Day21: Infrastructure Protection on AWS

接下来我们进入到五大面向的第三个面向:基础设施保护。

基础设施保护是云端资安计划的关键部分，它可以确保您的工作负载中的系统和服务免受意外和未经授权的存取以及暴露潜在的漏洞。在AWS的分类中基础设备保护又分为网路防护以及运算防护。

网路防护
在设计网路架构时，你应该要采用零信任(Zero trust)的机制去完全避免任何人或服务能去存取你网路层级的任何资源。AWS的许多服务都是建立於VPC内，而VPC内的资安规则都是由上到下继承的，透过人力来检查太耗工费时，所以建立自动化机制是很重要的。

相较於过往地端将服务放在同一个子网域状况，在AWS上的储存公司或个人资料的AP层Instance、RDS等服务应放在不对外连网的子网域。如果是要进行VPC互相连接可采用Peering或是Transit Gateway等服务走AWS私有骨干网路进行传输。

在Instance以及VPC层级可使用前面Day 3以及Day 4文章所提到的SG、NACL进行流量存取的控制。如果是要连结不在VPC内的服务，例如:S3、Dynamo DB，可以透过endpoint或是走PrivateLink的形式进行连接。
除了流量控制之外，你也可以透过在ELB、CloudFront、API Gateway上面加装WAF来阻挡HTTP相关的攻击，来阻挡L7的攻击，或是透过Sheild (Advanced)来阻挡L3、4、7攻击。

运算防护
虽然在AWS上的运算服务有非常多项，但你可以为他们归类出几个策略，如:深度防护、漏洞管理、配置及操作自动化等概念。

漏洞管理的部分，系统OS必须要随时进行Patch的更新，你可以透过AWS System Manager 的Patch Manager来上Patch，减少人为手动作业。在服务的选择上，可以选择AWS 托管的服务如RDS，他们将会自动帮您进行备份、更新、扩展，让整体流程更加自动化。

基础设施保护介绍先讲到这边，下篇进入相关服务介绍