构建安全合规的企业全球部署架构 如何利用 A W S 各类服务快速构建企业应用场景 郑进佳, 解决方案架构师 2 0 1 8. 0 1. 1 0
日程 企业的安全目标与实现 构建全球化网络架构的要素 全球化网络架构一览
企业的安全目标与实现
企业的安全目标与挑战 缺乏 SecOps 弹性 风险评估滞后 防御深度 职责隔离 遵循最小权限原则 补丁更新速度太慢 被动安全响应 缺乏业务灵活性 新用户上线太慢 很难实践 DevOps 行业创新者后来居上
4 种常见的安全挑战 账号架构网络设计安全审计软件部署
内审或外审的挑战 想知道用户的实时访问情况 规范用户名 持续一致的密码策略 账号内角色的使用情况 减少长期存储的访问秘钥 需要精心设计的申请流程 每个角色有合适的访问策略 角色匹配工作职责
IAM 及核心组件 用户组角色策略
AWS 联合身份认证 用户安全合规 之前 : 唯一凭证 长期存在的秘钥 一次性 之后 : 单点登录 短期的令牌 一直合规
企业场景 网段网段网段网段 网段网段网段网段 LOB 1 非生产 LOB 1 生产 LOB 2 非生产 LOB 2 生产 LOB 1 Dev Ops Sec Biz LOB 2 数据中心 Dev Ops Sec Biz
多账号策略 : 根据业务成本中心划分 AWS 账号 数据分析部门 1 数据库部门 7 SecOps 审计 用户体验部 DevOps 部门 新的研发部门 DevOps 部门 BU 架构 临时的合同工
全局图 : 开发者开发, SecOps 监控 服务整合 用户体验部 API 管理部门 监控 AuthN, AuthZ 数据保护 SecOps 部门 数据保护 AuthN, AuthZ 监控 指导性管控 预防性管控 侦测性管控
最佳实践 : 实现 AuthN 和 AuthZ AWS Shield Amazon API Gateway IAM Auth, Cert 或者自定义 Auth AWS 服务融合 AWS API Calls AWS 服务融合 Amazon EC2 AWS Lambda AWS CloudTrail Amazon S3 桶 核心共享资源 Amazon DynamoDB AWS VPC Endpoints
我想让私有网段内的服务器访问公网的服务? 我希望知道所有进出 VPC 的网络流量情况?
VPC 安全工具 安全组 & ACLs NAT 网关 VPC 流量日志 Virtual Private Cloud VPC 终端节点到 Amazon S3 和 Amazon DynamoDB 的私有安全的连接 提供一个逻辑隔离的云 客户可以将你的资源 运行在这个隔离区域 Amazon S3 Amazon DynamoDB
深度集成的安全工具 应用防火墙 AWS Shield 证书管理 自动抵御 DDoS 攻击 允许客户快速的免费申请证书, 管理证书, 部署证书
构建全球化网络架构的要素
AWS 网络相关服务 Amazon VPC* Amazon CloudFront Amazon Route 53 AWS Direct Connect Elastic Load Balancing* AWS Certificate Manager AWS Shield AWS WAF customer gateway elastic network adapter elastic network interface endpoints download distribution hosted zone Classic Load Balancer certificate manager filtering rule flow logs Internet gateway router VPC NAT gateway edge location route table Application Load Balancer VPC peering VPN connection VPN gateway network access control list streaming distribution Network Load Balancer
可扩展, 可用性, 高性能 网络安全与合规 方便使用, 丰富的功能 通过网络驱动创新 无缝衔接数据中心网络
我在欧洲, 美国, 亚太区以及中国大陆都有办公室和数据中心,AWS 能帮我构建一张全球统一的网吗?
Amazon 全球骨干网络
全球连接选项 Transit VPC VPN AWS Direct Connect WAN 专线网关 (DX Gateway) 跨区域对等连接 跨区域 VPN + 支持 AWS 专线连接 高性能 无管理成本 + - 原生连接 无管理成本 1-1 VPC 配置 + - Transit VPC 连接完全可控 低性能 管理相对复杂
跨区域对等连接 连接 2 或多个在不同区域的 VPC 高可用, 无单点故障 跨区域对等连接 所有流量都在 AWS 骨干上 所有流量使用 AEAD 风格加密
共享服务选项 Shared Services VPC Peering Shared Services Transit VPC VPN AWS Direct Connect VPN AWS Direct Connect WAN WAN 私有连接 VPC 对等连接 Transit VPC + 单向服务 更细颗粒度访问 扩展到超过 125 分支 支持 IP 重合 + 双向服务 更广的 VPC 访问 不支持负载均衡 + - Transit VPC 一致性 天生自动化 低性能 管理复杂
Direct Connect 连接点 67 Direct Connect 节点 即将到来: Bangalore, London, Miami, Minneapolis, Rio de Janeiro, Tokyo, Cape Town and Johannesburg
DX 专线连接点 Direct Connect 网关 Direct Connect 网关 提供从任意 DX 节点到所有区域的访问 简单选择一个离你数据中心最近的 DX 接入节点 VPC
数据中心里, 我司已经达到万兆到端了,AWS 虚机的网络性能会是瓶颈吗?
虚机的网络性能 C4 C5 C1 1 Gbps CC1 10 Gbps C3 增强型网络 20x PPS <100 µs 延迟 默认 EBS 优化 ENA 25 Gbps <50 µs 延迟
虚机带宽 在置换群组内达到 25 Gbps 区域内 25 Gbps 25 Gbps 到 Amazon S3 5 Gbps 到其他资源
不小心误释放了 ICP 备案的 EIP, 有没有办法恢复? VPC 的地址段太小了, 能不能扩容现有 VPC 地址段?
丰富的网络功能特性 调整 VPC 大小 安全组规则描述 默认 VPC EIP 恢复 为每个安全组规则配置描述 给现有 VPC 增加额外的 IP 地址段 允许客户通过 API 创建默认 VPC 允许恢复客户误释放的固定公有 IP
全球化网络架构一览
The Internet IPv6 for VPC Instance A 10.1.1.11/24 IGW NAT Instance NAT B 10.1.2.22/24 Gateway 跨区域 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW VPN On-Premises Availability Zone A Availability Zone B VPN VPC CIDR 10.1.0.0/16, 10.2.0.0/16 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC
互联网 IPv6 for VPC Instance A 10.1.1.11/24 IGW NAT Instance NAT B 10.1.2.22/24 Gateway 跨区域 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet 专线 Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW On-Premises Availability Zone A Availability Zone B VPC CIDR 10.1.0.0/16, 10.2.0.0/16 Direct Connect 网关, 链路聚合, 新的 POP 点, 全球访问 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC
CloudWatch 指标对 VPN, DX, and NATGW The Internet IPv6 for VPC Instance A 10.1.1.11/24 IGW Amazon EC2 Elastic Load Balancing (ELB) Kinesis Streams Service Catalog EC2 Systems Manager PrivateLink 对 AWS 服务和服务提供商 跨 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet 专线 Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW On-Premises Availability Zone A Availability Zone B VPC CIDR 10.1.0.0/16, 10.2.0.0/16 Direct Connect 网关, 链路聚合, 新的 POP 点, 全球访问 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC