基礎設施 OU – 網路帳戶 - AWS 規範指引
網路架構傳入 (輸入) VPC傳出 (傳出) VPC檢查VPCAWS Network Firewall網路存取分析器AWS RAMAWS 驗證存取Amazon VPC Lattice邊緣安全Amazon CloudFrontAWS WAFAWS ShieldAWS Certificate ManagerAmazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基礎設施 OU – 網路帳戶

進行簡短的調查,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

下圖說明網路帳戶中設定的 AWS 安全服務。 

網路帳戶的安全服務

網路帳戶管理您的應用程式與更廣泛的網際網路之間的閘道。請務必保護雙向介面。網路帳戶會將聯網服務、組態和操作與個別應用程式工作負載、安全和其他基礎設施隔離。此安排不僅限制連線、許可和資料流程,還支援需要在這些帳戶中操作之團隊的職責分離和最低權限。透過將網路流程分割為單獨的傳入和傳出虛擬私有雲端 (VPCs),您可以保護敏感的基礎設施和流量免受不必要的存取。傳入網路通常視為風險較高,需要適當的路由、監控和潛在問題緩解措施。這些基礎設施帳戶將從組織管理帳戶和基礎設施 OU 繼承許可防護機制。聯網 (和安全) 團隊會管理此帳戶中的大部分基礎設施。

網路架構

雖然網路設計和細節超出本文件的範圍,但我們建議在各種帳戶之間建立網路連線的這三個選項:VPC 對等 PrivateLink、AWS 和 AWS Transit Gateway。在其中進行選擇時的重要考量是操作規範、預算和特定頻寬需求。 

  • VPC對等 – 連接兩個VPCs的最簡單方法是使用單VPC對等。連線可在 VPCs 之間啟用完整雙向連線。位於不同帳戶和 Word 區域中的 VPCsAWS 也可以對等。在規模上,當您有數十到數百個 VPCs 時,將它們與互連結果互連,形成數百到數千個互連連線,這對於管理和擴展可能具有挑戰性。當一個 VPCVPC 中的資源必須與另一個 VPC 中的資源通訊、同時控制和保護 VPCs 的環境,以及要連線的 VPCs 數目少於 10 時 (允許每個連線的個別管理),最好使用 Word 對等。

  • PrivateLinkAWS PrivateLink 提供 VPCs、服務和應用程式之間的私有連線。您可以在 VPC 中建立自己的應用程式,並將其設定為 a PrivateLink 驅動的服務 (稱為端點服務)。其他 AWS 主體可以使用介面 VPC 端點Gateway Load Balancer 端點,從其 VPC 建立與端點服務的連線,具體取決於服務類型。當您使用 PrivateLink 時,服務流量不會透過公開可路由網路傳遞。當您擁有用戶端伺服器設定,並希望授予一或多個消費者 VPCs 單向存取服務供應商 PrivateLink 中特定服務或一組執行個體的權限時,請使用 VPC。當兩個 VPCs 中的用戶端和伺服器 IP 地址重疊時,這也是不錯的選擇,因為 PrivateLink 在用戶端 VPC 中使用彈性網路介面,因此不會與服務提供者發生 IP 衝突。 

  • AWS Transit Gateway ‒ Transit Gateway 提供 a hub-and-spoke 設計,可將 VPCs 和內部部署網路連接為完全受管的服務,而無需您佈建虛擬設備。AWS 管理高可用性和可擴展性。傳輸閘道是區域資源,可以連接相同 VPCs 區域中數千個 AWS。您可以將混合連線 (VPN 和 AWS Direct Connect 連線) 連接至單一傳輸閘道,藉此在一個位置整合和控制 AWS 組織的整個路由組態。傳輸閘道解決了大規模建立和管理多個 VPC 對等互連的複雜性。這是大多數網路架構的預設值,但有關成本、頻寬和延遲的特定需求,可能會讓 VPC 互連更符合您的需求。

傳入 (輸入) VPC

傳入 VPC 旨在接受、檢查和路由在應用程式外部啟動的網路連線。根據應用程式的詳細資訊,您可以預期在此 VPC 中看到一些網路地址翻譯 (NAT)。此 VPC 的流量日誌會擷取並儲存在 Log Archive 帳戶中。

