AWS SSA-C03 筆記系列 02 - Domain 1 建立安全的架構



在SSA-C03的版本,大幅度提升了安全方面的比重,佔比是30%左右,這個還蠻正常的,不過這邊不是指大外宣,說AWS是多安全的東西,比較著重在架構師能夠正確的使用工具建置一具安全架構。

這邊包含的安全,大致上是指權限控管、攻擊防護、備份三個面相,都會有相對應的工具。

這邊整理(翻譯)一下exam guide 中在這方面的說明。

課題1. 安全地存取AWS資源權限設計

  • 在多個帳號(account)中存取控制及管理
  • 在AWS中所使用的權限管理機制 (AWS Identity and Access Management - IAM, AWS Single Sign-ON [AWS SSO] )
  • AWS 中所建置的多重基礎架構 ( Availability Zones, AWS Regions)
  • 練習合適的權限控管 (沒必要的權限就不要放給不需要的人 -> Least Privilege)
  • AWS shared responsibility model. 

在初期規劃AWS環境的時後,最重要也是最基本的就是權限角色的劃分,在AWS的設計裡面有一些蠻有趣的設計,像是IAM users, Group, Roles, Polices等設計都是需要知道的項目,最主要,該權限設計的架構多為role-based access control strategy。


課題2. 設計安全的工作負載及應用

  • 安全的應用程序配置和憑證
  • AWS service endpoint
  • 控制 AWS 上的port、協定和網絡流量
  • 安全的應用程序存取
  • 安全服務(例如,Amazon Cognito、Amazon GuardDuty,Amazon Macie)
  • AWS 外部的威脅議題(例如,DDoS、SQL 注入)
基礎架構的第2個課題,就是如何架構出一安全的核心網路架構,像是VPC的設計,之後的ACL, Secure Group, route table...,雖然說這個應該是網路層級的設計,但放在這邊也沒什麼太大的牴觸,必竟要有安全的地基,房子才好建在上面,整個雲端平台也是建立在網路(network)上。

這邊也要知道一下,不同的子網(subnet)存取外部網路方式的不同,分成public及private的不同處理方式。

最後就是安全的防護,基本上市面上找得到的安全技術,AWS一樣不會少,像是 AWS Shield, AWS WAF AWS SSO, AWS Secrets Manager)

課題3. 驗證(確認)正確的資料安全管理

  • 資料存取和管理
  • 資料復原
  • 資料保存和分類
  • 加密和適當的密鑰管理
這邊會比較需要知道的是aws所使用的資料保全的技術,像是:
資料加密 -> AWS Key Management Service [AWS KMS] 。
傳輸的加密技術 -> AWS Certificate Manager [ACM] using TLS。

當然還有密鑰的管理等等…,也別忘了這邊加密的方式有其期限,所以更新(renew)的方式也得知道。

也少不了資料備份的方式及還原,另外還有資料的生態週期(life cycle)


留言

張貼留言

這個網誌中的熱門文章

[專案] 使用Google API 大量開帳號 (google API 、Python)

同樣是懶人癌發作,每年七~八月,對E-mail管理者最痛苦的莫過於開新進學生(新生)的帳號了,尤其若是校方政策是帳號資料庫(LDAP)需要和E-mail帳號獨立(也就是帳密都不能相同)的狀況下,管理員不太能採用Sync的方式同步認證E-mail帳號。 目前,在台灣大部份的大專院校都採用了G Suite 為校方主要的E-mail系統(其中原因就不討論了 XD),前高應大(現高科大)也不例外,於2017之前,每年在管理上遇到的問題,都是需要花上約1個月的時間,手動整理新生帳號清單 -> 於AD開帳號 -> 於G Suite開帳號 -> 將帳號加入特定群組,等非常繁瑣的工作。 在研究樹德電算中心前輩(我學生時期打工的地方)的開發程式,依照當時現有的需求,使用Python串接Google API 開發,將上述開帳號、加群組的工作,用一套完整的機制,讓程式運作達到大量建立新生帳號的目標。 此機制運作至今,已成功將帳號開設的時程縮短為3天搞定(約1k~2k帳號量),因應2018年2月三校合併,每年開設新生帳號量一次突破4k~6k,同樣可以於3年內搞定,唯一需要人工的地方,大致上就是需要整理新生帳號列表,再輸出成CSV檔餵給程式,之後程式會幫忙搞定一切繁瑣的工作。 (程式運作畫面待補..)
閱讀完整內容

