PowerPoint Presentation - PDF Free Download

构建安全合规的企业全球部署架构如何利用 A W S 各类服务快速构建企业应用场景郑进佳, 解决方案架构师 2 0 1 8. 0 1. 1 0

日程企业的安全目标与实现构建全球化网络架构的要素全球化网络架构一览

企业的安全目标与实现

企业的安全目标与挑战缺乏 SecOps 弹性风险评估滞后防御深度职责隔离遵循最小权限原则补丁更新速度太慢被动安全响应缺乏业务灵活性新用户上线太慢很难实践 DevOps 行业创新者后来居上

4 种常见的安全挑战账号架构网络设计安全审计软件部署

内审或外审的挑战想知道用户的实时访问情况规范用户名持续一致的密码策略账号内角色的使用情况减少长期存储的访问秘钥需要精心设计的申请流程每个角色有合适的访问策略角色匹配工作职责

IAM 及核心组件用户组角色策略

AWS 联合身份认证用户安全合规之前 : 唯一凭证长期存在的秘钥一次性之后 : 单点登录短期的令牌一直合规

企业场景网段网段网段网段网段网段网段网段 LOB 1 非生产 LOB 1 生产 LOB 2 非生产 LOB 2 生产 LOB 1 Dev Ops Sec Biz LOB 2 数据中心 Dev Ops Sec Biz

多账号策略 : 根据业务成本中心划分 AWS 账号数据分析部门 1 数据库部门 7 SecOps 审计用户体验部 DevOps 部门新的研发部门 DevOps 部门 BU 架构临时的合同工

全局图 : 开发者开发, SecOps 监控服务整合用户体验部 API 管理部门监控 AuthN, AuthZ 数据保护 SecOps 部门数据保护 AuthN, AuthZ 监控指导性管控预防性管控侦测性管控

最佳实践 : 实现 AuthN 和 AuthZ AWS Shield Amazon API Gateway IAM Auth, Cert 或者自定义 Auth AWS 服务融合 AWS API Calls AWS 服务融合 Amazon EC2 AWS Lambda AWS CloudTrail Amazon S3 桶核心共享资源 Amazon DynamoDB AWS VPC Endpoints

我想让私有网段内的服务器访问公网的服务? 我希望知道所有进出 VPC 的网络流量情况?

VPC 安全工具安全组 & ACLs NAT 网关 VPC 流量日志 Virtual Private Cloud VPC 终端节点到 Amazon S3 和 Amazon DynamoDB 的私有安全的连接提供一个逻辑隔离的云客户可以将你的资源运行在这个隔离区域 Amazon S3 Amazon DynamoDB

深度集成的安全工具应用防火墙 AWS Shield 证书管理自动抵御 DDoS 攻击允许客户快速的免费申请证书, 管理证书, 部署证书

构建全球化网络架构的要素

AWS 网络相关服务 Amazon VPC* Amazon CloudFront Amazon Route 53 AWS Direct Connect Elastic Load Balancing* AWS Certificate Manager AWS Shield AWS WAF customer gateway elastic network adapter elastic network interface endpoints download distribution hosted zone Classic Load Balancer certificate manager filtering rule flow logs Internet gateway router VPC NAT gateway edge location route table Application Load Balancer VPC peering VPN connection VPN gateway network access control list streaming distribution Network Load Balancer

可扩展, 可用性, 高性能网络安全与合规方便使用, 丰富的功能通过网络驱动创新无缝衔接数据中心网络

我在欧洲, 美国, 亚太区以及中国大陆都有办公室和数据中心,AWS 能帮我构建一张全球统一的网吗?

Amazon 全球骨干网络

全球连接选项 Transit VPC VPN AWS Direct Connect WAN 专线网关 (DX Gateway) 跨区域对等连接跨区域 VPN + 支持 AWS 专线连接高性能无管理成本 + - 原生连接无管理成本 1-1 VPC 配置 + - Transit VPC 连接完全可控低性能管理相对复杂

跨区域对等连接连接 2 或多个在不同区域的 VPC 高可用, 无单点故障跨区域对等连接所有流量都在 AWS 骨干上所有流量使用 AEAD 风格加密

共享服务选项 Shared Services VPC Peering Shared Services Transit VPC VPN AWS Direct Connect VPN AWS Direct Connect WAN WAN 私有连接 VPC 对等连接 Transit VPC + 单向服务更细颗粒度访问扩展到超过 125 分支支持 IP 重合 + 双向服务更广的 VPC 访问不支持负载均衡 + - Transit VPC 一致性天生自动化低性能管理复杂

Direct Connect 连接点 67 Direct Connect 节点即将到来: Bangalore, London, Miami, Minneapolis, Rio de Janeiro, Tokyo, Cape Town and Johannesburg

DX 专线连接点 Direct Connect 网关 Direct Connect 网关提供从任意 DX 节点到所有区域的访问简单选择一个离你数据中心最近的 DX 接入节点 VPC

数据中心里, 我司已经达到万兆到端了,AWS 虚机的网络性能会是瓶颈吗?

虚机的网络性能 C4 C5 C1 1 Gbps CC1 10 Gbps C3 增强型网络 20x PPS <100 µs 延迟默认 EBS 优化 ENA 25 Gbps <50 µs 延迟

虚机带宽在置换群组内达到 25 Gbps 区域内 25 Gbps 25 Gbps 到 Amazon S3 5 Gbps 到其他资源

不小心误释放了 ICP 备案的 EIP, 有没有办法恢复? VPC 的地址段太小了, 能不能扩容现有 VPC 地址段?

丰富的网络功能特性调整 VPC 大小安全组规则描述默认 VPC EIP 恢复为每个安全组规则配置描述给现有 VPC 增加额外的 IP 地址段允许客户通过 API 创建默认 VPC 允许恢复客户误释放的固定公有 IP

全球化网络架构一览

The Internet IPv6 for VPC Instance A 10.1.1.11/24 IGW NAT Instance NAT B 10.1.2.22/24 Gateway 跨区域 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW VPN On-Premises Availability Zone A Availability Zone B VPN VPC CIDR 10.1.0.0/16, 10.2.0.0/16 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC

互联网 IPv6 for VPC Instance A 10.1.1.11/24 IGW NAT Instance NAT B 10.1.2.22/24 Gateway 跨区域 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet 专线 Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW On-Premises Availability Zone A Availability Zone B VPC CIDR 10.1.0.0/16, 10.2.0.0/16 Direct Connect 网关, 链路聚合, 新的 POP 点, 全球访问 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC

CloudWatch 指标对 VPN, DX, and NATGW The Internet IPv6 for VPC Instance A 10.1.1.11/24 IGW Amazon EC2 Elastic Load Balancing (ELB) Kinesis Streams Service Catalog EC2 Systems Manager PrivateLink 对 AWS 服务和服务提供商跨 VPC 对等连接 VPC 安全组规则描述 Public Subnet Public Subnet 专线 Instance C 10.1.3.33/24 Private Subnet Instance D 10.1.4.44/24 Private Subnet VGW On-Premises Availability Zone A Availability Zone B VPC CIDR 10.1.0.0/16, 10.2.0.0/16 Direct Connect 网关, 链路聚合, 新的 POP 点, 全球访问 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 扩展现有 VPC