基礎設施 OU – 網路帳戶 - AWS 方案指引
網路架構傳入 (輸入) VPC傳出 (輸出) VPC檢查 VPCAWS Network Firewall網路存取分析器AWS RAMAWS Verified AccessAmazon VPC Lattice邊緣安全Amazon CloudFrontAWS WAFAWS ShieldAWS Certificate Manager (ACM)Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基礎設施 OU – 網路帳戶

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

下圖說明網路帳戶中設定 AWS 的安全服務。 

網路帳戶的安全服務

網路帳戶管理您的應用程式與更廣泛的網際網路之間的閘道。請務必保護雙向介面。網路帳戶會將聯網服務、組態和操作與個別應用程式工作負載、安全和其他基礎設施隔離。此安排不僅限制連線、許可和資料流程,還支援需要在這些帳戶中操作之團隊的職責分離和最低權限。透過將網路流程分為單獨的傳入和傳出虛擬私有雲端 (VPC),您可以保護敏感基礎設施和流量免遭不必要的存取。傳入網路通常視為風險較高,需要適當的路由、監控和潛在問題緩解措施。這些基礎設施帳戶將從組織管理帳戶和基礎設施 OU 繼承許可防護機制。聯網 (和安全) 團隊會管理此帳戶中的大部分基礎設施。

網路架構

雖然網路設計和細節超出本文件的範圍,但我們建議在各種帳戶之間進行這三個網路連線的選項:VPC 對等互連 AWS PrivateLink和 AWS Transit Gateway。在其中進行選擇時的重要考量是操作規範、預算和特定頻寬需求。

  • VPC 對等互連 – 連接兩個 VPC 的最簡單方法是使用 VPC 對等互連。連線可實現 VPC 之間的完全雙向連線。位於不同帳戶中的 VPCs, AWS 區域 也可以對等互連。在規模上,當您具有數十至數百個 VPC 時,將其與對等互連會導致形成數百至數千個對等互連的網格,這對於管理和擴展來說可能具有挑戰性。當一個 VPC 中的資源必須與另一個 VPC 中的資源通訊、兩個 VPC 的環境都受到控制和保護,以及要連接的 VPC 數量少於 10 個 (以允許個別管理每個連線) 時,最好使用 VPC 對等互連。

  • AWS PrivateLink ‒ PrivateLink 提供 VPCs、服務和應用程式之間的私有連線。您可以在您的 VPC 中建立自己的應用程式,並將其設定為採用 PrivateLink 技術的服務 (稱為端點服務)。其他 AWS 主體可以使用介面 VPC 端點或 Gateway Load Balancer 端點,從其 VPC 建立與端點服務的連線,視服務類型而定。 Load Balancer 當您使用 PrivateLink 時,服務流量不會通過公開可路由網路。當您具有一個用戶端-伺服器設定,想要為一個或多個消費者 VPC 提供對服務供應商 VPC 中的特定服務或一組執行個體的單向存取時,使用 PrivateLink。當兩個 VPC 中的用戶端和伺服器具有重疊的 IP 地址時,這也是一個很好的選擇,因為 PrivateLink 在用戶端 VPC 內使用彈性網路介面,因此不會與服務供應商發生 IP 衝突。

  • AWS Transit Gateway ‒ Transit Gateway hub-and-spoke設計,可將 VPCs 和內部部署網路連線為全受管服務,而無需您佈建虛擬設備。 AWS 管理高可用性和可擴展性。傳輸閘道是區域資源,可以連接相同區域內的數千個 VPCs AWS 區域。您可以將混合連線 (VPN 和 AWS Direct Connect 連線) 連接到單一傳輸閘道,藉此在一個位置整合和控制 AWS 組織的整個路由組態。傳輸閘道解決了大規模建立和管理多個 VPC 對等互連所涉及的複雜性。它是大多數網路架構的預設值,但圍繞成本、頻寬和延遲的特定需求可能會使 VPC 對等互連更適合您的需求。

傳入 (輸入) VPC

傳入 VPC 旨在接受、檢查和路由從應用程式外部啟動的網路連線。根據應用程式的具體情況,您可能會在此 VPC 中看到部分網路位址轉譯 (NAT)。來自此 VPC 的流程日誌將擷取並儲存在日誌存檔帳戶中。

