AWS - Amazon / Technology · 2024年7月14日

AWS架构问题挑战 – 安全篇

问:一个运行在ALB后面的应用程序,如果需要启用其定制域名和传输中加密,怎么做?

答:域名要想到Route53,加密要想到SSL。因此这个做法是使用Route53对ALB创建一个Alias record,然后绑定SSL证书,SSL证书可以通过ACM获得。

问:公司如何保证S3中存放的用户数据没有PII(Personally Identifiable Information)?

答:通过Amazon Macie 来扫描S3 bucket。

问:由于Compliance的原因要求所有S3 buckets必须加密,如何保证?

答:用AWS Config来检查桶的状态,并且使用auto remediation来启用加密(如果没有启用的话)。

问:要求EC2实例必须每7天检查一次(benchmark)

答:需要安装AWS Inspector agent并且配置host assessment every 7 days。

问:如何保证在ALB后/EC2上的应用程序免收Web Exploits的攻击?

答:使用WAF。

问:如果block指定地区对应用的访问?

答:使用WAF(geographic match)。