傳出 (傳出) VPC

傳出 VPC 旨在處理從應用程式內啟動的網路連線。視應用程式的具體內容而定,您可以預期在此 NAT 中看到流量 Word、AWS 服務特定的 VPC 端點,以及外部 API 端點的託管VPC。此 VPC 的流量日誌會擷取並儲存在 Log Archive 帳戶中。

檢查VPC

專用檢查 VPC 提供簡化且集中的方法,用於管理 VPCs (相同或不同 AWS 區域)、網際網路和內部部署網路之間的檢查。對於 AWSSRA,請確保 VPCs 之間的所有流量通過檢查 VPC,並避免將檢查 VPC 用於任何其他工作負載。

AWS Network Firewall

AWS Network Firewall 是適用於 VPC 的高可用性、受管網路防火牆服務。它可讓您輕鬆地部署和管理狀態檢查、入侵預防和偵測,以及 Web 篩選,以協助保護 AWS 上的虛擬網路。您可以使用 Network Firewall 解密 TLS 工作階段,並檢查傳入和傳出流量。如需設定網路防火牆的詳細資訊,請參閱 AWS 部落格文章中的 VPC 網路防火牆 – 新的受管防火牆服務

您可以在 VPC 中以每個可用區域為基礎使用防火牆。對於每個可用區域,您選擇一個子網路來託管篩選流量的防火牆端點。可用區域中的防火牆端點可以保護此區域內除其所在子網路之外的所有子網路。根據使用案例和部署模型,防火牆子網路可以是公有或私有子網路。防火牆對流量流程完全透明,不會執行網路地址轉譯 (NAT)。它會保留來源和目的地地址。在此參考架構中,防火牆端點託管在檢查 VPC 中。從傳入 VPC 到傳出 VPC 的所有流量都會透過此防火牆子網路路由進行檢查。 

Network Firewall 透過 Amazon CloudWatch 指標即時顯示防火牆活動,並透過將日誌傳送至 Amazon Simple Storage Service (Amazon S3)、 CloudWatch 和 Amazon Data Firehose 來提高網路流量的可見性。網路防火牆可與現有的安全方法互操作,包括 AWS Partners 的技術。您也可以匯入現有的 Suricata 規則集,這些規則集可能是內部編寫的,也可能是從第三方供應商或開放原始碼平台外部取得的。 

在 AWS 中SRA,網路防火牆是在網路帳戶中使用,因為服務的網路控制導向功能符合帳戶的意圖。 

設計考量

  • AWS Firewall Manager 支援 Network Firewall,因此您可以集中設定和部署整個組織的 Network Firewall 規則。(如需詳細資訊,請參閱 AWS 文件中的 Word Network Firewall 政策。) AWS 當您設定 Firewall Manager 時,它會自動在您指定的帳戶和 VPCs 中建立具有一組規則的防火牆。它還在包含公有子網路的每個可用區域的專用子網路中部署端點。同時,對集中設定的規則集的任何變更都會在部署的 Network Firewall 防火牆上自動更新至下游。 

  • Network Firewall 有多種可用的部署模型。正確的模型取決於您的使用案例和需求。範例如下:

    • 將 Network Firewall 部署到個別 VPCs 的分散式部署模型。

    • 集中式部署模型,其中將 Network Firewall 部署到適用於東西 (VPC-to-VPC) 或南北 (網際網路輸出和輸入、內部部署) 流量的集中式 VPC。

    • 將 Network Firewall 部署到集中式 VPC 的合併部署模型,適用於東西流量和南北流量的子集。

  • 作為最佳實務,請勿使用 Network Firewall 子網路部署任何其他服務。這是因為 Network Firewall 無法檢查來自防火牆子網路內的來源或目的地的流量。

網路存取分析器

Network Access Analyzer 是 Amazon VPC 的一項功能,用於識別對資源的意外網路存取。您可以使用網路存取分析器來驗證網路分隔、識別可從網際網路存取的資源或只能從可信 IP 地址範圍存取的資源,並驗證您是否對所有網路路徑具有適當的網路控制。

