接下来我们进入到五大面向的第三个面向:基础设施保护。
基础设施保护是云端资安计划的关键部分,它可以确保您的工作负载中的系统和服务免受意外和未经授权的存取以及暴露潜在的漏洞。在AWS的分类中基础设备保护又分为网路防护以及运算防护。
网路防护
在设计网路架构时,你应该要采用零信任(Zero trust)的机制去完全避免任何人或服务能去存取你网路层级的任何资源。AWS的许多服务都是建立於VPC内,而VPC内的资安规则都是由上到下继承的,透过人力来检查太耗工费时,所以建立自动化机制是很重要的。
相较於过往地端将服务放在同一个子网域状况,在AWS上的储存公司或个人资料的AP层Instance、RDS等服务应放在不对外连网的子网域。如果是要进行VPC互相连接可采用Peering或是Transit Gateway等服务走AWS私有骨干网路进行传输。
在Instance以及VPC层级可使用前面Day 3以及Day 4文章所提到的SG、NACL进行流量存取的控制。如果是要连结不在VPC内的服务,例如:S3、Dynamo DB,可以透过endpoint或是走PrivateLink的形式进行连接。
除了流量控制之外,你也可以透过在ELB、CloudFront、API Gateway上面加装WAF来阻挡HTTP相关的攻击,来阻挡L7的攻击,或是透过Sheild (Advanced)来阻挡L3、4、7攻击。
运算防护
虽然在AWS上的运算服务有非常多项,但你可以为他们归类出几个策略,如:深度防护、漏洞管理、配置及操作自动化等概念。
漏洞管理的部分,系统OS必须要随时进行Patch的更新,你可以透过AWS System Manager 的Patch Manager来上Patch,减少人为手动作业。在服务的选择上,可以选择AWS 托管的服务如RDS,他们将会自动帮您进行备份、更新、扩展,让整体流程更加自动化。
基础设施保护介绍先讲到这边,下篇进入相关服务介绍
经历了30天的铁人赛後,再次将我之前所学的再次地复习了一遍, 也藉此更了解到我之前到底都学了什麽,可...
由于Debian 9默认的就是4.9的内核而且编译了TCP BBR的内容,所以可以直接通过参数开启。...
一般而言会接收Id (可能是个Pk 唯一值)来进行删除操作 这里一样是新增删除action在上几篇的...
Logistic regression的介绍 Logistic regression就跟其他的回归...
先来回顾一下目前铁人付外挂的资料夹结构: iron-pay ├── composer.json ├─...