VPC 的安全最佳实践 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

VPC 的安全最佳实践

以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。

  • 向 VPC 添加子网以托管应用程序时,请在多个可用区中创建子网。可用区是 Amazon 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。使用可用区可为生产级应用程序提供高可用性、容错能力和可扩展性。

  • 使用安全组来控制流向子网中的 EC2 实例的流量。有关更多信息,请参阅 安全组

  • 使用网络 ACL 在子网级别控制入站和出站流量。有关更多信息,请参阅 使用网络访问控制列表控制子网流量

  • 使用 Amazon Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 VPC 中 Amazon 资源的访问。有关更多信息,请参阅 适用于 Amazon VPC 的 Identity and Access Management

  • 使用 VPC 流日志监控传入和传出 VPC、子网或网络接口的 IP 流量。有关更多信息,请参阅 VPC 流日志

  • 使用网络访问分析器识别对我们 VPC 中资源的计划外网络访问。有关更多信息,请参阅 网络访问分析器用户指南

  • 使用 Amazon Network Firewall 通过筛选入站和出站流量来监控和保护您的 VPC。有关更多信息,请参阅 Amazon Network Firewall 指南

  • 使用 Amazon GuardDuty 检测您的账户、容器、工作负载以及 Amazon 环境中的数据面临的潜在威胁。基础威胁检测包括监控与 Amazon EC2 实例关联的 VPC 流日志。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 VPC 流日志

有关 VPC 安全性的常见问题的答案,请参阅 Amazon VPC 常见问题解答中的安全性和筛选