Network Access Analyzer 使用自動推理演算法來分析封包可在 AWS 網路中資源之間採取的網路路徑,並針對符合您定義的 Network Access 範圍的路徑產生調查結果。網路存取分析器會對網路組態執行靜態分析,這表示在此分析過程中不會在網路中傳輸任何封包。

Amazon Inspector 網路連線能力規則提供了相關功能。這些規則產生的調查結果將在應用程式帳戶中使用。Network Access Analyzer 和 Network Reachability 都使用 AWS Provable Security 計畫的最新技術,它們以不同的重點領域套用此技術。Network Reachability 套件特別著重於 EC2 執行個體及其網際網路可存取性。 

網路帳戶會定義關鍵網路基礎設施,以控制進出 AWS 環境的流量。需要嚴格監控此流量。在 AWS 中SRA,Network Access Analyzer 用於網路帳戶,以協助識別意外的網路存取、透過網際網路閘道識別可存取網際網路的資源,並確認資源與網際網路閘道之間的所有網路路徑上都存在適當的網路控制,例如網路防火牆和 NAT 閘道。 

設計考量事項

  • Network Access Analyzer 是 Amazon VPC 的一項功能,可用於具有 AWS 的任何 VPC 帳戶。網路管理員可以獲得範圍緊密的跨帳戶 IAM 角色,以驗證每個 AWS 帳戶中是否強制執行核准的網路路徑。

AWS RAM

AWS Resource Access Manager (AWS RAM) 可協助您安全地與其他 AWS 帳戶共用您在一個 AWS 帳戶中建立的 AWS 資源。AWS RAM 提供一個集中位置,用於管理資源共用,並跨帳戶標準化此體驗。這使得在利用管理和帳單隔離的同時管理資源更加簡單,並減少多帳戶策略提供的影響限制優勢的範圍。如果您的帳戶由 AWS Organizations 管理,AWS RAM 可讓您與組織中的所有帳戶共用資源,或僅與一或多個指定組織單位 (OUs) 內的帳戶共用資源。您也可以依帳戶 ID 與特定 AWS 帳戶共用,無論該帳戶是否為組織的一部分。您也可以與指定的 IAM 角色和使用者共用某些支援的資源類型

AWS RAM 可讓您共用不支援 IAM 資源型政策的資源,例如 VPC 子網路和 Route 53 規則。此外,使用 AWS 時RAM,資源擁有者可以查看哪些主體可以存取他們共用的個別資源。IAM 實體可以直接擷取與他們共用的資源清單,這些資源無法與 IAM 資源政策共用的資源搭配使用。如果 RAM AWS 用來在 AWS 組織外部共用資源,則會啟動邀請程序。收件人必須先接受邀請,然後再授予對資源的存取權。這提供了額外的制衡。

在部署共用資源的帳戶中,AWS擁有者調用和管理 RAM Word。AWS RAM 中說明的 AWS 的一個常見使用案例SRA是讓網路管理員與整個 Word 組織共用 AWS VPC子網路和傳輸閘道。這提供了解耦 AWS 帳戶和網路管理函數的能力,並有助於實現職責分離。如需 VPC 共用的詳細資訊,請參閱 AWS 部落格文章 VPC 共用:多個帳戶的新方法,以及 VPC 管理和 AWS 網路基礎設施白皮書。 

設計考量事項

  • 雖然 AWS RAM即服務僅部署在 Word 中的 Network 帳戶內AWSSRA,但通常會部署在多個帳戶中。例如,您可以將資料湖管理集中到單一資料湖帳戶,然後與 AWS 組織中的其他帳戶共用 AWS Lake Formation 資料目錄資源 (資料庫和資料表)。如需詳細資訊,請參閱 AWS Lake Formation 文件和 AWS 部落格文章,使用 AWS Lake Formation 安全地跨 AWS 帳戶共用您的資料。此外,安全管理員可以使用 AWS RAM來遵循建置 AWS 私有 CA 階層時的最佳實務。CAs 可以與外部第三方共用,外部第三方可以在無法存取 CA 階層的情況下發出憑證。這允許發起組織限制和撤銷第三方存取權。

