超级会员免费看
AWS安全与成本优化指南
一、AWS安全相关知识
-
证书导入要求
在导入证书时,证书必须有效且未过期。若要将导入的证书与CloudFront一起使用,则必须将其导入到us-east-1区域。 -
Macie服务
Macie是一项可自动定位和分类存储在S3存储桶中的敏感数据,并展示其使用方式的服务。借助机器学习,Macie可通过以下方式改善云安全状况:- 识别诸如商业机密和个人身份信息等敏感数据。
- 若发现存储桶权限过于宽松,会发出警报。
- 跟踪存储桶策略和访问控制列表(ACL)的更改。
- 根据自定义数据标识符对其他类型的数据进行分类。
Macie将其发现结果分为策略发现和敏感数据发现。策略发现包括降低存储桶安全性的更改,如更改存储桶策略或移除加密;敏感数据发现则是对在S3存储桶中找到的任何敏感数据进行分类。Macie会自动将其发现结果发布到EventBridge和AWS Security Hub,其他应用程序可利用这些结果并据此采取行动,例如将发现结果发送到SNS通知主题,以便在发现具有公共权限的S3存储桶时发送电子邮件通知。Macie会立即发布敏感数据发现结果,每15分钟发布一次策略发现结果。
3.
安全控制原则
有效的安全控制必然会增加部署的复杂性,偶尔还会导致某些功能出现故障。但通过在每个层面实施安全措施,可在过程中解决这些问题。完成部署后,将具备有效的安全态势,此后更易于缓解逐渐出现的漏洞和威胁。在初始配置服务时,可适当放宽要求以确保一切按预期运行,但一旦确认无误,就应立即实施安全控制。需遵循最小权限原则,使用基于身份和资源的策略以及基于网络的控制。尽早配置日志记录,以便于故障排除;在上线前设置加密,确保数据不会以明文形式传输或存储;为关键事件设置通知,以便在出现配置错误、攻击或错误时立即知晓;最后,尽可能使用自动扩展、CloudFormation和预配置的AMI实现自动化,自动化可使你在发生事件后更快恢复,还能减少人工干预,从而降低出错的可能性。
4.
考试要点相关知识
-
权限策略配置
:权限策略是基于身份和资源的策略的基础,需理解这两种策略的区别,并能够理解和创建它们。基于身份的策略附加到IAM主体(如用户或角色),基于资源的策略应用于资源,不包含主体元素。
-
权限边界与策略的交互
:权限边界定义了IAM主体可拥有的最大权限,可通过附加定义权限边界的托管策略,按身份设置权限边界。
-
角色和信任策略
:角色是一组权限,IAM用户、AWS服务或联合用户可通过承担该角色来获取这些权限。信任策略是基于资源的策略,用于定义谁可以承担该角色以及在何种条件下承担。
-
日志收集、搜索和分析选项
:CloudWatch Logs可整合来自多个源的日志,包括CloudTrail、VPC流日志、DNS查询日志和应用程序生成的日志。可使用过滤模式在CloudWatch Logs中搜索日志,对于存储在S3中的日志,可使用Athena通过SQL查询进行搜索。
-
安全服务用例识别
:
- GuardDuty分析各种日志,查找攻击迹象。
- Inspector使用代理检查EC2实例的漏洞。
- Shield在发生已知的基于网络的攻击时进行识别和阻止。
- WAF允许配置自定义规则,以阻止可疑或不良流量。
-
KMS工作原理
:需了解如何创建客户主密钥并设置密钥策略。密钥策略定义了密钥用户(即可以使用密钥加密和解密数据的IAM主体),还定义了密钥管理员(即可以启用和禁用密钥、修改密钥策略的人员)。
以下是一个简单的mermaid流程图,展示Macie服务的工作流程:
graph LR
A[S3存储桶] --> B[Macie定位敏感数据]
B --> C[分类数据]
C --> D{发现类型}
D -->|策略发现| E[发布到EventBridge和Security Hub]
D -->|敏感数据发现| F[立即发布到EventBridge和Security Hub]
E --> G[其他应用程序利用结果]
F --> G
二、AWS安全相关复习问题及解析
-
密码策略设置问题
在密码策略中,不能设置的选项有(选择两个):- A. 最大长度
- B. 要求使用数字
- C. 防止多个用户使用相同密码
- D. 要求管理员重置过期密码
答案:C和D。通常密码策略可设置长度、字符类型等要求,但防止多用户使用相同密码和要求管理员重置过期密码一般不在密码策略设置范围内。
2.
权限策略元素更改问题
一个IAM用户已附加了一个客户管理的策略,该策略为其提供了执行职责所需的足够访问权限。若要要求该用户在使用AWS CLI时进行多因素身份验证(MFA),应更改策略中的哪个元素?
- A. 资源
- B. 条件
- C. 操作
- D. 主体
答案:B。条件元素可用于定义策略生效的条件,通过设置条件可要求使用MFA。
3.