傳出 (輸出) VPC

傳出 VPC 旨在處理從應用程式內啟動的網路連線。根據應用程式的詳細資訊,您可以預期在此 VPC 中看到流量 NAT、 AWS 服務特定 VPC 端點和外部 API 端點託管。來自此 VPC 的流程日誌將擷取並儲存在日誌存檔帳戶中。

檢查 VPC

專用檢查 VPC 提供簡化且集中的方法,用於管理 VPCs(相同或不同 AWS 區域)、網際網路和內部部署網路之間的檢查。對於 AWS SRA,請確保 VPCs之間的所有流量通過檢查 VPC,並避免將檢查 VPC 用於任何其他工作負載。

AWS Network Firewall

AWS Network Firewall 是適用於 VPC 的高可用性受管網路防火牆服務。它可讓您輕鬆地部署和管理狀態檢查、入侵預防和偵測,以及 Web 篩選,以協助保護您的虛擬網路 AWS。您可以使用 Network Firewall 解密 TLS 工作階段,並檢查傳入和傳出流量。如需設定 Network Firewall 的詳細資訊,請參閱 AWS Network Firewall VPC 中的 – 新的受管防火牆服務部落格文章。

您可以在 VPC 中依可用區域使用防火牆。對於每個可用區域,您選擇一個子網路來託管篩選流量的防火牆端點。可用區域中的防火牆端點可以保護此區域內除其所在子網路之外的所有子網路。根據使用案例和部署模型,防火牆子網路可以是公有或私有子網路。防火牆對流量流程完全透明,且不會執行網路位址轉譯 (NAT)。它會保留來源和目的地地址。在此參考架構中,防火牆端點託管在檢查 VPC 中。從傳入 VPC 至傳出 VPC 的所有流量都將透過此防火牆子網路路由以進行檢查。

Network Firewall 透過 Amazon CloudWatch 指標即時顯示防火牆活動,並透過將日誌傳送至 Amazon Simple Storage Service (Amazon S3)、CloudWatch 和 Amazon Data Firehose 來提高網路流量的可見性。Network Firewall 可與您現有的安全方法互通,包括來自 AWS 合作夥伴的技術。您也可以匯入現有的 Suricata 規則集,這些規則集可能是內部編寫的,也可能是從第三方供應商或開放原始碼平台外部取得的。

在 AWS SRA 中,網路防火牆是在網路帳戶中使用,因為服務的網路控制導向功能符合帳戶的意圖。

設計考量

  • AWS Firewall Manager 支援 Network Firewall,因此您可以集中設定和部署整個組織的 Network Firewall 規則。(如需詳細資訊,請參閱 AWS 文件中的在 Firewall Manager 中使用 AWS Network Firewall 政策。) 在您設定 Firewall Manager 時,它會自動建立一個防火牆,其中包含您指定的帳戶和 VPC 中的規則集。它還在包含公有子網路的每個可用區域的專用子網路中部署端點。同時,對集中設定的規則集的任何變更都會在部署的 Network Firewall 防火牆上自動更新至下游。

  • Network Firewall 有多種可用的部署模型。正確的模型取決於您的使用案例和需求。範例如下:

    • 分散式部署模型,其中 Network Firewall 部署到個別 VPC。

    • 集中式部署模型,其中 Network Firewall 部署到集中式 VPC,用於東西向 (VPC 至 VPC) 或南北向 (網際網路輸出和輸入、內部部署) 流量。

    • 合併的部署模型,其中 Network Firewall 部署到集中式 VPC,用於東西向流量和南北向流量的子集。

  • 作為最佳實務,請勿使用 Network Firewall 子網路部署任何其他服務。這是因為 Network Firewall 無法檢查來自防火牆子網路內的來源或目的地的流量。

網路存取分析器

網路存取分析器是 Amazon VPC 的一項功能,可識別對您的資源的意外網路存取。您可以使用網路存取分析器來驗證網路分隔、識別可從網際網路存取的資源或只能從可信 IP 地址範圍存取的資源,並驗證您是否對所有網路路徑具有適當的網路控制。

Network Access Analyzer 使用自動推理演算法來分析封包可在網路中資源之間採取 AWS 的網路路徑,並針對符合您定義的網路存取範圍的路徑產生問題清單。網路存取分析器會對網路組態執行靜態分析,這表示在此分析過程中不會在網路中傳輸任何封包。 

