為什麼資安這麼重要?
因為駭客很簡單,哪邊有利可圖就往哪裡駭!
尤其是對外服務的應用程式,如果又牽扯到一些金流,那更可能遭受到駭客的攻擊。
建議每年可以至 OWASP ( Open Web Application Security Project ),開放網路軟體安全計畫查看每年的 Top10 的資安問題。
以下為 AWS 為了資安所做出來的服務。
Shield 是一種可保護 AWS 上執行的應用程式不受 DDoS 攻擊。
DDoS 針對 Layer 3 網路層以及 Layer 4 傳輸層做攻擊
AWS Shield 有兩種方案 – Standard 與 Advanced。
Standard 無須額外付費,所有的 AWS 資源都自動具有該功能。
舉例來說,我們對外的 EC2、ELB、CloudFront、Global Accelerator 和 Amazon Route 53 。
預設已經具備 Standard 的防護了。
Advanced ,則是提供更高水準的防護,擁有以下特性:
有些 AWS 服務如 CloudFront、Global Accelerator 和 Route 53 節點都可另外開啟 Advanced 功能。
AWS WAF 是一種 Web 應用程式防火牆,不耗用過多資源的幫助你保護 Web 應用程式或 API 不受常見的 Layer 7 應用層的攻擊,如 Web 入侵程式和機器人侵擾。
AWS WAF 包含功能完整的 API,以自動化安全規則的建立、部署和維護。
透過 規則 去防範這些攻擊,建立的規則來篩選流量,以保護 Web 應用程式不受到攻擊。
例如: 可以篩選 Web 請求的任何部分,諸如 IP 位址、HTTP 標頭、HTTP 本文或 URI 字串。
規則可被快速部屬、快速抵禦攻擊,建立規則的方法有兩種: 使用 AWS 受控的規則、自定義的規則。
使用 AWS 受控的規則,可以快速用於解決 OWASP 10 大安全風險或是那種消耗過多資源、偏移指標或可能導致停機時間的自動化機器人...等常見問題。
由 AWS 或 AWS Marketplace 賣方所管理的一組 預先設定的規則
你也可以建立自定義的規則,建立防爬蟲的或封鎖常見攻擊模式 (如 SQL Injection 或跨網站指令碼) 。
以下是幾種常見的部署情境:
定價是以您部署的規則數以及 Web 應用程式收到的請求數為依據。
AWS Firewall Manager 是一種安全管理服務,擁有以下特點:
簡化跨帳戶管理防火牆規則的程序
跨帳戶部署工具
統一設定並稽核安全群組
規則關聯工具
看完所有的資安的解決方式,最大問題是怎麼辨識平民跟士兵。平民是正常來存取的流量,也是你服務正常的使用者;士兵則是來者不善,是來竊取、滲透、攻擊你的服務。
有些解決方案會下降服務的可用性,但是可以減少大多數的攻擊。
在 AWS 的資安架構起點是從 Shield 開始,然後搭配 WAF 和 Firewall Manager 來進行嚴密的過濾。
Shield 過濾掉無效的 DDoS 請求
WAF 過濾掉可疑的封包
Firewall Manager 來做集中式管理與部署 (設定防火牆規則或是 WAF 規則)