AWS 驗證存取

AWS Verified Access 提供不使用 VPN 的安全存取公司應用程式。它透過根據預先定義的要求即時評估每個存取請求來改善安全狀態。您可以根據身分資料裝置狀態,為每個應用程式定義具有條件的唯一存取政策。Verified Access 還可以透過協助管理員有效地設定和監控存取策略,來簡化安全操作。這樣可騰出時間來更新政策、回應安全性和連線事件,以及稽核合規標準。Verified Access 也支援與 AWS 整合WAF,以協助您篩選常見威脅,例如 SQL 注入和跨網站指令碼 (XSS)。Verified Access 與 AWS IAM Identity Center 無縫整合,可讓使用者使用 SAML 型第三方身分提供者 (IdPs) 進行身分驗證。如果您已有與 OpenID Connect (OIDC) 相容的自訂 IdP 解決方案,Verified Access 也可以直接與您的 IdP 連線來驗證使用者。Verified Access 會記錄每次存取嘗試,以便您可以快速回應安全事件和稽核請求。Verified Access 支援將這些日誌交付至 Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs 和 Amazon Data Firehose。

Verified Access 支援兩種常見的企業應用程式模式:內部和面向網際網路。Verified Access 透過使用 Application Load Balancer 或彈性網路介面與應用程式整合。如果您使用的是 Application Load Balancer,則 Verified Access 需要內部負載平衡器。由於 Verified Access 在執行個體層級支援 AWS WAF,因此與 Application Load Balancer 整合 WAF AWS 的現有應用程式可以將政策從負載平衡器移至 Verified Access 執行個體。企業應用程式表示為 Verified Access 端點。每個端點都與一個 Verified Access 群組關聯,並繼承此群組的存取政策。Verified Access 群組是 Verified Access 端點和群組層級 Verified Access 政策的集合。群組簡化了政策管理,且可讓 IT 管理員設定基準條件。應用程式擁有者可以根據應用程式的敏感度進一步定義精細政策。

在 AWS 中SRA,已驗證存取託管在網路帳戶中。中心 IT 團隊會設定集中管理的組態。例如,他們可以連接身分提供者 (例如 Okta) 和裝置信任提供者 (例如 Jamf) 等信任提供者、建立群組並確定群組層級政策。然後,您可以使用 AWS Resource Access Manager (AWS RAM) 與數十個、數百個或數千個工作負載帳戶共用這些組態。這可讓應用程式團隊管理用於管理其應用程式的基礎端點,而無需其他團隊的額外負荷。AWS RAM 提供可擴展的方式,以針對託管於不同工作負載帳戶中的公司應用程式,利用 Verified Access。

設計考量事項

  • 您可以將具有類似安全要求的應用程式的端點分組,以簡化政策管理,然後與應用程式帳戶共用此群組。群組中的所有應用程式都會共用群組政策。如果群組中的某個應用程式因邊緣案例而需要特定政策,您可以為該應用程式套用應用程式層級政策。

Amazon VPC Lattice

Amazon VPC Lattice 是一種應用程式聯網服務,可連線、監控和保護 service-to-service 通訊。服務 (也常稱為微型服務) 是可獨立部署的軟體單位,用以執行特定任務。VPC Lattice 會自動管理跨 VPCs 和 AWS 帳戶的服務之間的網路連線和應用程式層路由,而不需要您管理基礎網路連線、前端負載平衡器或 Sidecar 代理。它提供了全受管應用程式層代理,此代理根據請求特性 (例如路徑和標頭) 提供應用程式層路由。VPC Lattice 內建於 VPC 基礎設施中,因此它在 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service (Amazon EKS) 和 AWS Lambda 等各種運算類型中提供一致的方法。VPC Lattice 也支援藍/綠和金絲雀式部署的加權路由。您可以使用 VPC Lattice 建立具有邏輯界限的服務網路,以自動實作服務探索和連線。VPC Lattice 與 AWS Identity and Access Management (IAM) 整合,以便使用身分驗證政策進行 service-to-service 身分驗證和授權。

