1. Cloud Security

1.1 网络安全基本组成

安全组

• 附加到ENI(弹性网络接口）-VPC内部的EC2、RDS、Lambda等
• 有状态的（任何进入的通信都允许返回，任何传出的通信也都允许返回）
• 可使用安全组ID以及CIDR引I用规则
• 支持VPC对等连接侧的安全组的引用
• 默认：入站被拒绝，所有的出站全部被允许

网络ACL(NACL)

• 附加到子网上
• 无状态的（入站规则和出站规则应用于所有通信）
• 只能通过CIDR块范围引用主机防
• 默认：允许所有入站，允许所有的出站
• 新NACL：拒绝所有入站，拒绝所有的出站

主机防火墙

⭐ 网络 ACL (NACL) 位于子网级别

1.2 网络攻击类型

DDos

• 服务会接收到大量的并发请求，使服务不可用
• SYNFlood（4层）：发送大量的TCP连接请求时
• UDP反射：通过访问其他服务器然后发送非常大的UDP请求
• DNS洪水攻击：淹没DNS服务使用户访问不了网站
• Slowloris攻击：使服务器同时打开并维持许多的HTTP连接，从而来压垮服务器

应用程序级别攻击

• 攻击更具体，更复杂（7层）
• 缓存突发策略：通过请求无效缓存使后端的数据库过载

1.3 AWS的DDoS防护

• AWS Shield Standard：保护您的网站应用程序免受DDoS攻击，为所有客户提供免费服务
• AWS Shield Advanced：提供24/7的高级DDoS防护
• AWS WAF：根据规则过滤特定请求
• CloudFront和Route53：
  • 用全球边缘网络给予可用性保护
  • 与Shield结合使用，直接在网络边缘节点提供缓解DDoS攻击
• 弹性扩展：利用AWSAutoScaling
• 将静态资源（S3/CloudFront）与动态请求（EC2/ALB)分离

https://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.pdf

防护的架构示例