使用AWS的最佳安全防护实践

使用AWS的最佳安全防护实践

本篇根据作者经验总结了使用通用AWS云服务的安全最佳时间。希望对刚接触AWS云服务的小伙伴有所帮助，也希望路过的大神批评指正。

1. AWS账户安全

1.1. 开启IAM账户多因子认证

1.2. 禁用根账户的API访问密钥

如果需要使用API访问密钥，建议创建普通用户，并赋予所需的最小访问权限 1.3. 定期清理长期未使用账户 如果一个账户过去30天都未登陆，建议删除 1.4. 通过Admin权限减少IAM用户的数量，使用role功能的临时访问权限 1.5. 定期循环所有秘钥 1.6. 不同的管理员开通不同的账户，为账号赋予所需最小权限 2. 管理系统安全 2.1. 开启终止保护，推荐对于生产虚拟机开启终止保护，避免被误删除 2.2. 服务间的调用权限，不用在代码中存储访问密钥，要使用role功能 3. 数据安全 3.1. 数据加密存储 3.2. S3上的数据访问，使用临时令牌STS来访问 4. 基础架构安全 4.1. 不同应用使用不同VPC，如需互访，开通VPC Peering，并设定安全规则 4.2. VPC中的子网分层（可信任区域和DMZ区域），同一种应用的不同层次放置在不同子网中 4.3. 并设定安全区域和网络分段 4.4. 开启安全组白名单，安全组作为虚拟防火墙，控制一个多个实例的流量进出，为了避免暴漏安全漏洞，建议只开需要的端口给需要的IP 4.5. 使用NACL控制不同子网和不同VPC的通信 4.6. 使用AutoScaling来抑制DDoS攻击 5. 安全管理、监控、审计 5.1. 开启Cloud Trail，并设置单独一个账户来存放审计数据 5.2. 开启Cloud watch监控，并设置报警规则 5.3. 定期的进行安全监测 5.4. 开启ELB的访问日志功能 5.5. 开启VPC的流日志功能

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。