AWS 中的安全:了解 AWS 安全服务以及它们如何像四年级小学生一样保护您的云
Source: Dev.to
想象一下,AWS 就像一个巨大的数字城市。恶意行为者可能会尝试:
- 未经许可进入房屋
- 窃取机密信息
- 打碎窗户
- 制造交通拥堵
AWS 提供了安保人员、锁具、摄像头、警报以及规则,来保障这座城市的安全。让我们一个个认识它们——像讲故事一样。
IAM – 身份证检查员
IAM 就像学校的大门守卫。在任何人进入之前,它会说 “出示你的身份证!” 并决定:
- 谁可以进入 AWS
- 他们可以访问哪些房间(资源)
- 他们可以执行哪些操作
如果有人偷了密码但启用了 MFA,IAM 会阻止他们,因为他们没有手机或一次性密码。
防止
- 未经授权的访问
- 账户被接管
安全组 – 门锁
安全组是每间教室门上的锁。它们决定:
- 谁可以进入
- 谁可以离开
只有被允许的访客才能进入。如果黑客使用随机 IP 扫描你的服务器,安全组会立即阻止它们。
防止
- 端口扫描
- 未经授权的网络访问
NACLs – 学校的围墙
NACL 是环绕学校的巨大边界墙。它们:
- 在子网层面允许或拒绝流量
- 充当额外的防御层
如果可疑流量来自不良国家/IP 段,NACL 会在流量到达服务器之前将其拦截。
防止
- 大规模不需要的流量
- 网络滥用
AWS WAF – 网络保镖
WAF 是网站的保镖。它可以阻止:
- 不良 URL
- 危险输入
- 一次性过多请求
-- Example of a SQL Injection attempt
' OR 1=1 --WAF 会立即阻止此类攻击。
防止
- SQL 注入
- 跨站脚本 (XSS)
AWS Shield – 防洪保护者
Shield 保护免受互联网洪水(DDoS 攻击)。想象一下成千上万的人同时想进入学校——Shield 管理人群。如果攻击者发送数百万请求来使你的网站崩溃,Shield 会吸收这些流量。
防止
- DDoS 攻击
- 网站宕机
AWS KMS – 锁的制造者
KMS 为您的数据创建强大的锁。即使有人窃取了数据,没有密钥也毫无用处。
防止
- 数据盗窃
- 合规违规
Secrets Manager – 秘密日记
Secrets Manager 存储:
- 密码
- API 密钥
- 数据库凭证
安全且保密。不要在代码中硬编码密码(黑客可能会读取),Secrets Manager 会将其隐藏。
防止
- 凭证泄露
- 在 GitHub 上意外泄露
GuardDuty – 智能守望者
GuardDuty 从不休息。它监控:
- 登录行为
- API 调用
- 网络流量
并大声提醒 “有可疑行为!” 如果有人在午夜从其他国家登录,GuardDuty 会向您发出警报。
防止
- 可疑活动
- 加密挖矿攻击
Inspector – 健康检查器
Inspector 像医生一样检查您的服务器。它会查找:
- 过期的软件
- 已知的安全问题(CVE)
如果您的服务器存在未修补的漏洞,Inspector 会在黑客利用之前提醒您。
防止
- 利用
- 已知漏洞
CloudTrail – CCTV摄像头
CloudTrail 记录:
- 谁做了什么
- 他们何时做的
- 从哪里做的
如果有人删除资源,CloudTrail 会准确告诉你是谁删除的。
帮助于
- 调查
- 合规审计
Security Hub – 控制中心
Security Hub 是中央控制室。它从以下服务收集警报:
- GuardDuty
- Inspector
- IAM
- Config
并将所有内容显示在一个地方。安全团队无需检查十个工具,只需在单一仪表板上看到所有信息。
AWS 安全如何协同工作(儿童版)
AWS 并不只依赖单一的守卫,而是采用 Defense in Depth(纵深防御)策略:
- 守卫 → IAM
- 锁 → Security Groups
- 墙 → NACLs
- 摄像头 → CloudTrail
- 警报 → GuardDuty
- 医生 → Inspector
它们共同阻止黑客,保护数据,并确保应用程序安全。