Amazon Inspector 網路連線能力規則提供了相關功能。這些規則產生的調查結果將在應用程式帳戶中使用。Network Access Analyzer 和 Network Reachability 都使用AWS 來自可用安全計畫的最新技術,並採用具有不同重點領域的這項技術。網路連線能力套件特別著重於 EC2 執行個體及其網際網路可存取性。

網路帳戶定義了控制進出您 AWS 環境流量的關鍵網路基礎設施。需要嚴格監控此流量。在 AWS SRA 中,Network Access Analyzer 用於網路帳戶,以協助識別意外的網路存取、透過網際網路閘道識別可存取網際網路的資源,並確認資源和網際網路閘道之間的所有網路路徑上都存在適當的網路控制,例如網路防火牆和 NAT 閘道。

設計考量事項

Network Access Analyzer 是 Amazon VPC 的一項功能,可用於具有 VPC AWS 帳戶 的任何 。網路管理員可以取得範圍緊密的跨帳戶 IAM 角色,以驗證每個角色中是否強制執行核准的網路路徑 AWS 帳戶。

AWS RAM

AWS Resource Access Manager (AWS RAM) 可協助您安全地 AWS 帳戶 與其他 共用您在其中建立 AWS 的資源 AWS 帳戶。AWS RAM 提供集中位置來管理資源的共用,並跨帳戶標準化此體驗。這使得在利用管理和帳單隔離的同時管理資源更加簡單,並減少多帳戶策略提供的影響限制優勢的範圍。如果您的帳戶由 管理 AWS Organizations, 會 AWS RAM 讓您與組織中的所有帳戶共用資源,或僅與一或多個指定組織單位 (OUs內的帳戶共用資源。您也可以 AWS 帳戶 透過帳戶 ID 與特定 共用,無論帳戶是否為組織的一部分。您也可以與指定的 IAM 角色和使用者共用部分支援的資源類型

AWS RAM 可讓您共用不支援 IAM 資源型政策的資源,例如 VPC 子網路和 Route 53 規則。此外,透過 AWS RAM,資源的擁有者可以看到哪些主體可以存取他們共用的個別資源。IAM 主體可以直接擷取與他們共用的資源清單,這些資源無法用於 IAM 資源政策共用的資源。如果 AWS RAM 用於在 AWS 組織外部共用資源,則會啟動邀請程序。收件人必須先接受邀請,才能存取資源。這提供額外的檢查和餘額。

AWS RAM 在部署共用資源的帳戶中,由資源擁有者叫用和管理。 AWS SRA 中 AWS RAM 說明的一個常見使用案例是讓網路管理員與整個 AWS 組織共用 VPC 子網路和傳輸閘道。這可讓您解耦 AWS 帳戶 和 網路管理函數,並協助實現職責分離。如需 VPC 共用的詳細資訊,請參閱 AWS 部落格文章 VPC 共用:多個帳戶的新方法、VPC 管理和AWS 網路基礎設施白皮書。

設計考量事項

雖然 AWS RAM 服務僅部署在 AWS SRA 的網路帳戶中,但通常會部署在多個帳戶中。例如,您可以將資料湖管理集中到單一資料湖帳戶,然後與 AWS 組織中的其他帳戶共用 AWS Lake Formation 資料目錄資源 (資料庫和資料表)。如需詳細資訊,請參閱 AWS Lake Formation 文件和 AWS 部落格文章AWS 帳戶 使用 安全地跨 共用您的資料 AWS Lake Formation。此外,安全管理員可以在建置 AWS 私有憑證授權單位 階層時,使用 AWS RAM 遵循最佳實務。CAs可以與外部第三方共用,這些第三方無需存取 CA 階層即可發行憑證。這允許發起組織限制和撤銷第三方存取權。

