内容领域 4： 网络安全、合规性和监管

基于应用程序架构的不同威胁模型

常见的安全威胁

保护不同应用程序流的机制

满足安全性和合规性要求的 AWS 网络架构

保护流入 AWS 的入站流量（例如 AWS WAF、AWS Shield、Network Firewall）

保护来自 AWS 的出站流量（例如，Network Firewall、代理、网关负载均衡器）

保护账户内或跨多个账户的 VPC 间流量安全（例如，安全组、网络 ACL、VPC 端点策略）

实施 AWS 网络架构以满足安全性和合规性要求（例如，不受信任的网络、外围 VPC、三层架构）

为给定的网络架构开发威胁模型并确定适当的缓解策略

测试是否符合初始要求（例如，故障转移测试、韧性）

使用 AWS 自动报告安全事件和警报

AWS 中可用的网络监控和日志记录服务（例如 CloudWatch、AWS CloudTrail、VPC Traffic Mirroring、VPC 流日志、Transit Gateway Network Manager）

警报机制（例如 CloudWatch 警报）

不同 AWS 服务中的日志创建（例如，VPC 流日志、负载均衡器访问日志、CloudFront 访问日志）

日志传输机制（例如 Amazon Kinesis、Route 53、CloudWatch）

审计网络安全配置的机制（例如，安全组、AWS Firewall Manager、AWS Trusted Advisor）

创建和分析 VPC 流日志（包括流日志的基本字段和扩展字段）

创建和分析网络流量镜像（例如，使用 VPC Traffic Mirroring）

使用 CloudWatch 实施自动警报

使用 CloudWatch 实施自定义指标

跨单个或多个 AWS 日志源关联和分析信息

实施日志传送解决方案

跨单个或多个 AWS 网络服务和账户实施网络审计策略（例如，Firewall Manager、安全组、网络 ACL）

AWS 上可用的网络加密选项

通过 Direct Connect 建立 VPN 连接

传输中数据的加密方法（例如 IPsec）

AWS 责任共担模式下的网络加密

适用于 DNS 通信的安全方法（例如 DNSSEC）

实施网络加密方法以满足应用程序合规性要求（例如 IPsec、TLS）

实施加密解决方案来保护传输中的数据（例如，CloudFront、应用程序负载均衡器和网络负载均衡器、Direct Connect 上的 VPN、AWS 托管式数据库、Amazon S3、Amazon EC2 上的自定义解决方案、Transit Gateway）

使用证书颁发机构实施证书管理解决方案（例如，ACM、AWS Private Certificate Authority [ACM PCA]）

实施安全的 DNS 通信