保护网络

无论是己方用户还是客户方用户，都可能位于任何地方。您必须摆脱传统模式，即不再对任何有权访问您网络的人员和设备保持信任。遵循在所有层应用安全原则时，也就采用了零信任（Zero Trust）方法。零信任安全是一种模型，在这种模型中，应用程序组件或微服务被视作彼此分离，且任何组件或微服务都不信任其他组件或微服务。

妥善规划和管理网络设计，这是为工作负载中的资源提供隔离和边界的基础。由于工作负载中的许多资源都在 a 中运行VPC并继承安全属性，因此设计必须得到自动化支持的检查和保护机制的支持，这一点至关重要。同样，对于在外部运行的工作负载VPC，使用纯粹的边缘服务和/或无服务器，最佳实践采用更简化的方法。请参阅 AWS Well-Architected Serverless Applications Lens，获得有关无服务器安全性的具体指导。

最佳实践

• SEC05-BP01 创建网络图层
• SEC05-BP02 控制网络层内的流量
• SEC05-BP03 实施基于检查的保护
• SEC05-BP04 自动进行网络保护