間的自動化機器人...等常見問題。

由 AWS 或 AWS Marketplace 賣方所管理的一組 預先設定的規則

你也可以建立自定義的規則，建立防爬蟲的或封鎖常見攻擊模式 (如 SQL Injection 或跨網站指令碼) 。

以下是幾種常見的部署情境:

定價是以您部署的規則數以及 Web 應用程式收到的請求數為依據。

AWS Firewall Manager 是一種安全管理服務，擁有以下特點:

簡化跨帳戶管理防火牆規則的程序
- 在 AWS Organizations 中跨帳戶和應用程式，集中設定和管理防火牆規則
- 從中央管理員帳戶建立防火牆規則、建立安全政策，並在整個基礎架構中以一致、分層的方式加以執行。
- 新應用程式的建立時，強制執行一組通用的安全規則讓新應用程式和資源合規
跨帳戶部署工具
- 可以輕鬆設定分發 Application Load Balancer、API Gateway 和 CloudFront 的 AWS WAF 規則。
- 可以跨組織中的帳戶和 VPC 部署 AWS Network Firewall。
統一設定並稽核安全群組
- 為 EC2、Application Load Balancer 和彈性網路界面 (ENI) 設定新的 VPC 安全群組
- 稽核現有的 VPC 安全群組。
規則關聯工具
- 可以將 VPC 與 Route 53 的 Resolvers DNS Firewall 規則進行關聯