在AWS中有许多服务可以帮助您提高 AWS 环境的整体安全性。由于大多数 AWS 服务都非常易于使用,并且不需要由专业员工团队管理,因此各种规模的公司都可以轻松地从它们的使用中受益。

本文将介绍其中的三项服务,并解释您应该考虑实施它们的原因。

  • AWS Web 应用程序防火墙 (WAF)
  • AWS Shield
  • AWS Firewall Manager

AWS WAF(保护您的 Web 应用程序免遭常见 Web 漏洞的攻击)

AWS WAF Web 应用程序防火墙(AWS WAF) 是一种云防火墙,它使用各种安全规则来保护在 AWS 上运行的 Web 应用程序。您可以使用 AWS 提供的安全规则,也可以配置您自己的规则。这些规则可以在每个应用程序的基础上实施,为您提供灵活性。

AWS WAF 旨在与 EC2、CloudFront、Application Load Balancer 和 API Gateway 一起使用。由于 AWS 是一项完全托管的服务,可以免除您的所有责任,因此实施起来非常容易。没有任何类型的必要部署,您不需要安装任何软件,您也不必担心让防火墙保持最新状态。您所要做的就是制定您想要的规则。AWS WAF 的定价计划也非常简单。费用基于您创建的访问控制列表 (Web ACL) 的数量(每个 Web ACL 每月 5.00 美元,每小时按比例分配)、您为每个 Web ACL 拥有的规则数量(每个规则每月 1.00 美元)以及数量您收到的 Web 请求的数量(每 100 万个请求 0.60 美元)。

AWS WAF 可用于防止对您的 AWS 环境的各种攻击。最简单的类型是来自已知 IP 地址的攻击,可以通过配置 IP 匹配条件来阻止。其他是 SQL 注入攻击,通过使用 SQL 注入匹配条件来防止,以及跨站点脚本攻击(XSS 攻击),通过跨站点脚本匹配条件来防止。AWS WAF 还允许您创建基于速率的规则来阻止暴力 HTTP 洪水攻击。

AWS Shield(托管式 DDoS 防护)

虽然 AWS WAF 是一种防火墙,可以保护您免受多种类型的攻击并提供各种白名单选项,但 AWS Shield 是一项单一用途的服务。AWS Shield是一种托管的分布式拒绝服务 (DDoS) 保护工具,适用于您基于 AWS 的应用程序。DDoS 攻击是对服务器或网络基础设施的恶意攻击,试图破坏正常流量。它们通常很有效,因为它们利用多台计算机(通常是受感染的计算机)作为攻击源,压倒目标的能力。由于 DDoS 攻击是最常见的攻击类型之一,因此为它们提供专门的安全服务是明智之举。

AWS Shield 有两个不同的服务层:AWS Shield Standard 和 AWS Shield Advanced。标准层是完全免费的。如果您是 AWS 客户,那么它已经为您设置好并且正在为您工作。AWS Shield Standard 通常可以防止针对您的业务应用程序和网站的常见网络和传输层(第 3 层和第 4 层)DDoS 攻击。AWS Shield 会监控所有传入流量并在检测到恶意活动时减轻攻击。该服务的唯一缺点是,虽然您受到保护,但您看不到攻击历史记录,也不会收到任何描述攻击的通知或报告。

AWS Shield Advanced 使用高级路由技术提供更复杂的保护。它保护在EC2 备份、CloudFront、ELB、Route53 等上运行的所有资源,并检测对应用程序层(第 7 层)的任何攻击。AWS Shield Advanced 提供与 AWS WAF 的集成以及对攻击的实时可见性。该服务层还提供对 AWS DDoS 响应团队 (DRT) 的 24×7 全天候访问。如果确实发生了 DDoS 攻击,并且您的账单显着增加,则可以退还您在攻击中损失的金额。

AWS Shield Advanced 的费用为:每月 3,000 美元,订阅期为一年。您还需要支付 AWS Shield Advanced 数据传输使用费。有关这些的详细信息,请访问 AWS Shield 官方定价页面。

AWS Firewall Manager(跨账户和应用程序集中配置和管理防火墙规则)

AWS Firewall Manager是一项服务,它为配置和管理防火墙规则和安全策略以及在您的 AWS 组织内的所有应用程序和账户中实施它们提供了一个集中位置。AWS Firewall Manager 用于简化 AWS WAF 和 AWS Shield 的使用。

对于运行更大环境的用户,尤其是拥有多个帐户的用户,将规则和策略分组并将其应用于整个环境的能力非常有用。AWS Firewall Manager 可以更轻松地快速将新应用程序纳入合规性,从而提高您的敏捷性。它还处理安全组,通过使用一组预配置的规则为您提供轻松的管理。

AWS Firewall Manager 每个区域的每个策略的费用为 100.00 美元,尽管订阅 AWS Shield Advanced 是免费的。当然,您还需要为所有管理的资源付费,例如防火墙规则或 Web ACL。

AWS WAF 和 AWS Shield – 安全的最佳组合

随着安全问题的增加,对在公共云中运行的业务环境的更高级别保护的需求也在增加。值得庆幸的是,AWS 提供了一整套托管服务,极大地简化了这些安全流程的配置和管理。

AWS WAF 使用各种安全规则来加强您应用程序前面的云防火墙,并确保它们在遭到恶意攻击时正常运行。

AWS Shield 提供专门的 DDoS 保护,旨在阻止对您的网络和服务器的攻击。

AWS Firewall Manager 使您可以在整个云组织中有效地设计和实施这些保护。

无论您是经营小型初创公司还是大型企业,这些服务都非常有用。花时间调查它们并确保在云环境中正确实施它们是值得的。

参考链接:

  • https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html