VPC Lattice 與 AWS Resource Access Manager (AWS RAM) 整合,以啟用 服務和服務網路的共用。AWS SRA 描述了開發人員或服務擁有者在其應用程式帳戶中建立 VPC Lattice 服務的分散式架構。服務擁有者會定義接聽程式、路由規則、目標群組以及授權政策。然後,他們與其他帳戶共用服務,並將服務與 VPC Lattice 服務網路建立關聯。這些網路由網路管理員在網路帳戶中建立並與應用程式帳戶共用。網路管理員會設定服務網路層級授權政策和監控。管理員將 VPCs 和 VPC Lattice 服務與一或多個服務網路建立關聯。如需此分散式架構的詳細演練,請參閱 AWS 部落格文章使用 Amazon VPC Lattice 為您的應用程式建置安全的多帳戶多VPC連線

設計考量事項

  • 視您組織的服務或服務網路可見性操作模型而定,網路管理員可以共用其服務網路,並可以讓服務擁有者控制將其服務和 VPCs 與這些服務網路建立關聯。或者,服務擁有者可以共用其服務,網路管理員可以將服務與服務網路關聯。

    只有當用戶端位於與相同服務網路相關聯的 VPC 中時,用戶端才能將請求傳送至與服務網路相關聯的服務。會拒絕流經 VPC 對等連線或傳輸閘道的用戶端流量。

邊緣安全

邊緣安全通常需要三種類型的保護:安全內容交付、網路和應用程式層保護,以及分散式拒絕服務 (DDoS) 緩解。資料、影片、應用程式和 APIs 等內容必須使用建議的 TLS 版本來加密端點之間的通訊,才能快速安全地傳遞。內容也應透過簽署的 URLs、簽署的 Cookie 和權杖身分驗證來限制存取。應用程式層級安全性應設計為控制機器人流量、封鎖常見的攻擊模式,例如 SQL 注入或跨網站指令碼 (XSS),並提供 Web 流量可見性。在邊緣,DDoS 緩解提供了重要的防禦層,以確保任務關鍵業務操作和服務持續可用。應用程式和 APIs 應受到保護,免受 SYN 洪水、UDP 洪水或其他反射攻擊,並具有內嵌緩解措施來停止基本的網路層攻擊。

從核心雲端到 AWS 網路的邊緣,AWS 提供數種 服務來協助提供安全的環境。Amazon CloudFront、AWS Certificate Manager (ACM)、AWS Shield、AWS WAF 和 Amazon Route 53 一起合作,協助建立彈性的分層安全周邊。透過 Amazon CloudFront,內容、APIs 或應用程式可以透過 HTTPSTLSv1.3 來加密和保護檢視器用戶端與 CloudFront 之間的通訊。您可以使用 ACM 建立自訂 SSL 憑證,並將其免費部署到 a CloudFront 分發。ACM 會自動處理憑證續約。AWS Shield 是一項受管 DDoS 保護服務,可協助保護在 AWS 上執行的應用程式。它提供動態偵測和自動內嵌緩解措施,可最大限度地減少應用程式停機時間和延遲。AWS WAF 可讓您建立規則,根據特定條件 (IP 地址、HTTP 標頭和內文,或自訂 URIs)、常見 Web 攻擊和廣泛性機器人來篩選 Web 流量。Route 53 是高可用性和可擴展的 DNS Web 服務。Route 53 將使用者請求連接到在 AWS 或內部部署上執行的網際網路應用程式。AWS SRA 使用網路帳戶中託管的 AWS Transit Gateway 採用集中式網路傳入架構,因此邊緣安全基礎設施也會集中在此帳戶中。

Amazon CloudFront

Amazon CloudFront 是安全的內容交付網路 (CDN),可針對常見網路層和傳輸 DDoS 嘗試提供固有保護。您可以使用 APIs 憑證來交付內容、TLS 或應用程式,並自動啟用進階 TLS 功能。您可以使用 ACM 建立自訂 TLS 憑證,並在檢視器與 CloudFront 之間強制執行 Word HTTPS通訊,如 ACM 章節稍後所述。此外,您可以要求 CloudFront 與自訂原始伺服器之間的通訊在傳輸中實作 end-to-end 加密。在此案例中,您必須在原始伺服器上安裝 TLS 憑證。如果您的原始伺服器是彈性負載平衡器,您可以使用 ACM 產生的憑證,或經過第三方憑證授權機構 (CA) 驗證並匯入 ACM 的憑證。如果 S3 儲存貯體網站端點做為 CloudFront 的原始伺服器,則您無法將 CloudFront 設定為搭配原始伺服器使用 HTTPS,因為 Amazon S3 不支援網站端點的 HTTPS。(不過,您仍然可以在檢視器和 HTTPS 之間要求 CloudFront。) 對於支援安裝 HTTPS 憑證的所有其他原始伺服器,您必須使用由受信任第三方 CA 簽署的憑證。

