15、AWS 应用安全与监控全解析

AWS 应用安全与监控全解析

在当今数字化时代，确保应用程序的安全以及对其进行有效监控是企业信息技术环境中至关重要的环节。在 AWS（Amazon Web Services）的生态系统中，我们可以通过一系列工具和服务来实现这两个关键目标。

1. AWS 应用安全保障

在 AWS 上构建应用程序时，安全是首要考虑的因素。我们可以通过多种方式来保障应用的安全。

1.1 Web 应用防火墙（WAF）

WAF 是保护 AWS 中 Web 应用程序的重要工具。它就像一个智能的门卫，能够阻止各种恶意流量进入我们的应用。通过详细了解 WAF 的工作原理，我们可以充分利用其优势，为应用程序提供可靠的安全防护。WAF 的生命周期包括规则配置、部署和更新等阶段，我们可以根据实际需求对其进行自动化配置，从而提高安全防护的效率。

1.2 API 请求签名

为了确保数据在传输过程中的安全性，我们需要对 AWS API 请求进行签名。这不仅可以保护数据不被篡改，还能确保 API 中存储的信息的安全性。通过遵循特定的签名流程，我们可以有效地防止数据泄露和恶意攻击。

1.3 安全服务：Amazon Cognito 和 Amazon API Gateway

• Amazon Cognito ：主要用于用户管理。它可以帮助开发者轻松实现用户注册、登录、身份验证等功能，为 Web 和移动应用提供安全可靠的用户管理解决方案。
• Amazon API Gateway ：用于管理和保护 API。它可以对 API 请求进行路由、监控和安全控制，确保只有授权的用户和应用能够访问 API。

2. AWS 监控概述

监控是 IT 环境中不可或缺的一部分。它可以帮助我们实时了解资源的运行状态，及时发现并解决潜在的问题。在 AWS 中，监控的重要性更加凸显，因为云环境的动态性和弹性使得资源的状态随时可能发生变化。

2.1 监控的定义和作用

监控是指收集、跟踪和分析与资源健康和性能相关的指标，以确保所有资源都能在可接受的水平上提供服务。通过设置合理的阈值，我们可以在服务出现故障或性能下降时及时采取主动措施，避免损失的扩大。监控是一种预防性的安全措施，可以帮助我们提前发现并解决潜在的安全威胁，如 DDoS 攻击和数据泄露等。

2.2 AWS 监控服务的优势

AWS 提供了专门的托管服务、功能和解决方案，以满足各种类型工作负载的自动化和手动监控需求。与传统的监控解决方案相比，AWS 的监控服务充分考虑了云环境的动态特性，并且大部分监控功能都包含在基本计划中，无需额外付费。

3. AWS CloudWatch 详解

AWS CloudWatch 是 AWS 提供的一款全面的监控服务，它可以帮助我们实时监控 AWS 中的所有资源、服务和应用程序。

3.1 服务特点

• 实时监控 ：CloudWatch 可以实时收集和跟踪资源的指标数据，包括应用程序的性能、利用率和健康状况等。
• 日志管理 ：除了监控指标，CloudWatch 还可以收集和存储日志文件，方便我们进行故障排查和分析。
• 跨区域监控 ：作为全球服务，CloudWatch 可以监控跨所有 AWS 区域的资源和服务，通过单个仪表板即可监控多个区域的 EC2 实例。
• 免费基本监控 ：提供免费的基本监控服务，数据以 5 分钟为间隔提供；也可以选择付费的详细监控服务，数据以 1 分钟为间隔提供。
• 高分辨率自定义指标 ：支持发布和保留自定义指标，数据可以以 1 分钟或 1 秒的间隔发布。
• 数据存储 ：CloudWatch 可以存储 15 个月的指标数据，即使资源已终止或删除，我们仍然可以查看其历史指标数据。
• 可视化展示 ：通过各种图表和仪表板，我们可以直观地查看指标和统计数据，并且这些仪表板可以与其他具有适当权限的用户共享。

3.2 架构

下面是 AWS CloudWatch 的架构图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(AWS 资源 & 自定义资源):::process --> B(Metrics 监控):::process
    B --> C(存储 15 个月):::process
    C --> D(AWS 服务 & 自定义统计解决方案):::process
    C --> E{阈值判断}:::process
    E -->|超过阈值| F(Alarm 状态):::process
    F -->|触发| G(AWS 简单通知服务):::process
    F -->|触发| H(EC2 自动扩展):::process

