基礎設施保護
基礎設施保護包括符合最佳實務和組織或監管義務所必需的控制方法,例如深度防禦。這些方法的使用對於雲端的成功持續營運至關重要。
基礎設施保護是資訊安全計劃的關鍵部分。它可以確保工作負載中的系統和服務受到保護,以防止意外和未經授權的存取以及潛在漏洞。例如,您將定義信任邊界 (例如,網路和帳戶邊界)、系統安全組態和維護 (例如,強化、最小化和修補)、作業系統身份驗證和授權 (例如,使用者、金鑰和存取層級),以及其他適當的政策強制執行點 (例如,Web 應用程式防火牆和/或 API 閘道)。
區域、可用區域、AWS Local Zones 和 AWS Outposts
確定您熟悉區域、可用區域、AWS Local Zones
AWS 具有區域概念,它是我們在全世界將資料中心叢集化的實體位置。我們會將邏輯資料中心的每個群組稱為可用區域 (AZ)。每個 AWS 區域由地理區域內多個隔離且實際上分開的 AZ 組成。如果您有資料落地要求,則可以選擇靠近您所需位置的 AWS 區域。您保留對資料實際所在區域的完全控制和擁有權,這有助於符合您的區域合規和資料落地要求。每個 AZ 都有獨立的電源、冷卻和實體安全性。如果應用程式跨 AZ 分割,則您可以獲得更好的隔離和保護,讓您免於停電、雷擊、龍捲風、地震等問題。AZ 與任何其他 AZ 實際上相距一段有意義的距離 (數公里),但它們彼此的距離都在 100 公里 (60 英里) 內。AWS 區域中的所有 AZ 都是使用完全冗餘的專用都會光纖 (在 AZ 之間提供高輸送量、低延遲網路),搭配高頻寬、低延遲網路來互連。AZ 之間的所有流量都是加密的。專注於高可用性的 AWS 客戶可以將其應用程式設計為在多個 AZ 中執行,以實現更高的容錯。AWS 區域符合最高階的安全性、合規和資料保護。
AWS 將運算、儲存、資料庫和其他精選 AWS 服務置於更靠近最終使用者的位置。使用 AWS Local Zones,您可以輕鬆執行要求最終使用者十毫秒延遲的高要求應用程式,例如媒體和娛樂內容創作、即時遊戲、水庫模擬、電子設計自動化和機器學習。每個 AWS Local Zone 位置都是 AWS 區域的延伸,您可以在其中執行對延遲敏感的應用程式,方法為使用地理上接近最終使用者的 Amazon EC2、Amazon VPC、Amazon EBS、Amazon File Storage 和 Elastic Load Balancing 等 AWS 服務。AWS Local Zones 會提供高頻寬、保護本機工作負載與在 AWS 區域中執行的工作負載之間的連線,進而允許您透過相同的 API 和工具集無縫連線到各種區域內服務。
AWS Outposts 將原生 AWS 服務、基礎設施和營運模式帶到幾乎任何資料中心、主機代管空間或內部部署設施。您可以跨內部部署設施和 AWS 雲端使用相同的 AWS API、工具和基礎設施,以提供真正一致的混合體驗。AWS Outposts 專為連線環境而設計,而且可以用來支援由於低延遲或本機資料處理需求而必須保留在內部部署的工作負載。
在 AWS 中,有多種方法可用於基礎設施保護。以下幾節介紹如何使用這些方法。