CloudFront 提供多個選項,以保護和限制對內容的存取。例如,它可以使用簽署的 URLs 和簽署的 Cookie 來限制對 Amazon S3 原始伺服器的存取。如需詳細資訊,請參閱在 CloudFront 文件中設定安全存取和限制對內容的存取

AWS SRA 說明網路帳戶中的集中式 CloudFront 分佈,因為它們與使用 Transit Gateway 實作的集中式網路模式一致。透過在 Network 帳戶中部署和管理 CloudFront 分佈,您可以獲得集中式控制的優勢。您可以在單一位置管理 all CloudFront 分發,這可讓您更輕鬆地控制所有帳戶的存取、設定和監控用量。此外,您可以從一個集中式帳戶管理 ACM 憑證、DNS 記錄和 CloudFront 記錄。 CloudFront 安全性儀表板可直接在 AWS 分發中提供 CloudFront WAF可見性和控制。您可以掌握應用程式的主要安全趨勢、允許和封鎖的流量,以及機器人活動。您可以使用視覺化日誌分析器和內建封鎖控制項等調查工具,隔離流量模式並封鎖流量,而無需查詢日誌或撰寫安全規則。

設計考量

  • 或者,您可以在應用程式帳戶中將 CloudFront 部署為應用程式的一部分。在此案例中,應用程式團隊會做出決策,例如如何部署 CloudFront 分佈、決定適當的快取政策,並負責管理、稽核和監控 CloudFront 分佈。透過將 CloudFront 分佈分散到多個帳戶,您可以受益於額外的服務配額。作為另一個優點,您可以使用 CloudFront 的固有和自動原始伺服器存取身分 (OAI) 和原始伺服器存取控制 (OAC) 組態來限制對 Amazon S3 原始伺服器的存取。

  • 當您透過 CDN 等 CloudFront 傳遞 Web 內容時,您必須防止瀏覽者略過 CDN 並直接存取原始伺服器內容。若要實現此原始伺服器存取限制,您可以使用 CloudFront 和 AWS WAF來新增自訂標頭,並在將請求轉送至自訂原始伺服器之前驗證標頭。如需此解決方案的詳細說明,請參閱 AWS 安全部落格文章如何使用 AWS WAF 和 AWS Secrets Manager 增強 Amazon CloudFront 原始伺服器安全。另一種方法是在與 Application Load Balancer 相關聯的安全群組中僅限制 CloudFront 字首清單。這將有助於確保只有 a CloudFront 分佈可以存取負載平衡器。

AWS WAF

AWS WAF是 Web 應用程式防火牆,可協助保護您的 Web 應用程式免受 Web 漏洞的攻擊,例如可能影響應用程式可用性、危及安全性或消耗過多資源的常見漏洞和機器人。它可以與 Amazon CloudFront 分佈、Amazon API Gateway RESTAPI、Application Load Balancer、 AppSync AWSGraphQL GraphQLAPI、Amazon Cognito 使用者集區和 AWS App Runner 服務整合。

AWS WAF 使用 Web 存取控制清單 (ACLs) 來保護一組 AWS 資源。Web ACL 是一組定義檢查條件的規則,如果 Web 請求符合條件,則會採取相關聯的動作 (封鎖、允許、計數或執行機器人控制)。AWS WAF 提供一組受管規則,可針對常見的應用程式漏洞提供保護。這些規則由 AWS 和 AWS Partners 策劃和管理。AWS WAF 也為撰寫自訂規則提供強大的規則語言。您可以使用自訂規則來撰寫符合您特定需求的檢查條件。範例包括 IP 限制、地理限制以及更適合您的特定應用程式行為的受管規則的自訂版本。