从左到右，我们可以看到 AWS 资源和自定义资源与 CloudWatch 集成，其指标被持续监控并存储 15 个月。这些指标可以被 AWS 服务和自定义统计解决方案使用，当指标超过阈值时，会触发警报，进而可以通过 AWS 简单通知服务发送通知或触发 EC2 实例的自动扩展操作。

3.3 功能和优势

• 监控 EC2 实例 ：无需安装额外软件，即可通过 CloudWatch 的原生指标监控 EC2 实例的性能和健康状况，如 CPU 利用率、网络和存储等。我们还可以创建自定义指标，如内存利用率，并通过仪表板进行监控。
• 监控其他 AWS 资源 ：可以免费监控其他 AWS 服务，如 S3、RDS、DynamoDB 等，还可以监控 AWS 账单和预估费用。此外，还能监控 ELB、自动扩展组和 EBS 卷等。
• 日志监控和存储 ：可以使用 CloudWatch 近乎实时地存储和处理 AWS 资源、服务或应用程序的日志文件。我们可以发送自定义日志文件进行分析和故障排查，并在日志文件中搜索特定的短语、模式或值。
• 设置警报 ：当监控的指标超过阈值时，我们可以设置警报。例如，当 EC2 实例的 CPU 利用率超过 90% 持续 15 分钟以上时，触发警报。我们还可以为预估账单费用设置警报。
• 创建仪表板 ：可以在 AWS 控制台中创建自定义的仪表板，以图形的形式展示指标信息。这些仪表板可以自动刷新，并可以与其他用户共享。一个仪表板可以包含来自多个区域的资源信息，我们可以创建多达 500 个仪表板。
• 自动化响应资源变化 ：通过 CloudWatch 的 Events 选项，我们可以检测 AWS 资源的变化事件，并自动响应这些事件。我们可以使用 cron 或 rate 表达式来自动化事件响应，还可以将 AWS 事件与 AWS Lambda 函数或 AWS 简单通知服务（SNS）主题集成，实现完全自动化的解决方案。

3.4 CloudWatch 组件

CloudWatch 包含多个重要组件，它们协同工作，为我们提供全面的监控和自动化解决方案。

3.4.1 指标（Metrics）

指标是我们定期收集的用于评估资源健康状况的数据。在 CloudWatch 中，指标是一个被监控的变量，其数据点是一段时间内的值。AWS 服务会自动向 CloudWatch 发送指标数据，我们也可以为自己的资源和应用程序发送自定义指标。

指标具有以下特点：
- 区域性 ：指标仅在创建它们的区域可用。
- 存储期限 ：不同周期的数据点有不同的存储期限，例如，周期小于 60 秒的数据点可保存 3 小时，60 秒的数据点可保存 15 天，300 秒的数据点可保存 63 天，3600 秒（1 小时）的数据点可保存 455 天（15 个月）。
- 统计信息 ：CloudWatch 可以根据指标数据提供各种统计信息，如最小值、最大值、总和、平均值、样本计数和百分位数等。每个统计信息都有相应的计量单位，如字节、秒、百分比等。

在创建自定义指标时，我们需要定义一个单位，如果未定义，CloudWatch 将使用“none”作为默认单位。当指定指标的统计信息时，我们可以定义开始时间、结束时间和持续时间，以便进行监控。

以下是 CloudWatch 中可用的统计信息列表：
| 统计信息 | 描述 |
| ---- | ---- |
| Minimum | 指标的最小值 |
| Maximum | 指标的最大值 |
| Sum | 指标值的总和 |
| Average | 指标的平均值 |
| SampleCount | 样本数量 |
| pNN.NN | 指定的百分位数值 |

3.4.2 仪表板（Dashboards）

仪表板是 AWS 控制台中的网页，我们可以使用指标信息以图形的形式对其进行自定义。当仪表板打开时，它们会自动刷新，并且可以与具有适当权限的其他用户共享。仪表板提供了一个集中的位置，让我们可以全面查看所有资源的指标和警报信息，无论这些资源位于哪个 AWS 区域。