恢复IAM策略问题
你创建的一个IAM策略被另一位管理员修改,你需要将该策略恢复到原始状态,但不记得其原始配置。应采取哪些措施来恢复策略(选择两个)?
- A. 查阅CloudTrail全局管理事件日志
- B. 从快照中恢复策略
- C. 查阅CloudTrail数据事件日志
- D. 恢复到上一个策略版本
答案:A和D。CloudTrail全局管理事件日志可记录策略的修改历史,帮助恢复;同时恢复到上一个策略版本也是常见的恢复方法。
4.
角色权限问题
一个对所有区域的所有EC2操作都有完全访问权限的IAM用户承担了一个仅对
us-east-1
区域的EC2
RunInstances
操作有访问权限的角色。该用户在承担该角色后能够做什么?
- A. 在任何区域创建新实例
- B. 在
us-east-1
区域创建新实例
- C. 在
us-east-1
区域启动现有实例
- D. 在任何区域启动现有实例
答案:B。用户承担角色后,其权限受该角色限制,只能在
us-east-1
区域执行
RunInstances
操作,即创建新实例。
5.
KMS密钥权限问题
一个S3存储桶中的多个对象使用KMS客户主密钥进行了加密。以下哪种方式可使IAM用户获得解密这些对象的权限?
- A. 将用户添加到密钥策略中作为密钥用户
- B. 使用IAM策略授予用户对密钥的访问权限
- C. 将用户添加到密钥策略中作为密钥管理员
- D. 将用户作为主体添加到存储桶策略中
答案:A。密钥策略定义了可以使用密钥加密和解密数据的密钥用户,将用户添加为密钥用户可获得解密权限。
后续内容将继续介绍AWS成本优化相关知识,包括规划、跟踪和控制成本的方法,以及相关工具的使用。
AWS安全与成本优化指南
三、AWS成本优化之规划、跟踪和控制成本
-
AWS计费仪表盘
要获取账户级别的财务信息,可通过AWS管理控制台顶部的账户下拉菜单访问AWS计费仪表盘。在该仪表盘上,你可以查看过往账单、管理信用额度以及输入税务设置信息,同时还能快速了解当前月份的成本活动概况。更重要的是,计费仪表盘还链接了用于监控和控制AWS支出的工具,尽管这些工具的具体功能和名称可能会随时间变化,但总体目标是让你深入了解运行资源的成本,并能对其进行密切跟踪。 -
AWS预算
通过计费偏好设置链接,你会进入一个简单的页面,在该页面可选择接收计费信息的方式。你可以选择让AWS通过Amazon CloudWatch警报(如之前了解的那样)或较新的AWS预算向你发送计费警报。- 预算的作用 :预算用于跟踪正在进行的资源使用情况和成本,当预计使用水平超出预定义阈值时会发出警报。例如,你可以设置当跨区域传输基于S3的数据的季度总成本有可能超过一定金额时,通过电子邮件收到警报;或者创建一个预算,当在指定AWS区域运行的按需EC2实例向互联网传输的出站数据总量超过100GB时通知你。
- 成本分配标签的使用 :你可以为资源创建并应用成本分配标签,并在预算中使用这些标签作为过滤器。这样可以将警报限制在特定类别的资源上,比如只跟踪暂存或开发环境的资源,而不包括生产环境。激活和管理标签可通过计费页面中的“成本分配标签”链接访问相应页面进行操作。用户定义的标签可使用通过资源组访问的标签编辑器创建和管理,在该页面可查找活动资源(如EC2实例和S3存储桶)并为其创建或编辑标签。需要注意的是,标签可能需要长达24小时才能在计费和成本管理仪表盘中显示,并且不能应用于在标签创建之前启动的资源。
-
预算的配置步骤
:
- 点击计费仪表盘中的“预算”链接,然后点击“创建预算”。
- 选择“成本预算”选项,然后点击“下一步”。
- 为预算命名(例如“每月限额”),选择“每月”作为周期,并选择“定期预算”单选按钮,这将使预算每月无限期运行。在“预算金额”字段中输入金额(如100,该值将被解释为美元),将所有“汇总成本”值保留为“未混合成本”,完成后点击“下一步”。
- 在“警报”下拉菜单中选择“实际”,在“警报阈值”中输入80,在下拉菜单中选择“预算金额的百分比”,在“电子邮件联系人”字段中输入你的电子邮件地址,然后点击“创建”。
- 下一步,你可以选择为警报添加操作,选择一个涵盖你想要操作的资源的IAM角色,然后选择操作的具体细节。
设置完成后,当你的账户资源产生的费用超过80美元(即预算金额100美元的80%)时,你将收到电子邮件警报。如果不再需要创建的预算,可在仪表盘中选择该预算条目并删除,以避免产生费用。
以下是一个表格总结AWS预算的相关要点:
| 要点 | 详情 |
| — | — |
| 作用 | 跟踪资源使用和成本,超出阈值警报 |
| 标签使用 | 可作为过滤器,限制警报范围 |
| 配置步骤 | 选择预算类型、命名、设置金额和周期、设置警报、可选添加操作 |
-
监控工具