AWS Verified Access

AWS Verified Access 提供不使用 VPN 的安全存取公司應用程式和資源。它改善了安全狀態,並透過根據預先定義的要求即時評估每個存取請求,協助套用零信任存取。您可以根據身分資料裝置狀態,為每個應用程式定義具有條件的唯一存取政策。Verified Access 透過 TCP、SSH 和 RDP 通訊協定,為 Git 儲存庫、資料庫和 EC2 執行個體群組等應用程式提供對 HTTP(S) 應用程式的安全存取,例如以瀏覽器為基礎的應用程式和非 HTTP(S) 應用程式。您可以使用命令列終端機或從桌面應用程式存取這些項目。Verified Access 還可以透過協助管理員有效地設定和監控存取策略,來簡化安全操作。這樣可騰出時間來更新政策、回應安全性和連線事件,以及稽核合規標準。Verified Access 也支援與 整合 AWS WAF ,以協助您篩選掉常見威脅,例如 SQL Injection 和跨網站指令碼 (XSS)。Verified Access 與 無縫整合 AWS IAM Identity Center,可讓使用者透過 SAML 型第三方身分提供者 (IdPs) 進行身分驗證。如果您已具有與 OpenID Connect (OIDC) 相容的自訂 IdP 解決方案,Verified Access 還可以透過直接與您的 IdP 連接來對使用者進行身分驗證。Verified Access 會記錄每次存取嘗試,以便您可以快速回應安全事件和稽核請求。Verified Access 支援將這些日誌交付至 Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs 和 Amazon Data Firehose。 

Verified Access 支援兩種常見的企業應用程式模式:內部和面向網際網路。Verified Access 透過使用 Application Load Balancer 或彈性網路介面與應用程式整合。如果您使用的是 Application Load Balancer,Verified Access 需要內部負載平衡器。由於 Verified Access AWS WAF 在執行個體層級支援 ,因此與 AWS WAF Application Load Balancer 整合的現有應用程式可以將政策從負載平衡器移至 Verified Access 執行個體。企業應用程式表示為 Verified Access 端點。每個端點都與一個 Verified Access 群組關聯,並繼承此群組的存取政策。Verified Access 群組是 Verified Access 端點和群組層級 Verified Access 政策的集合。群組簡化了政策管理,且可讓 IT 管理員設定基準條件。應用程式擁有者可以根據應用程式的敏感度進一步定義精細政策。

在 AWS SRA 中,已驗證存取託管在網路帳戶中。中心 IT 團隊會設定集中管理的組態。例如,他們可以連接身分提供者 (例如 Okta) 和裝置信任提供者 (例如 Jamf) 等信任提供者、建立群組並確定群組層級政策。然後,您可以使用 與數十個、數百個或數千個工作負載帳戶共用這些組態 AWS RAM。這可讓應用程式團隊管理管理其應用程式的基礎端點,而不需要其他團隊的額外負荷。 為託管在不同工作負載帳戶中的公司應用程式 AWS RAM 提供可擴展的方式來利用 Verified Access。

設計考量事項

您可以將具有類似安全要求的應用程式的端點分組,以簡化政策管理,然後與應用程式帳戶共用此群組。群組中的所有應用程式都會共用群組政策。如果群組中的某個應用程式因邊緣案例而需要特定政策,您可以為該應用程式套用應用程式層級政策。

Amazon VPC Lattice

Amazon VPC Lattice 是一種應用程式聯網服務,可連接、監控和保護service-to-service通訊。 服務通常稱為微服務,是一種可獨立部署的軟體單位,可提供特定任務。VPC Lattice 會自動管理跨 VPCs 的服務之間的網路連線和應用程式層路由, AWS 帳戶 而不需要您管理基礎網路連線、前端負載平衡器或附屬代理。它提供了全受管應用程式層代理,此代理根據請求特性 (例如路徑和標頭) 提供應用程式層路由。VPC Lattice 內建於 VPC 基礎設施中,因此可在 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service (Amazon EKS) 和 等各種運算類型中提供一致的方法 AWS Lambda。VPC Lattice 還支援藍/綠和金絲雀式部署的加權路由。您可以使用 VPC Lattice 建立具有邏輯界限的服務網路,以自動實作服務探索和連線。VPC Lattice 與 IAM 整合,以使用身分驗證政策service-to-service身分驗證和授權。 