我们可以通过以下步骤将多个 AWS 区域的指标添加到单个仪表板中：
1. 通过 AWS 管理控制台导航到 CloudWatch 控制台。
2. 在导航窗格中点击“Metrics”。
3. 在导航栏中选择所需的区域。
4. 选择该区域的指标。
5. 在“Actions”下点击“Add to Dashboard”将指标添加到仪表板。
6. 可以选择将指标添加到现有仪表板或创建新的仪表板。
7. 重复上述步骤，添加更多来自不同区域的指标。
8. 点击“Save Dashboard”保存仪表板。

我们还可以通过以下步骤在 AWS 管理控制台中创建仪表板：
1. 通过 AWS 管理控制台导航到 CloudWatch 控制台。
2. 在选择“Dashboards”后，在导航窗格中点击“Create Dashboard”。
3. 输入仪表板的名称，然后点击“Create Dashboard”。
4. 可以选择添加以下四种类型的小部件之一：Line（折线图）、Stacked area（堆叠区域图）、Number（数字）或 Text（文本）。
5. 按照类似的过程添加多个小部件。
6. 添加完所有所需信息后，点击“Save Dashboard”。

我们可以配置 CloudWatch 仪表板的刷新间隔，范围从 10 秒到 15 分钟。我们还可以配置所有仪表板的自动刷新选项，并选择预定义的时间范围或自定义时间范围。

3.4.3 事件（Events）

AWS CloudWatch Events 提供了一个持续的数据流，用于记录所有 AWS 资源状态的变化。这些系统事件与指标和日志相辅相成，为我们提供了 AWS 资源和应用程序整体健康状况和状态的全面视图。

当 AWS 资源或应用程序的状态发生变化时，它们会自动向 CloudWatch Events 流发送事件。我们可以编写规则与这些事件关联，并将事件发送到目标进行处理，或者直接对这些事件采取行动。我们还可以编写规则，按照预配置的时间表执行操作，例如，在预定义的时间对 Elastic Block Store 卷进行快照。

AWS 服务（如 AWS EC2、自动扩展和 CloudTrail）会发出可见的事件，我们也可以使用 PutEvents API 为自己的应用程序生成自定义事件。目标是处理事件的系统，它们可以是 EC2 实例、Lambda 函数、Kinesis 流或内置目标。目标以 JSON 格式接收事件。

一个规则可以匹配 CloudWatch 流中的事件，并将这些事件路由到目标进行进一步处理。一个规则最多可以路由到 5 个目标，这些目标可以并行处理。规则不是按顺序处理的，这使得组织中的各个部门都可以搜索和处理他们感兴趣的事件。我们在每个 AWS 区域最多可以创建 100 个规则，这是一个软限制，如果需要，可以联系 AWS 支持进行增加。

3.4.4 警报（Alarms）

警报用于监控单个指标。我们可以为任何监控的 AWS 资源创建警报，例如 EC2 实例、S3 存储桶、RDS 数据库等，也可以为自定义指标创建警报。当指标超过阈值一次或多次时，警报会采取一个或多个行动，这些行动可以是 EC2 操作、自动扩展或向 SNS 主题发送通知。

警报有三种状态：
- OK ：指标在定义的阈值范围内。
- ALARM ：指标超过了阈值。
- INSUFFICIENT_DATA ：指标不可用或没有足够的指标数据来评估警报状态。

我们在每个 AWS 区域最多可以创建 5000 个警报。创建警报有两个步骤：
1. 选择指标 ：例如，为独立的 EC2 实例创建警报时，我们可以选择 CPUUtilization 指标，统计信息选择“Average”，周期选择 5 分钟。
2. 定义警报 ：设置警报的阈值和触发条件等。

通过合理使用这些组件，我们可以构建一个强大的监控和自动化系统，确保 AWS 资源和应用程序的稳定运行。

在 AWS 的生态系统中，通过运用 WAF、API 请求签名、Amazon Cognito 和 Amazon API Gateway 等工具和服务，我们可以有效地保障应用程序的安全。同时，借助 AWS CloudWatch 提供的全面监控功能，我们可以实时了解资源的运行状态，及时发现并解决潜在的问题。这些工具和服务相互配合，为我们在 AWS 上构建和运行安全、稳定的应用程序提供了有力的支持。