虽然预算警报可帮助你控制AWS支出,但随着资源堆栈变得更加繁忙和复杂,你需要更深入地了解支出模式,以便理解并在必要时调整发展趋势。成本探索器和报告虽不会主动限制你的支出,但能帮助你更全面地了解情况,从而做出更明智的选择。- 成本探索器 :从计费和成本管理仪表盘中点击“成本探索器”,然后点击“启动成本探索器”,你将看到历史AWS使用情况和成本的详细可视化界面。默认视图显示过去六个月的信息,你可以点击“按组显示”链接进行更深入的探索。
以下是一个mermaid流程图,展示AWS成本管理的整体流程:
graph LR
A[AWS计费仪表盘] --> B[AWS预算]
A --> C[成本探索器和报告]
B --> D[设置预算和警报]
C --> E[深入了解支出模式]
D --> F[控制支出]
E --> G[做出明智决策]
四、AWS成本优化相关复习问题及解析
-
分布式应用安全问题
你有一个分布式应用程序在世界各地的数据中心运行,该应用程序连接到一个公共的简单队列服务(SQS)端点以向队列发送消息。为防止攻击者使用该端点未经授权访问队列,可采取哪些措施(选择两个)?- A. 网络访问控制列表
- B. 安全组
- C. IAM策略
- D. SQS访问策略
答案:C和D。IAM策略可用于控制对SQS服务的访问权限,SQS访问策略可专门针对SQS队列设置访问规则,从而防止未经授权的访问。网络访问控制列表和安全组主要用于网络层面的访问控制,对SQS端点的针对性不如IAM策略和SQS访问策略。
2.
应用负载均衡器安全问题
你正在使用一个面向公众的应用负载均衡器将流量转发到自动扩展组中的EC2实例。为确保互联网用户可以通过HTTPS访问负载均衡器,而不能直接访问你的实例,可采取哪些措施(选择两个)?
- A. 创建一个允许所有入站流量到TCP端口443的安全组
- B. 将安全组附加到实例
- C. 将安全组附加到负载均衡器
- D. 从VPC中移除互联网网关
- E. 创建一个允许所有入站流量到TCP端口80的安全组
答案:A和C。创建允许所有入站流量到TCP端口443(HTTPS端口)的安全组,并将其附加到负载均衡器,可确保用户能通过HTTPS访问负载均衡器,同时由于实例没有直接暴露该安全组,用户无法直接访问实例。将安全组附加到实例会使实例直接暴露,移除互联网网关会导致整个VPC无法访问互联网,创建允许端口80流量的安全组不符合通过HTTPS访问的要求。
3.
UDP应用DDoS防护问题
你在一个EC2实例上运行一个基于UDP的应用程序,如何保护它免受DDoS攻击?
- A. 将实例置于网络负载均衡器之后
- B. 实施一个安全组以限制对实例的入站访问
- C. 将实例置于应用负载均衡器之后
- D. 启用AWS Shield Standard
答案:D。AWS Shield Standard可自动保护所有AWS客户免受常见的DDoS攻击,对于基于UDP的应用程序,启用它是一种有效的防护措施。网络负载均衡器和应用负载均衡器主要用于负载均衡,对DDoS攻击的防护能力有限;实施安全组限制入站访问可能会影响正常业务流量,且不能有效抵御大规模DDoS攻击。
4.
Web应用SQL注入防护问题
你在一个网络负载均衡器后面的六个EC2实例上运行一个Web应用程序,该Web应用程序使用MySQL数据库。如何保护应用程序免受SQL注入攻击(选择两个)?
- A. 启用WAF
- B. 为实例分配弹性IP地址
- C. 将实例置于应用负载均衡器后面
- D. 阻止TCP端口3306
答案:A和C。Web应用防火墙(WAF)可配置自定义规则来阻止可疑或不良流量,包括SQL注入攻击;将实例置于应用负载均衡器后面,负载均衡器可对流量进行一定的过滤和处理,也有助于防护SQL注入攻击。为实例分配弹性IP地址与防护SQL注入攻击无关;阻止TCP端口3306会导致无法访问MySQL数据库,影响应用程序正常运行。
5.
HTTP洪泛攻击防护问题
哪些服务可防护HTTP洪泛攻击?
- A. GuardDuty
- B. WAF
- C. Shield Standard
- D. Shield Advanced
答案:B、C和D。WAF可通过配置规则阻止HTTP洪泛攻击;Shield Standard为所有AWS客户提供基本的DDoS防护,包括对HTTP洪泛攻击的防护;Shield Advanced提供更高级的DDoS防护功能,也能防护HTTP洪泛攻击。GuardDuty主要用于分析日志查找攻击迹象,不能直接防护HTTP洪泛攻击。
通过以上对AWS安全和成本优化相关知识的介绍以及复习问题的解析,希望能帮助你更好地理解和应用这些概念,在实际使用AWS服务时确保安全并实现成本的有效控制。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
