AWS SAA-C02 安全相关考点整理

概述

AWS中与安全相关的组件主要有如下5个:

  • AWS Inspector: 为EC2打漏洞补丁。
  • AWS Shield Advance: 在OSI第4层,防止DDoS攻击。
  • AWS WAF: 防火墙,工作在OSI第7层,可以防止DDoS,SQL注入和XSS等攻击。
  • AWS GuardDuty:安全监控,监控VPC flow日志,Cloudtrail日志等,可以发现问题创建CloudWatch事件触发AWS Lambda进行防御。
  • AWS Macie:识别数据中的敏感信息。

防火墙

  • WAF可以使用ACL屏蔽IP, 可以防止XSS攻击。
  • WAF可以根据IP屏蔽特定国家的流量。
  • WAF有rate-based rule,可以防御DDoS攻击。
  • WAF和 API Gateway、Cloudfront和ALB都能连用。
  • WAF+Cloudfront+S3+OAI:静态网站解决方案。
  • AWS Shield Advance 通常和NLB连用

加密

  • Cloudfront field-level 加密,对HTTP Request参数加密。
  • AWS CloudHSM = 专用的云中的加密解密模块,独享硬件不共享,对密钥有最完全的控制。可以和KMS集成,作为Custom Key Store
  • S3的managed key encryption不支持client side encryption, S3在bucket policy中强制启用加密通过添加条件: “s3:x-amz-server-side-encryption”
  • EFS支持TLS
  • EBS强制加密是一个Regoin级的配置,在EC2的配置页面开启。

权限&IAM

  • 跨account进行角色授权:同一个公司内部可以使用trust policy(assume)/ delegate access。向第三方授权使用external ID。
  • 对于一些数据库可以使用 VPC sharing。
  • S3 的bucket policy 和 SQS的access policy 能也能实现跨账号授权。
  • S3的bucket owner对非自己上传的object默认不拥有权限,可以通过bucket policy的ACL配置“bucket-owner-full-control”迫使上传者在上传对象时授予bucket owner全权控制。
  • Lambda execution role:给lambda权限去调用其他资源。其他资源调用lambda role在resource policy中配置。
  • AWS API Gateway的usage plan可以限制访问者。
  • AWS KMS CMK key policy控制每个key的权限。
  • S3授予某个org访问权限, 在bucket policy中配置:PrincipalOrgID
  • endpoint也有policy可以配置。

证书

  • ACM可以为证书自动续期,imported证书是否临近过期用AWS Config检查。
  • 如果希望cloudfront使用自定义域名,要申请证书并导入Cloudfront。且证书必须在us-east-1的ACM申请。

其他

  • AWS 中使用 key pair的组件: EC2/Cloudfront
  • Security Group可以独立存在,重复使用,配合VPC peering可以跨VPC。Security Group是有状态的,配置了inbound,则outbound自动放行,在配置网络时应优先使用。
  • Policy里的关键词“NotAction”:表示规则应用于除此action之外
  • AWS Secret Manager 和 security string in AWS systems manager parameter store都能加密字符串,但是Secret Manager能rotate密码。
  • AWS STS (无需SAML) 和 AWS Single-SignOn: 登录AWS的其他手段。
  • AWS Config managed rules中也有很多安全相关的现成的配置检查项,比如restricted-ssh会检查所有Security Group中ssh端口的访问是否配置了CIDR,而不是对所有IP开放。

  • AmazonSSMManagedInstanceCore allows an instance to use Systems Manager service core functionality. Systems Manager能对instances进行中央配置管理,跳过security group的限制进行ssh。

  • EKS Kubernetes API 服务器终端节点的公有访问禁止,安全访问方式:Bastion 或者 Transit Gateway:Amazon EKS 集群端点访问控制 - Amazon EKS

posted @ 2022-01-03 16:03  爱知菜  阅读(56)  评论(0编辑  收藏  举报