Amazon 基礎設施安全 EC2 - Amazon Elastic Compute Cloud
網路隔離實體主機上的隔離控制網路流量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 基礎設施安全 EC2

作為受管服務,Amazon 彈性運算雲端受到 AWS 全球網路安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎架構的詳細資訊,請參閱AWS 雲端安全 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性支柱架構良 AWS 好的架構中的基礎結構保

您可以使用 AWS 已發佈的API呼叫EC2透過網路存取 Amazon。使用者端必須支援下列專案:

  • 傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

如需詳細資訊,請參閱安全性支柱 — AWS Well-Architected 的架構中的基礎結構保護

網路隔離

虛擬私有雲(VPC)是您自己在 AWS 雲中邏輯隔離區域中的虛擬網絡。使用個別VPCs來依工作負載或組織實體隔離基礎結構。

子網路是一個中的 IP 位址範圍VPC。當您啟動執行個體時,您可以將其啟動到VPC. 使用子網路將應用程式的層 (例如 Web、應用程式和資料庫) 隔離在單VPC一層。如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。

要EC2API從您VPC使用私有 IP 地址調用 Amazon,請使用 AWS PrivateLink. 如需詳細資訊,請參閱EC2使用界面VPC端點訪問 Amazon

實體主機上的隔離

相同實體主機上的不同EC2執行個體會彼此隔離,就像它們位於不同的實體主機上一樣。Hypervisor 會隔離CPU和記憶體,並提供虛擬化磁碟,而非原始磁碟裝置的存取權。

當您停止或終止執行個體時,Hypervisor 會先清除配置到該執行個體的記憶體 (設定為零),然後再將之配置到新執行個體,而且會重設儲存體的每個區塊。這可確保不會蓄意地向其他執行個體公開您的資料。

網路MAC位址是由網 AWS 路基礎結構動態指派給執行個體。IP 位址是由 AWS 網路基礎結構動態指派給執行個體,或是由EC2系統管理員透過驗證的API要求指派。 AWS 網路允許執行個體僅從指派給執行個體的MAC和 IP 位址傳送流量。否則,流量會遭到捨棄。

依預設,執行個體無法接收不是特別定址給它的流量。如果您需要在執行個體上執行網路位址轉譯 (NAT)、路由或防火牆服務,您可以停用網路介面的來源/目的地檢查。

控制網路流量

請考慮下列選項來控制EC2執行個體的網路流量:

  • 使用安全性群組限制您執行個體的存取權限。設定允許最低所需網路流量的規則。例如,您可以僅允許來自公司網路位址範圍的流量,或僅允許特定通訊協定的流量,例如HTTPS。對於 Windows 執行個體,請允許 Windows 管理流量和最小輸出連線。

  • 利用安全群組做為控制 Amazon EC2 執行個體網路存取的主要機制。必要時,請ACLs謹慎使用網路來提供無狀態的粗粒網路控制。ACLs由於安全性群組能夠執行可設定狀態封包篩選,並建立參照其他安全性群組的規則,因此安全性群組比網路更具用途。但是,網路ACLs可以作為拒絕特定流量子集或提供高階子網路防護軌的次要控制項有效。此外,由於網路ACLs適用於整個子網路,因此可以 defense-in-depth 在沒有正確安全性群組的情況下無意中啟動執行個體時使用它們。

  • [Windows 執行個體] 使用群組原則物件 (GPO) 集中管理 Windows 防火牆設定,以進一步強化網路控制。客戶通常會使用 Windows 防火牆進一步了解網路流量,以及補充安全群組篩選條件,以建立進階規則以封鎖特定應用程式存取網路,或篩選來自子集 IP 地址的流量。例如,Windows 防火牆可以限制特定使用者或應用程式對EC2中繼資料服務 IP 位址的存取。或者,面向公眾的服務可能會使用安全群組來限制特定連接埠的流量,並使用 Windows 防火牆來維護明確封鎖之 IP 地址的清單。

  • 如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。使用防禦主機或NAT閘道,從私有子網路中的執行個體存取網際網路。