AWS WAF 為常見和目標機器人和帳戶接管保護 (ATP) 提供一組智慧型分層受管規則。當您使用機器人控制和 ATP 規則群組時,需支付訂閱費和流量檢查費。因此,我們建議您先監控流量,然後再決定要使用什麼。您可以使用 AWS WAF上免費提供的機器人管理和帳戶接管儀表板來監控這些活動,然後決定您是否需要智慧型層 AWS WAF規則群組。

在 AWS SRA,AWS WAF 與 Network 帳戶中的 CloudFront 整合。在此組態中,WAF 規則處理發生在邊緣位置,而不是 VPC 內。這樣可篩選更接近請求內容的最終使用者的惡意流量,並有助於限制惡意流量進入您的核心網路。

您可以透過設定 S3 儲存貯體的跨帳戶存取,將完整的 AWS WAF 日誌傳送至 Log Archive 帳戶中的 S3 儲存貯體。如需詳細資訊,請參閱有關此主題的 AWS re:Post 文章

設計考量

  • 作為在網路帳戶中集中部署 AWS WAF替代方案,透過WAF在應用程式帳戶中部署 AWS 來更好地滿足某些使用案例。例如,當您在應用程式帳戶中部署 CloudFront 分佈,或擁有面向公有的 Application Load Balancer,或如果您在 Web 應用程式前面使用 Amazon API Gateway 時,可以選擇此選項。如果您決定在每個應用程式帳戶中部署 AWS WAF,請使用 AWS Firewall Manager 從集中式安全工具帳戶管理這些帳戶中的 AWS WAF規則。

  • 您也可以在 AWS 層新增一般 CloudFront WAF規則,並在區域資源新增其他應用程式特定的 AWS WAF規則,例如 Application Load Balancer 或 API 閘道。

AWS Shield

AWS Shield 是一項受管 DDoS 保護服務,可保護在 AWS 上執行的應用程式。Shield 有兩個層級:Shield Standard 和 Shield Advanced。Shield Standard 為所有 AWS 客戶提供對最常見基礎設施 (第 3 層和第 4 層) 事件的保護,無需額外費用。Shield Advanced 為以受保護的 Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Route 53 託管區域上的應用程式為目標的未經授權事件提供更複雜的自動緩解措施。如果您擁有高可見性網站或容易頻繁遭受 DDoS 攻擊,您可以考慮 Shield Advanced 提供的其他功能。

您可以使用 Shield Advanced 自動應用程式層 DDoS 緩解功能,設定 Shield Advanced 以自動回應,以緩解針對受保護 CloudFront 分佈和 Application Load Balancer 的應用程式層 (第 7 層) 攻擊。當您啟用此功能時,Shield Advanced 會自動產生自訂的 AWS WAF規則,以緩解 DDoS 攻擊。Shield Advanced 也可讓您存取 AWS Shield 回應團隊 (SRT)。您可以隨時聯絡 SRT,為您的應用程式或在作用中的 DDoS 攻擊期間建立和管理自訂緩解措施。如果您希望 SRT 主動監控受保護的資源,並在 DDoS 嘗試期間與您聯絡,請考慮啟用主動參與功能

設計考量

  • 如果您有應用程式帳戶中面向網際網路的資源所面對的任何工作負載,例如 Amazon CloudFront、Application Load Balancer 或 Network Load Balancer,請在應用程式帳戶中設定 Shield Advanced,並將這些資源新增至 Shield 保護。您可以使用 AWS Firewall Manager 大規模設定這些選項。

  • 如果您在資料流程中有多個資源,例如 Application Load Balancer 前方的 a CloudFront 分佈,則只能使用進入點資源作為受保護的資源。這將確保您不會為兩個資源支付兩次 Shield Data Transfer Out (DTO) 費用

  • Shield Advanced 會記錄您可以在 Amazon CloudWatch 中監控的指標。(如需詳細資訊,請參閱 AWS 文件中的 Word Shield 進階指標和警示。) AWS 設定 CloudWatch 警示,以便在偵測到 SNS 事件時接收 DDoS 通知至您的安全中心。在可疑的 DDoS 事件中,請提交支援票證並指派最高優先順序,以聯絡 AWS 企業支援團隊。處理事件時,企業支援團隊將包含 Shield Response Team (SRT)。此外,您可以預先設定 AWS Shield 參與 Lambda 函數,以建立支援票證,並將電子郵件傳送至 SRT 團隊。