AWS 应用安全与监控全解析（下半部分）

4. AWS 服务器监控

在 AWS 中，通过 AWS EC2 服务提供的服务器是重要的资源，对其进行监控至关重要。同时，AWS 云环境还有一些独特的监控指标。

4.1 监控 AWS 服务器（EC2）

通过 AWS EC2 服务提供的服务器，我们可以利用多种工具对其进行自动和手动监控。
- AWS CloudWatch 监控 ：可以使用 CloudWatch 监控 EC2 实例的基本性能指标，如 CPU 利用率、网络流量等。无需安装额外软件，就能获取这些关键信息。
- AWS 管理包 ：深入了解 AWS 管理包，可以对运行在 EC2 实例上的应用程序进行监控。它提供了更详细的应用程序监控能力，帮助我们更好地了解应用的运行状态。

以下是一些监控 EC2 实例的最佳实践：
1. 设置合理的指标阈值 ：根据业务需求和服务器性能，为 CPU 利用率、内存使用率等关键指标设置合理的阈值。当指标超过阈值时，及时触发警报。
2. 定期检查日志 ：通过 CloudWatch 收集和存储的日志，定期检查以发现潜在的问题和异常。例如，查看应用程序日志中的错误信息，及时进行处理。
3. 自动化响应 ：利用 CloudWatch 的警报功能和自动化工具，当服务器出现问题时，自动执行相应的操作，如自动扩展、重启实例等。

4.2 独特的 AWS 云监控指标

AWS 云环境有一些独特的监控指标，对这些指标的监控有助于我们全面了解资源的使用情况和成本。
- 计费监控 ：监控 AWS 服务的使用费用，了解每个服务的费用支出情况，避免出现意外的高额费用。可以设置计费警报，当费用接近或超过预算时，及时收到通知。
- 简单存储服务（S3）监控 ：监控 S3 存储桶的使用情况，如存储容量、对象数量、读写操作次数等。这有助于我们优化存储成本和性能。
- 自动扩展监控 ：监控自动扩展组的活动，确保在业务需求变化时，服务器资源能够自动调整。例如，监控自动扩展组的实例数量、伸缩策略的执行情况等。

5. 自动化安全响应示例

通过整合多个 AWS 服务，我们可以实现自动化的安全响应。以下是一个利用 AWS CloudWatch 等服务实现自动化安全响应的示例：
1. 设置 CloudWatch 警报 ：为关键指标设置警报，如 EC2 实例的 CPU 利用率超过 80% 持续 10 分钟。
2. 配置 SNS 通知 ：当警报触发时，通过 AWS 简单通知服务（SNS）发送通知。通知可以发送到邮件、短信或其他支持的端点。
3. 触发 Lambda 函数 ：SNS 通知可以触发 AWS Lambda 函数。Lambda 函数可以执行一系列预定义的操作，如自动扩展 EC2 实例、重启服务等。
4. 自动扩展操作 ：如果警报是由于服务器负载过高触发的，Lambda 函数可以调用自动扩展组的 API，增加 EC2 实例的数量，以应对高负载。

以下是这个自动化安全响应流程的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(CloudWatch 指标监控):::process --> B{指标超过阈值?}:::process
    B -->|是| C(触发警报):::process
    C --> D(SNS 发送通知):::process
    D --> E(触发 Lambda 函数):::process
    E --> F{执行操作?}:::process
    F -->|是| G(自动扩展 EC2 实例):::process
    F -->|否| H(其他操作):::process
    B -->|否| I(继续监控):::process

6. 总结

在 AWS 环境中，保障应用程序的安全和对资源进行有效监控是相辅相成的。通过使用 Web 应用防火墙（WAF）、API 请求签名、Amazon Cognito 和 Amazon API Gateway 等工具，我们可以为应用程序构建多层次的安全防护体系。

同时，AWS CloudWatch 作为一款强大的监控服务，为我们提供了全面的监控功能。它可以实时监控资源的性能、健康状况和日志信息，通过设置警报和自动化响应，我们能够及时发现并解决潜在的问题，确保应用程序的稳定运行。

对于 AWS 服务器（EC2）的监控，我们可以利用 CloudWatch 以及其他工具，结合最佳实践，对服务器进行全方位的监控。此外，关注 AWS 云环境的独特监控指标，如计费、S3 使用情况和自动扩展等，有助于我们优化资源使用和控制成本。

通过整合多个 AWS 服务，实现自动化的安全响应，我们可以在面对安全威胁和性能问题时，快速做出反应，减少损失。总之，合理运用这些安全和监控工具，能够帮助我们在 AWS 上构建安全、稳定、高效的应用程序。