VPC 的安全最佳实践
以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
-
向 VPC 添加子网以托管应用程序时,请在多个可用区中创建子网。可用区是 Amazon 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。使用可用区可为生产级应用程序提供高可用性、容错能力和可扩展性。有关更多信息,请参阅 Amazon 上 的 Amazon VPC
。 -
使用安全组来控制流向子网中的 EC2 实例的流量。有关更多信息,请参阅安全组。
-
使用网络 ACL 在子网级别控制入站和出站流量。有关更多信息,请参阅使用网络 ACL 控制指向子网的流量。
-
使用 Amazon Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 VPC 中 Amazon 资源的访问。有关更多信息,请参阅适用于 Amazon VPC 的 Identity and Access Management。
-
使用 VPC 流日志监控传入和传出 VPC、子网或网络接口的 IP 流量。有关更多信息,请参阅VPC 流日志。
-
使用网络访问分析器识别对我们 VPC 中资源的计划外网络访问。有关更多信息,请参阅 网络访问分析器用户指南。
-
使用 Amazon Network Firewall 通过筛选入站和出站流量来监控和保护您的 VPC。有关更多信息,请参阅 Amazon Network Firewall 指南。
有关 VPC 安全性的常见问题的答案,请参阅 Amazon VPC 常见问题解答