本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
-
將子網路新增至 VPC 以託管應用程式時,在多個可用區域中建立子網路。可用區域是一或多個離散資料中心,具有 AWS 區域中的備援電源、聯網和連線能力。使用多個可用區域可使生產應用程式具備高可用性、容錯能力和可擴展性。
-
使用安全群組來控制到子網路中 EC2 執行個體的流量。如需詳細資訊,請參閱安全群組。
-
使用網路 ACL 來控制子網路層級的傳出和傳入流量。如需詳細資訊,請參閱使用網路存取控制清單控制子網路流量。
-
使用 AWS Identity and Access Management (IAM) 聯合身分、使用者和角色來管理對 VPC AWS 資源的存取。如需詳細資訊,請參閱Amazon VPC 的 Identity and Access Management。
-
使用 VPC 流量日誌以監控從 VPC、子網路或網路介面傳入和傳出的 IP 流量。如需詳細資訊,請參閱VPC 流程日誌。
-
使用網路存取分析器識別對 VPC 中資源的意外網路存取。如需詳細資訊,請參閱 Network Access Analyzer Guide (《網路存取分析器指南》)。
-
使用 篩選傳入和傳出流量 AWS Network Firewall ,以監控和保護您的 VPC。如需詳細資訊,請參閱 AWS Network Firewall 指南。
-
使用 Amazon GuardDuty 來偵測您 AWS 環境中的帳戶、容器、工作負載和資料的潛在威脅。基礎威脅偵測包括監控與您的 Amazon EC2 執行個體相關聯的 VPC 流程日誌。如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 VPC 流程日誌。
如需 VPC 安全常見問答集的解答,請參閱 Amazon VPC 常見問答集