VPC Lattice 與 整合 AWS RAM ,以啟用 服務與服務網路的共用。 AWS SRA 描述了開發人員或服務擁有者在其應用程式帳戶中建立 VPC Lattice 服務的分散式架構。服務擁有者會定義接聽程式、路由規則、目標群組以及授權政策。然後,他們與其他帳戶共用服務,並將服務與 VPC Lattice 服務網路關聯。這些網路由網路管理員在網路帳戶中建立並與應用程式帳戶共用。網路管理員會設定服務網路層級授權政策和監控。管理員將 VPC 和 VPC Lattice 服務與一或多個服務網路關聯。如需此分散式架構的詳細演練,請參閱 AWS 部落格文章使用 Amazon VPC Lattice 為您的應用程式建置安全的多帳戶多 VPC 連線

設計考量

  • 視您組織的服務或服務網路可見性運作模式而定,網路管理員可以共用其服務網路,並可讓服務擁有者控制將其服務和 VPCs 與這些服務網路建立關聯。或者,服務擁有者可以共用其服務,網路管理員可以將服務與服務網路關聯。

  • 只有當用戶端位於與相同服務網路關聯的 VPC 中時,用戶端才可以將請求傳送至與該服務網路關聯的服務。周遊 VPC 對等互連或傳輸閘道的用戶端流量將遭拒。

邊緣安全

邊緣安全通常需要三種類型的保護:安全內容交付、網路和應用程式層保護以及分散式阻斷服務 (DDoS) 緩解措施。資料、影片、應用程式和 API 等內容必須快速且安全地交付,使用建議版本的 TLS 來加密端點之間的通訊。內容也應透過簽章的 URL、簽章的 Cookie 和字符身分驗證進行存取限制。應用程式層級安全應旨在控制機器人流量、阻止 SQL 隱碼攻擊或跨網站指令碼 (XSS) 等常見攻擊模式,並提供 Web 流量可見性。在邊緣,DDoS 緩解措施提供了重要的防禦層,可確保關鍵任務業務營運和服務的持續可用性。應保護應用程式和 API 免受 SYN 洪水攻擊、UDP 洪水攻擊或其他反射攻擊,並具有內嵌緩解措施以阻止基本網路層攻擊。

AWS 提供多種 服務,協助提供從核心雲端到 AWS 網路邊緣的安全環境。Amazon CloudFront、 AWS Certificate Manager (ACM) AWS Shield AWS WAF和 Amazon Route 53 一起合作,協助建立靈活、分層的安全周邊。透過 CloudFront,內容、APIs或應用程式可以透過 HTTPS 傳遞,方法是使用 TLSv1.3 來加密和保護檢視器用戶端與 CloudFront 之間的通訊。您可以使用 ACM 來建立自訂 SSL 憑證,並將其免費部署到 CloudFront 分佈。ACM 會自動處理憑證續約。Shield 是一項受管 DDoS 保護服務,可協助保護在其上執行的應用程式 AWS。它提供動態偵測和自動內嵌緩解措施,可將應用程式停機時間和延遲降至最低。 AWS WAF 您可以建立規則,根據特定條件 (IP 地址、HTTP 標頭和內文,或自訂 URIs)、常見 Web 攻擊和普遍的機器人來篩選 Web 流量。Route 53 是一種可用性高、可擴展性強的 DNS Web 服務。Route 53 會將使用者請求連線至在內部部署 AWS 或內部部署執行的網際網路應用程式。 AWS SRA 使用網路帳戶中託管的 AWS Transit Gateway,採用集中式網路輸入架構,因此邊緣安全基礎設施也會集中在此帳戶中。

Amazon CloudFront

Amazon CloudFront 是一種安全的內容交付網路 (CDN),可針對常見網路層和傳輸 DDoS 嘗試提供固有保護。您可以使用 TLS 憑證交付內容、API 或應用程式,且進階 TLS 功能會自動啟用。您可以使用 AWS Certificate Manager (ACM) 來建立自訂 TLS 憑證,並在檢視器和 CloudFront 之間強制執行 HTTPS 通訊,如 ACM 章節稍後所述。您還可以要求 CloudFront 與您的自訂原始伺服器之間的通訊在傳輸中實作端對端加密。對於此案例,您必須在原始伺服器上安裝 TLS 憑證。如果您的原始伺服器是彈性負載平衡器,您可以使用 ACM 產生的憑證或由第三方憑證授權機構 (CA) 驗證並匯入至 ACM 的憑證。如果 S3 儲存貯體網站端點做為 CloudFront 的原始伺服器,則您無法將 CloudFront 設定為搭配原始伺服器使用 HTTPS,因為 Amazon S3 不支援網站端點的 HTTPS。(但是,您仍然可能需要在檢視器與 CloudFront 之間使用 HTTPS。) 對於支援安裝 HTTPS 憑證的所有其他原始伺服器,您必須使用可信第三方 CA 簽署的憑證。 

CloudFront 提供了多個選項來保護和限制對您的內容的存取。例如,它可以透過使用簽章的 URL 和簽章的 Cookie 來限制對您的 Amazon S3 原始伺服器的存取。如需詳細資訊,請參閱 CloudFront 文件中的設定安全存取和限制對內容的存取

AWS SRA 說明網路帳戶中的集中式 CloudFront 分佈,因為它們符合使用 實作的集中式網路模式 AWS Transit Gateway。透過在網路帳戶中部署和管理 CloudFront 分佈,您可以取得集中控制的優勢。您可以在單一位置管理所有 CloudFront 分佈,讓您更輕鬆地控制存取、進行設定和監控所有帳戶的使用情況。此外,您還可以從一個集中式帳戶管理 ACM 憑證、DNS 記錄和 CloudFront 日誌記錄。

CloudFront 安全儀表板可直接在 CloudFront 分佈中提供 AWS WAF 可見性和控制。您可以了解應用程式的主要安全趨勢、允許和封鎖的流量,以及機器人活動。您可以使用視覺化日誌分析器和內建的封鎖控制等調查工具來隔離流量模式和封鎖流量,而無需查詢日誌或撰寫安全規則。

設計考量

  • 或者,您可以在應用程式帳戶中部署 CloudFront 作為應用程式的一部分。在此案例中,應用程式團隊做出諸如如何部署 CloudFront 分佈等決策,確定適當的快取政策,並負責 CloudFront 分佈的控管、稽核和監控。透過將 CloudFront 分佈分散在多個帳戶中,您可以從額外的服務配額中受益。另一個好處是,您可以使用 CloudFront 的固有和自動原始存取身分 (OAI) 和原始存取控制 (OAC) 組態來限制對 Amazon S3 原始伺服器的存取。

  • 透過 CloudFront 等 CDN 交付 Web 內容時,您必須防止檢視者繞過 CDN 直接存取您的原始內容。若要實現此原始存取限制,您可以使用 CloudFront 和 AWS WAF 新增自訂標頭,並在將請求轉送到自訂原始伺服器之前驗證標頭。如需此解決方案的詳細說明,請參閱 AWS 安全部落格文章如何使用 AWS WAF 和 增強 Amazon CloudFront 原始伺服器安全性 AWS Secrets Manager。另一種方法是限制安全群組中與 Application Load Balancer 相關聯的 CloudFront 字首清單。這將有助於確保只有 CloudFront 分佈才能存取負載平衡器。

AWS WAF

AWS WAF 是一種 Web 應用程式防火牆,可協助保護您的 Web 應用程式免受 Web 入侵,例如可能影響應用程式可用性、危及安全性或消耗過多資源的常見漏洞和機器人。它可以與 Amazon CloudFront 分佈、Amazon API Gateway REST API、Application Load Balancer、 AWS AppSync GraphQL API、Amazon Cognito 使用者集區和服務整合 AWS App Runner 。

AWS WAF 使用 Web 存取控制清單 ACLs) 來保護一組 AWS 資源。Web ACL 是一組規則,可定義檢查條件,以及在 Web 請求符合條件時要採取的相關動作 (封鎖、允許、計數或執行機器人控制)。 AWS WAF 提供一組受管規則,可針對常見的應用程式漏洞提供保護。這些規則由 AWS 和 AWS Partners 策劃和管理。 AWS WAF 也提供強大的規則語言來撰寫自訂規則。您可以使用自訂規則來撰寫符合您特定需求的檢查條件。範例包括 IP 限制、地理限制以及更適合您的特定應用程式行為的受管規則的自訂版本。

AWS WAF 為常見和目標機器人和帳戶接管保護 (ATP) 提供一組智慧型層受管規則。使用機器人控制功能和 ATP 規則群組時,您需要支付訂閱費用和流量檢查費用。因此,我們建議您先監控流量,然後再決定要使用什麼。您可以使用主控台上 AWS WAF 免費提供的機器人管理和帳戶接管儀表板來監控這些活動,然後決定是否需要智慧型層 AWS WAF 規則群組。 