AWS Certificate Manager

AWS Certificate Manager (ACM) 可讓您佈建、管理和部署公有和私有 TLS 憑證,以搭配 AWS 服務和內部連線資源使用。使用 ACM,您可以快速請求憑證、將其部署在 ACM 整合的 AWS 資源APIs上,例如 Elastic Load Balancing 負載平衡器、Amazon CloudFront 分佈和 Amazon API Gateway,並讓 ACM 處理憑證續約。當您請求 ACM 公有憑證時,不需要產生金鑰對或憑證簽署請求 (CSR)、將 CSR 提交給憑證授權機構 (CA),或在收到憑證時上傳和安裝憑證。ACM 也提供匯入第三方 TLS 發行的 CAs 憑證並使用 ACM 整合服務部署憑證的選項。當您使用 ACM 來管理憑證時,憑證私有金鑰會使用強式加密和金鑰管理最佳實務來安全地保護和儲存。使用 ACM 佈建公有憑證無需額外付費,且 ACM 會管理續約程序。

網路帳戶中使用 ACM 來產生公有 TLS 憑證,而 CloudFront 分佈則會使用 Word 憑證來建立檢視者與 CloudFront 之間的 HTTPS 連線。如需詳細資訊,請參閱 CloudFront 文件

設計考量事項

  • 對於外部憑證,ACM 必須與其佈建憑證的資源位於相同的帳戶中。憑證不能跨帳戶共用。

Amazon Route 53

Amazon Route 53 是高可用性且可擴展的 DNS Web 服務。您可以使用 Route 53 來執行三個主要函數:網域註冊、DNS 路由和運作狀態檢查。

您可以使用 Route 53 作為 DNS 服務,將網域名稱映射至 EC2 執行個體、S3 儲存貯體、 CloudFront 分佈和其他 AWS 資源。AWS DNS 伺服器的分散式性質有助於確保您的最終使用者一致地路由到您的應用程式。Route 53 流量流程和路由控制等功能可協助您提高可靠性。如果您的主要應用程式端點不可用,您可以設定容錯移轉以將使用者重新路由至替代位置。Route 53 Resolver 透過 DNS Direct Connect 或 AWS 受管 Word 為您的 AWS VPC和內部部署網路提供遞迴 VPN。

透過將 AWS Identity and Access Management (IAM) 服務與 Route 53 搭配使用,您可以精細控制誰可以更新您的 DNS 資料。您可以啟用 DNS Security Extensions (DNSSEC) 簽署,讓 DNS 解析程式驗證 DNS 回應來自 Route 53 且未遭到竄改。

Route 53 Resolver DNS Firewall 為來自 DNS 的傳出 VPCs 請求提供保護。這些請求會通過 Route 53 Resolver 進行網域名稱解析。DNS 防火牆保護的主要用途是協助防止 DNS 洩漏您的資料。使用 DNS Firewall,您可以監控和控制應用程式可以查詢的網域。您可以拒絕存取您已知行為不良的網域,並允許所有其他查詢通過。或者,您可以拒絕對除明確信任網域之外的所有網域的存取。您也可以使用 DNS Firewall 來封鎖對私有託管區域中資源 (共用或本機) 的解析請求,包括 VPC 端點名稱。它也可以封鎖公有或私有 EC2 執行個體名稱的請求。

Route 53 解析程式預設會建立為每個 VPC 的一部分。在 AWS 中SRA,Route 53 主要用於 DNS 防火牆功能的網路帳戶。 

設計考量事項

  • DNS Firewall 和 AWS Network Firewall 都提供網域名稱篩選,但適用於不同類型的流量。您可以同時使用 DNS Firewall 和 Network Firewall,為透過兩個不同網路路徑的應用程式層流量設定網域型篩選。

    • DNS Firewall 提供傳出 DNS 查詢的篩選功能,這些查詢會從 VPCs 中的應用程式傳遞 Route 53 Resolver。您也可以設定 DNS Firewall,將查詢的自訂回應傳送至封鎖的網域名稱。

    • Network Firewall 同時提供網路層和應用程式層流量的篩選功能,但是沒有 Route 53 Resolver 所實現的查詢可見性。