  • [Windows 執行個體] 使用安全的管理通訊協定,例如RDP封裝在SSL/TLS上。遠端桌面閘道快速入門提供部署遠端桌面閘道的最佳做法,包括設定RDP為使用SSL/TLS。

  • [Windows 執行個體] 使用「作用中目錄」,或 AWS Directory Service 嚴格集中控制和監控互動式使用者和群組對 Windows 執行個體的存取,並避免本機使用者權限。亦請避免使用網域管理員,而是建立更精細、以應用程式特定角色為基礎的帳戶。只有足夠的管理 (JEA) 允許在沒有互動式或管理員存取權的情況下管理 Windows 執行個體的變更。此外,JEA可讓組織鎖定執行個體管理所需之 Windows PowerShell 命令子集的管理存取權。如需其他資訊,請參閱AWS 安全性最佳實務白皮書中關於管理作業系統層EC2級 Amazon 的存取權限一節。

  • [Windows 執行個體] 系統管理員應使用存取權限有限的 Windows 帳戶來執行日常活動,並且僅在必要時提升存取權限以執行特定組態變更。此外,只有在絕對必要時才能直接存取 Windows 執行個體。而是利用中央組態管理系統,例如EC2執行命令、系統中心組態管理員 (SCCM) PowerShell DSC、Windows 或 Amazon EC2 Systems Manager (SSM),將變更推送到 Windows 伺服器。

  • 使用所需的最低網VPC路路由設定 Amazon 子網路路由表。例如,只將重新報告直接網際網路存取的 Amazon EC2 執行個體放入具有網際網路閘道路徑的子網路中,並且只將需要直接存取內部網路的 Amazon EC2 執行個體放入具有路由到虛擬私有閘道的子網路中。

  • 請考慮使用其他安全群組或網路界面來控制和稽核 Amazon EC2 執行個體管理流量,與一般應用程式流量分開。此方法可讓客戶實作變更控制的特殊IAM原則,讓稽核安全性群組規則或自動化規則驗證指令碼的變更更加容易。使用多個網路介面也會提供其他控制網路流量的選項,包括建立以主機為基礎的路由原則,或根據網路介面的指派VPC子網路運用不同的子網路路由規則。

  • 使 AWS Direct Connect 用 AWS Virtual Private Network 或建立從遠端網路到您的VPCs. 如需詳細資訊,請參閱網路到 Amazon VPC 連線選項。

  • 使用VPC流量記錄來監控到達執行個體的流量。

  • 使用GuardDuty 惡意程式碼防護來識別執行個體上指示惡意軟體的可疑行為,這些行為可能會損害您的工作負載、重新利用資源以供惡意使用,以及取得未經授權的資料存取權。

  • 使用執GuardDuty 行階段監控來識別並回應執行個體的潛在威脅。如需詳細資訊,請參閱執行階段監控如何搭配 Amazon EC2 執行個體運作

  • 使用AWS Security Hub、可 Reachability Analyzer網路存取分析器來檢查執行個體是否有意外的網路可存取性。

  • 使用EC2執行個體 Connec t 線,透過 Secure Shell (SSH) 連線至您的執行個體,而不需要共用和管理SSH金鑰。

  • 使用AWS Systems Manager 工作階段管理員遠端存取執行個體,而不是開啟輸入SSH或RDP連接埠,以及管理金鑰配對。

  • 使用AWS Systems Manager 執行命令自動執行一般管理工作,而不是連線至執行個體。

  • [Windows 執行個體] 許多 Windows 作業系統角色和 Microsoft 商務應用程式也提供增強的功能,例如 IP 位址範圍內的限制IIS、Microsoft SQL 伺服器中的 TCP /IP 篩選原則,以及 Microsoft Exchange 中的連線篩選原則。應用程式層內的網路限制功能可為重要的商務應用程式伺服器提供額外的防禦層。

Amazon VPC 支援其他網路安全控制,例如閘道、代理伺服器和網路監控選項。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的控制網路流量