亚马逊 利用AWS VPC和IAM服务搭建高度安全的云环境

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

利用AWS VPC和IAM服务搭建高度安全的云环境

DamonDeng 邓明轩

AWS 高级解决方案架构师

mingxuan@http://www.77cn.com.cn

©http://www.77cn.com.cn, Inc. and its affiliates. All rights reserved.

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

AWS全球基础设施

11 区域（Region） 30 可用区（AZ） 53 边缘站点

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

基础设施级别的高可用架构

Availability Zone 可用区

_ 每个region区域至少有两个可用区 _ 每个可用区都由多个数据中心组成

_ 可用区之间地理与网络都是独立设计与运营 _ 可用区直接网络延时保持在3ms以下 _ 可用区内延迟保持在0.5ms以下

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

gg336x280();0_0_0_0_0_0_1080_607.5-1080-0-28005-1080.jpg" alt="亚马逊 利用AWS VPC和IAM服务搭建高度安全的云环境" />

Deployment & Management

Application Services

Foundation Services

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPC介绍

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

什么是 Amazon VPC?

Virtual Private Cloud：虚拟私有云 在AWS上的私有隔离的网络空间 用户可以自定义虚拟网络拓扑

全面控制云上的网络资源（子网、路由、ACL、防火墙、VPN等）

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPC 基本组件

Amazon VPC

Virtual private

gateway Elastic network

interface

Subnet

VPN connection

Elastic IP

Router

Customer

gateway Internet

gateway

Direct Connect

Route table

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPC

Availability Zone A

Availability Zone B

VPC CIDR: 10.1.0.0 /16

VPC = Virtual Private Cloud 在AWS上的虚拟数据中心 自定义虚拟数据中心的地址段 (RFC 1918)

可以包含多个可用区（AZ） 如果没有自建VPC，AWS提供Default VPC

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPC 子网

在VPC内部划分子网段 一个子网只能在一个AZ中 通过安全控制列表（ACL）实现子网安全 子网路由

Default VPC 提供了一个默认子网

是否自动分配公网地址开关： 如果开启，此子网中的EC2实例在创建时可以自动分配动态公网IP

公有子网和私有子网

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

虚拟路由器 Virtual router

VPC CIDR: 10.1.0.0 /16

默认设置下（ACL不做限制），子网之间彼此互通

子网之间彼此互通是由一个虚拟路由器实现的，虚拟路由器连接所有子网并转发流量

在EC2虚拟机中，可以看到DHCP分配的默认网关地址是.1

虚拟路由器不需要配置

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

互联网网关 Internet gateway

AWS Public API Endpoints

Internet IGW = Internet Gateway VPC连接Internet的逻辑出口 Default VPC包含了一个IGW

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

路由表 Route table

AWS Public API Endpoints

Internet 包含有一系列的转发规则，即路由条目，用于决定流量的转发 一个子网关联一个路由表

控制子网路由，比如决定是否可以向互联网网关(IGW)或VPN网关(VGW)转发流量

一个路由表可以关联多个子网 一个子网只能关联一个路由表

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

弹性网卡 Elastic network interface

AWS Public API Endpoints

Internet ENI是EC2的虚拟网卡

在一个VPC中，默认设置下，每个EC2实例会有ENI，一个默认的 eth0 接口

ENI包含MAC地址，私有IP，以及关联的动态公网IP或EIP 非默认ENI可以变更关联到同一AZ的另一个EC2实例

通过ENI能实现什么?

–一个EC2实例连接两个子网 –多网卡、多IP –简单的HA

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

弹性IP (Elastic IP)

AWS Public API Endpoints

Internet EIP = 弹性IP 静态公网IP地址 可申请，可释放

释放后不保证能再申请到同一IP

在同一个Region内，EIP可以关联给任意一个EC2实例的网卡（ENI） 一个实例可以有多块网卡 一个网卡可以有多个IP

关联后，私有IP与EIP一一映射

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

网络访问控制列表

Network access control list

VPC Subnet with ACL

NACL = network access control list

实现子网的安全控制

无状态，流量控制需要编写出入双向规则

执行有顺序，按照规则编号

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

安全组 Security group

Security Group

安全组相当于EC2实例的防火墙

一个EC2实例最多可以关联5个安全组

安全组是实例级别的，不是子网级的

与防火墙一样，安全组是有状态的，只需要规定流量发起一侧的端口限制，出入向设置都支持

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

Network ACLs vs. security groups

应用于子网

无状态

Allow（白名单）(黑名单) 顺序执行 Security groups

Elastic Network interface

Security Group

应用到实例的 ENI

有状态

Allow only (白名单) 规则总体应用，无序

在一个VPC中，一个安全组可以依赖另一个安全组，实现嵌套

NACLs

and deny

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPN connection

VPN over the Internet

VGW = virtual private gateway VGW是一个逻辑的VPN网关，用于与物理数据中心建立VPN连接

也可以用于建立Direct Connect专线连接

在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。

VPC 安全控制

本文来源：https://www.bwwdw.com/article/da7i.html