SEC05-BP04 实施检查和保护 - AWS Well-Architected Framework
实施指导资源

SEC05-BP04 实施检查和保护

检查和筛选每层的流量。您可以使用 VPC Network Access Analyzer检测 VPC 配置中可能存在的意外访问。您可以指定网络访问需求,然后确定不能满足这些要求的潜在网络路径。对于通过基于 HTTP 的协议处理的组件,Web 应用程序防火墙可帮助防止常见的攻击。 AWS WAF 是一个 Web 应用程序防火墙,可监控和拦截与转发到 Amazon API Gateway API、Amazon CloudFront 或 Application Load Balancer 的可配置规则匹配的 HTTP(s) 请求。要开始使用 AWS WAF,您可以将 AWS 托管式规则 与您自己的规则结合使用,也可以使用现有的 合作伙伴集成

要管理 AWS WAF、AWS Shield Advanced 保护以及跨 AWS Organizations 的 Amazon VPC 安全组,您可以使用 AWS Firewall Manager。它允许您跨账户和应用程序集中配置和管理防火墙规则,从而更轻松地扩展常见规则的实施。通过使用 AWS Shield Advanced或 能够自动拦截向 您的 Web 应用程序发送非必要请求的解决方案,它还使您能够快速响应攻击。Firewall Manager 也可以与 AWS Network Firewall结合使用。AWS Network Firewall 是一种托管服务,使用规则引擎为您提供对有状态和无状态网络流量的精细控制。它支持 与 Suricata 兼容的 开源入侵防御系统(IPS,Intrusion Prevention System)规范,以便使用规则来保护您的工作负载。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

  • 配置 Amazon GuardDuty:GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户 和工作负载。启用 GuardDuty 并配置自动化警报。

  • 配置虚拟私有云(VPC)流日志:VPC 流日志功能使您能够进一步捕获有关传入和传出 VPC 中网络接口的 IP 流量信息。流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon Simple Storage Service(Amazon S3)。创建流日志后,您可以在选定目标中检索和查看其数据。

  • 考虑使用 VPC 流量径向:流量镜像是一项 Amazon VPC 功能,您可以用它从 Amazon Elastic Compute Cloud(Amazon EC2)实例的弹性网络接口复制网络流量,然后将其发送到带外安全和监控设备,以进行内容检查、威胁监控和故障排除。

资源

相关文档:

相关视频:

相关示例: