封包從Internet一路到Instance裡面經過的Gateway, VPC, public/private subnet等等,就像是開闢一條道路讓封包進出自己的server。如果networking沒設正確,就像道路不通,封包流量自然不會流通。當這條道路打通後,接下來就是在這條路上放上層層的安全把關。
Internet -> Shield -> NACL -> WAF -> Security Group -> Instance
簡單想像客人要進入自己家中時的層層安控。
客人 -> 保全 -> 電梯磁卡 -> 監視器 -> 房門鑰匙 -> 房間
而 Firewall Manager 就像保全公司,負責管理組織底下所有AWS Account以上的安全設定。
- EC2的Firewall。可以控制inbound/outbound traffic規則 (像是哪些 protocol/ports/source 可以通過)
- request/response是stateful; 如果inbound可以進來,則outbound就一定可以出去。反之,可以出去就一定能進來。
- 預設格則都是不允許的。
AWS WAF (Web Application Firewall)
- 專門用來監控網路第7層(L7, 應用程式層)的http/https 的requests。
- 可部署於 ALB, API Gateway, CloudFront, AppSync GraphQL API, Cognito User Pool。
- 可建立 Web ACL。規則例如:IP白名單(一個規則上限1萬筆IP), Http head/body檢查, request大小或是地理位址防堵。
- Web ACL的設定, 除了CloudFront, 對其他服務的設定都是Regional。
- subnet曾的firewall。
- request/response是stateless。如果inbound可以進來,outbound可以被設定為deny, 就無法出去,這個請求最終會得不到結果。
- 預設規則都是允許的。
- 專門用來防護DDoS攻擊。
- AWS Shield Standard 是免費的, 預設就有啟動。保護網路第3,4層的攻擊, 像是SYN/UDP 洪水攻擊, Reflection attacks.
- AWS Shield Advanced ($3000/mo per organization), 保護更複雜類型的攻擊。保護目標如 ELB, CloudFront, Global Accelerator, Router53.
- 管理組織下所有的Firewall規則。像是WAF rules, Shield Advanced, Network Firewall (VPC level), DNS Firewall...etc。
--
AWS Macie 用來偵測是否有敏感資料Personal Identifiable Information (PII)的服務。透過機器學習,從S3的檔案裡偵測到可能的PII。
AWS GuardDuty 用來偵測是否有資安威脅的服務。非常適合用來保護Crypto Currency Attack。透過機器學習,從各種日誌(VPC flow logs, CloudTrail logs, DNS logs, S3 logs...etc)去偵測威脅的可能。
AWS Inspector 用來掃軟體漏洞評估(根據CVE的資料庫)。主要用在EC2 instances, ECR Container Images & Lambda Functions。
--
AWS Key Manager (KMS) 專門用來管理存取加密過的金鑰。跟大部分的AWS服務都有整合,而跟IAM有完整的整合。可以透過CloudTrail來審視KMS key的使用狀況。
System Manager (SSM) Parameter Store 用來儲存組態或機密資料。常見使用情境像是Lambda可以把db url/password等組態資料存放用此。有分Standard和Advanced兩種Tiers。差別除了價錢跟可儲存數量大小外,Advanced支援參數expiration的police。
AWS Secrets Manager 專門用來管理存取有生命週期的機密。例如每3個月更換一次密碼。常見使用情境像是與Amazon RDS, KMS的整合。支援Multi-Region Secrets (同步replica到其他region)。
AWS Certificate Manager (ACM) 專門用來管理存取TLS Certificates。常見使用情境像是ELB, CloudFront, API Gateway的整合。但這無法用在於EC2上面。
Reference
- https://www.udemy.com/course/aws-certified-solutions-architect-associate-saa-c03
- https://www.tenlong.com.tw/products/9786263333123?list_name=lv