Raspberry Pi + owncloud 個人雲端儲存空間

圖片
前言 你永遠不知道Raspberry pi這台單版電腦能做什麼,因為它能做的事情實在太多,實際上操作起來,才覺得這小東西的效能真的還不錯,此篇用於紀錄我使用Raspberry Pi 安裝owncloud 9.0.0,用於建置個人雲端儲存空間。 當然,若是想要比較省事又要更強大的功能,是可以考慮安裝NAS openmediavault  這個套件,一般NAS該有的功能都可以使用,更可以在擴充功能中安裝owncloud套件,openmediavault在官網有專為Raspberry Pi的iso檔可供安裝,非常方便,但要說什麼缺點,運作起來的效能算是差了一點,對於單版電腦來說,吃力了些。(不過不知到在pi3的表現如何就是了) 無論如何,為了效能,還有想保有原生系統的一些操作權,單純使用Raspberry pi + Raspbian Jessie + Owncloud 9,將儲存空間放置於外接硬碟中(如圖,在pi的下方放了一個2.5" 500G的隨身碟,架設自已使用的網路空間,方便在外部存取資料及分享大檔案資料。 準備元件 Raspberry Pi (建議 Ver. 2以上) 隨身碟  (USB 2 or 3 不限,但要注意供電是否足夠推得動硬碟,通常硬碟外接獨立電源、pi使用USB輸電、不然就是硬碟接到帶電的USB Switch) ----------------------------------------- OS:Raspbian Jessie 核心套件:mysql、php、nginx、php5fpm
閱讀完整內容

[專案] 不務正業的Python網路股市資訊爬蟲機器人 (Python、Slack)

圖片
錢歹賺、子小漢 身為7年級的魯蛇,直至出社會養了兩個小孩,才知道錢真的很難賺,即便有一筆存款了,確也不能老老實實放在銀行定存,原因無他,目前央行的定存利率根本悲劇,儲蓄險雖然好一點,但是錢在到期前都被卡死,無法靈活應用... 沒辦法,開始學著投資股票吧,投資股票是我出社會前從沒想過的事情,從小就被老媽教育(洗腦)成「股票跟賭博無異」,等到長大了,才知道那叫理財不叫賭,或者說不懂的才叫賭吧... 話說回來,小弟投資股票並非跟專業操盤手一樣,有個強大的心臟,每天殺進殺出,而是處於非常保守的心態在處理股票買賣,說穿了就是存股,在看了很多的資料(書),大致上整理出了,要評估一張股票是否值得買進,個人認為大致上需要考慮幾個數值(就先不講解為啥是這些數值的原因,之後有空再寫寫): 1) 近十年股利發放 2) 近十年EPS 3) 近十年 ROE、ROA 4) 目前本益比 以上資料,有的需要經過查找,有的需要換算過才會得到的數值,在找到適合的個股已經不容易了,還得去找資料去分析適不適合下手,身為上班族......,好啦,又是懶人症上身了,使用了Python中BeautifulSoup和Pandas 函式庫,開發網頁爬蟲,從Goodinfo!網站,將個股上述資訊爬下來整理並輸出pop至slcak。 在Slack中,設計成輸入「/stock + 股票代號」,機器人即可回應所爬回的資訊,此設計是可以讓聊天室的伙伴同時也能使用此功能找查他們想要的個股資料。 至於有沒有因此賺錢?         嗯............=3=
閱讀完整內容