今天要谈的是AWS(Amazon Web Services)云端服务,
这个也是众多云端服务当中,我最熟悉,也是唯一熟悉的一个了。
不过也只是我自己本身相较其他来说熟悉啦XD
硬要说都还是弱弱的,2019年底幸运取得AWS Security认证之後,
其实根本就没有甚麽管理、架设或是维运AWS的服务,
所以只是大概知道有哪些服务,可以做的甚麽事情,一些安全相关知识。
不过今後算是会有机会碰到了~
也要开始慢慢花时间找回过去记忆,并且持续学习与熟悉AWS服务。
今年铁人赛也有其他人主题是与AWS相关的,也有AWS资安,
弱有兴趣的话,当然是建议去好好花点时间看看别人的心血。
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
SG(Security Group)其实就算是EC2的防火墙啦,可以针对这台EC2进行存取控制的设定。
inspector是看OS里面(只负责看跟找出弱点,不会做任何动作)trusted advisor是看外面到防火墙,譬如今天port 22 开启有问题advisor会跟你说开启这个有问题inspector则是看进入port22里面会造成的弱点。两者是互补,功能不重复矛盾。
AWS Shield是针对DDoS的保护服务,他也只提供DDoS的保护。
CLoudFront, Route 53还有Elastic Load Balancing(ELB)都可以。
CloudWatch是针对Performance进行监控与告警的服务。不合适用作稽核,CloudWatch并非稽核的监控,
而是效能的监控(metric),还有硬碟I/O、网路流量、CPU使用量等。
VPC Peering是将两个VPC串在一起的,可以将两个不同帐户的VPC跟VPC串在一起,也可以跨帐号,也可以跨region。
限制权限的。没告诉你甚麽可以做,但是告诉你甚麽不能做。
Dedicated Instances运行你的instances上的Server不会有别人的Instances。可是每次运行时,你有可能会换到不同的server主机。Dedicated Hosts就是这台主机就是你的,只会运行你的instance每次开机都在同个主机。
先stop instance,接着将EBS进行snapshot,再利用snapshot重新布署一个隔离环境的instance,开始进行调查与监识。
针对identift-based的policy,有AWS Managed policies、Customer Managed policies跟Inline policies三种。
Secrets Manager主要是用来保护API/SSH的Key,或是DB里面的credentials资讯,在传输与储存过程中内容都会是加密的,并且可以与RDS整合,然後需要付费。Parameter Store可以用来储存各种参数、设定资讯、或是帐号密码资讯也都可以,可以是明文也可以是加密,然後不用付费。
AWS Config是可以让你评估与稽核目前AWS当中各项资源设定的服务,也会记录设定有甚麽更变,也能够透过一些Rules去检验说有甚麽不符合Rules的异动。
GuardDuty是一种威胁侦测服务,可以持续监控VPC Flow或是CloudTrail等Log,来去判断说是否有存在可能的恶意行为、恶意流量、或是未经授权的行为。并且会整合CrowdStrike和Proofpoint的最新威胁情报,也会利用机器学习分析侦测。
AWS麻烦的,应该都不会是上面的问题XDD
IAM当中对於Role, User还有Resourese的权限设定,
然後还有要串接各种服务的时候要设定的权限,
这个我觉得就算是麻烦的惹。
大公司当中,牵扯到跨Region还有跨帐号,
多个帐号不同服务串接的情况,
这个真的是要很熟悉AWS服务才行。
其实也不止AWS啦,各家应该都差不多。
若有要补充也都欢迎留言
<<: 【Day 23】Google Apps Script - API Blueprint 篇 - Google Docs 转换 API Blueprint 格式(1)
这是 Roblox 从零开始系列,在效果章节的单元,今天你将学会如何透过粒子发射器来做出基本的粒子特...
前言 今天的东西比较少程序,不过就是UIvs方法拉来拉去做连结,所以我尽量截图让开发过程能被描述的更...
之前在上一间新创公司时,其他部门的成员就有在使用 HubSpot CRM 进行客户管理,当时也曾经帮...
Go provide pointer similar to C and C++. Go use &a...
记得一定要搭配上一篇环境配置的前半段! 使用 Tailwind CLI 安装 先建立一个资料夹(名...