在 AWS SRA 中, AWS WAF 與網路帳戶中的 CloudFront 整合。在此組態中, AWS WAF 規則處理發生在節點,而不是 VPC 內。這樣可篩選更接近請求內容的最終使用者的惡意流量,並有助於限制惡意流量進入您的核心網路。 

您可以透過設定 S3 儲存貯體的跨帳戶存取權,將完整 AWS WAF 日誌傳送至 Log Archive 帳戶中的 S3 儲存貯體。如需詳細資訊,請參閱本主題的 AWS re:Post 文章

設計考量

  • 做為在網路帳戶中 AWS WAF 集中部署的替代方案,透過 AWS WAF 在應用程式帳戶中部署,可以更好地滿足某些使用案例。例如,當您在應用程式帳戶中部署 CloudFront 分佈或擁有公開的 Application Load Balancer,或如果您在 Web 應用程式前面使用 API Gateway 時,可以選擇此選項。如果您決定 AWS WAF 在每個應用程式帳戶中部署 ,請使用 從集中式安全工具帳戶 AWS Firewall Manager 管理 AWS WAF 這些帳戶中的規則。  

  • 您也可以在 CloudFront 層新增一般 AWS WAF 規則,並在區域資源新增其他應用程式特定的 AWS WAF 規則,例如 Application Load Balancer 或 API 閘道。

AWS Shield

AWS Shield 是一種受管 DDoS 保護服務,可保護在 上執行的應用程式 AWS。Shield 有兩種方案:Shield Standard 和 Shield Advanced。Shield Standard 為所有 AWS 客戶提供針對最常見基礎設施 (第 3 層和第 4 層) 事件的保護,無需額外付費。Shield Advanced 為以受保護 Amazon EC2、Elastic Load Balancing (Elastic Load Balancing) AWS Global Accelerator、CloudFront 和 Route 53 託管區域上的應用程式為目標的未經授權事件提供更複雜的自動緩解措施。如果您擁有高可見性網站或容易頻繁 DDoS 攻擊,您可以考慮 Shield Advanced 提供的其他功能。

您可以使用 Shield Advanced 自動應用程式層 DDoS 緩解功能來設定 Shield Advanced 自動回應,以緩解針對受保護 CloudFront 分佈、Elastic Load Balancing (Elastic Load Balancing) 負載平衡器 (Application、Network 和 Classic)、Amazon Route 53 託管區域、Amazon EC2 Elastic IP 地址和 AWS Global Accelerator 標準加速器的應用程式層 (第 7 層) 攻擊。當您啟用此功能時,Shield Advanced 會自動產生自訂 AWS WAF 規則以緩解 DDoS 攻擊。Shield Advanced 也可讓您存取AWS Shield 回應團隊 (SRT)。您可以隨時聯絡 SRT,為您的應用程式或在主動 DDoS 攻擊期間建立和管理自訂緩解措施。如果您希望 SRT 主動​​監控受保護的資源,並在 DDoS 嘗試期間與您聯絡,請考慮啟用主動參與功能

設計考量

  • 如果您有應用程式帳戶中面向網際網路的資源所面對的任何工作負載,例如 CloudFront、Application Load Balancer 或 Network Load Balancer,請在應用程式帳戶中設定 Shield Advanced,並將這些資源新增至 Shield 保護。您可以使用 大規模 AWS Firewall Manager 設定這些選項。

  • 如果您在資料流程中有多個資源,例如 Application Load Balancer 前方的 CloudFront 分佈,請僅使用進入點資源做為受保護的資源。這將確保您不會為兩個資源支付兩次 Shield 資料傳出 (DTO) 費用

  • Shield Advanced 記錄您可以在 Amazon CloudWatch 中監控的指標。(如需詳細資訊,請參閱 AWS 文件中的使用 Amazon CloudWatch 進行監控。) 設定 CloudWatch 警示,以在偵測 DDoS 事件時接收安全中心的 SNS 通知。在可疑的 DDoS 事件中,請提交支援票證並指派最高優先順序,以聯絡AWS 企業支援團隊。處理此事件時,Enterprise Support 團隊將包括 Shield 回應團隊 (SRT)。此外,您可以預先設定 AWS Shield 參與 Lambda 函數來建立支援票證,並傳送電子郵件給 SRT 團隊。 

