SEC05-BP01 建立網路層

將共用連線能力需求的元件分組成許多層。例如：不需存取網際網路的虛擬私有雲端 (VPC) 中的資料庫叢集，應放置在沒有往返網際網路路由的子網路中。在沒有 VPC 的情況下操作的無伺服器工作負載中，與微型服務類似的分層和區隔可以達到相同的目標。

Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Relational Database Service (Amazon RDS) 資料庫叢集等元件，以及共用連線能力要求的 AWS Lambda 函數可分成子網路所組成的層級。例如：不需存取網際網路的 VPC 中的 Amazon RDS 資料庫叢集，應放置在沒有往返網際網路路由的子網路中。此控制項的分層方法可減輕單一層組態錯誤所造成的影響，這可能會允許意外存取。對於 Lambda，您可以在 VPC 中執行函數，以利用 VPC 型控制。

對於可以包含數千個 VPC、AWS 帳戶和內部部署網路的網路連線，您應該使用 AWS Transit Gateway。它可作為中樞，控制流量在所有連線網路之間路由的方式，其作用就像輪輻。Amazon Virtual Private Cloud 和 AWS Transit Gateway 之間的流量仍保存在 AWS 私有網路，可減少外部威脅向量，例如分散式拒絕服務 (DDoS) 攻擊和常見入侵程式，例如 SQL 插入、跨網站指令碼、跨網站偽造請求或濫用不完整的身份驗證碼。AWS Transit Gateway 區域間對等也可為區域間的流量加密，不會有單點故障或頻寬瓶頸。

若未建立此最佳實務，暴露的風險等級為： 高

實作指引

在 VPC 中建立子網路：為每一層中建立子網路 (在包含多個可用區域的群組中)，並建立路由表的關聯以控制路由。
- VPC 和子網路
- 路由表

資源

相關文件：

相關影片：

相關範例：

實驗室︰VPC 的自動部署

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC 5 如何保護您的網路資源？

SEC05-BP02 控制所有層級的流量