VPC 的安全最佳实践
以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。
-
向 VPC 添加子网以托管应用程序时,请在多个可用区中创建子网。可用区是 AWS 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。使用可用区可为生产级应用程序提供高可用性、容错能力和可扩展性。有关更多信息,请参阅 AWS 上 的 Amazon VPC
。 -
使用安全组来控制流向子网中的 EC2 实例的流量。有关更多信息,请参阅 安全组。
-
使用网络 ACL 在子网级别控制入站和出站流量。有关更多信息,请参阅 使用网络访问控制列表控制子网流量。
-
使用 AWS Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 VPC 中 AWS 资源的访问。有关更多信息,请参阅 适用于 Amazon VPC 的 Identity and Access Management。
-
使用 VPC 流日志监控传入和传出 VPC、子网或网络接口的 IP 流量。有关更多信息,请参阅 VPC 流日志。
-
使用网络访问分析器识别对我们 VPC 中资源的计划外网络访问。有关更多信息,请参阅 网络访问分析器用户指南。
-
使用 AWS Network Firewall 通过筛选入站和出站流量来监控和保护您的 VPC。有关更多信息,请参阅 AWS Network Firewall 指南。
-
使用 Amazon GuardDuty 检测您的账户、容器、工作负载以及 AWS 环境中的数据面临的潜在威胁。基础威胁检测包括监控与 Amazon EC2 实例关联的 VPC 流日志。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 VPC 流日志。
有关 VPC 安全性的常见问题的答案,请参阅 Amazon VPC 常见问题解答