AWS Certificate Manager (ACM)

AWS Certificate Manager (ACM) 可讓您佈建、管理和部署公有和私有 TLS 憑證,以搭配 AWS 服務 和您的內部連線資源使用。使用 ACM,您可以快速請求憑證、在 ACM 整合 AWS 的資源上部署憑證,例如 Elastic Load Balancing 負載平衡器、CloudFront 分佈和 Amazon API Gateway 上的 APIs,並讓 ACM 處理憑證續約。當您請求 ACM 公有憑證時,不需要產生金鑰對或憑證簽署請求 (CSR)、向憑證授權機構 (CA) 提交 CSR,或是在收到憑證時上傳並安裝憑證。ACM 還提供匯入第三方 CA 發行的 TLS 憑證並使用 ACM 整合服務進行部署的選項。當您使用 ACM 管理憑證時,會使用強式加密和金鑰管理最佳事務來安全地保護和儲存憑證私有金鑰。使用 ACM,佈建公有憑證無需額外付費,且 ACM 可管理續約程序。

ACM 在網路帳戶中用於產生公有 TLS 憑證,CloudFront 分佈再使用此憑證在檢視器和 CloudFront 之間建立 HTTPS 連線。如需詳細資訊,請參閱 CloudFront 文件

設計考量事項

對於面向外部的憑證,ACM 必須與為其佈建憑證的資源駐留在相同帳戶中。憑證不能跨帳戶共用。

Amazon Route 53

Amazon Route 53 是一種可用性高、可擴展性強的 DNS Web 服務。您可以使用 Route 53 執行以下三個主要功能:網域註冊、DNS 路由和運作狀態檢查。

您可以使用 Route 53 做為 DNS 服務,將網域名稱映射到您的 EC2 執行個體、S3 儲存貯體、CloudFront 分佈和其他 AWS 資源。 AWS DNS 伺服器的分散式性質有助於確保您的最終使用者一致地路由到您的應用程式。Route 53 流量流程和路由控制等功能可協助您改善可靠性。如果您的主要應用程式端點不可用,您可以設定容錯移轉以將使用者重新路由至替代位置。Route 53 Resolver 透過 AWS Direct Connect 或 AWS 受管 VPN 為您的 VPC 和內部部署網路提供遞迴 DNS。

透過搭配 Route 53 使用 IAM 服務,您可以精細控制誰可以更新您的 DNS 資料。您可以啟用 DNS 安全延伸 (DNSSEC) 簽署,讓 DNS 解析程式驗證 DNS 回應是否來自 Route 53,並且尚未遭到竄改。

Route 53 Resolver DNS 防火牆為來自 VPC 的傳出 DNS 請求提供保護。這些請求會通過 Route 53 Resolver 進行網域名稱解析。DNS 防火牆保護的主要用途是協助防止 DNS 洩漏您的資料。透過 DNS 防火牆,您可以監控和控制應用程式可查詢的網域。您可以拒絕存取您已知行為不良的網域,並允許所有其他查詢通過。或者,您可以拒絕對除明確信任網域之外的所有網域的存取。您也可以使用 DNS 防火牆來封鎖對私人託管區域 (共用或本機) 中資源 (包括 VPC 端點名稱) 的解析請求。它也可以封鎖對公有或私有 EC2 執行個體名稱的請求。

依預設,Route 53 解析器會作為每個 VPC 的一部分建立。在 AWS SRA 中,Route 53 主要用於 DNS 防火牆功能的網路帳戶。

設計考量事項

DNS 防火牆和 AWS Network Firewall 都提供網域名稱篩選,但適用於不同類型的流量。您可以同時使用 DNS 防火牆和網路防火牆,為透過兩個不同網路路徑的應用程式層流量設定網域型篩選:

  • DNS 防火牆針對從 VPC 內的應用程式透過 Route 53 Resolver 傳遞的傳出 DNS 查詢提供篩選功能。您也可以設定 DNS 防火牆,將查詢的自訂回應傳送至封鎖的網域名稱。

  • Network Firewall 同時提供網路層和應用程式層流量的篩選功能,但是沒有 Route 53 Resolver 所實現的查詢可見性。