本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
当您在 AWS 基础设施上构建系统时,AWS 和您如何共同分担安全责任。此[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)能够减轻您的运营负担,因为 AWS 负责运行、管理和控制各种组件,包括主机操作系统、虚拟化层和服务运行所在设施的物理安全性。有关 AWS 安全性的更多信息,请访问 [AWS 云安全性](https://aws.amazon.com/security/)。
## IAM 角色
借助 IAM 角色,您可以向 AWS 云上的服务和用户分配精细的访问权限、策略和权限。此解决方案创建权限最低的 IAM 角色,这些角色为解决方案的资源授予所需的权限。
## 数据
存储在 Amazon S3 存储桶和 DynamoDB 表中的所有数据都处于静态加密状态。通过 Firehose 传输的数据也会经过加密。
## 保护能力
Web 应用程序容易受到各种攻击。这些攻击包括旨在利用漏洞或控制服务器的特制请求;旨在关闭网站的容量攻击;或者编程为抓取和窃取网页内容的不良机器人和抓取工具。
此解决方案 CloudFormation 用于配置 AWS WAF 规则,包括 AWS 托管规则组和自定义规则,以阻止以下常见攻击:
+ **AWS 托管规则**-此托管服务提供针对常见应用程序漏洞或其他有害流量的保护。该解决方案包括 [AWS 托管 IP 信誉规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html)、[AWS 托管基准规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html)和 [AWS 托管用例特定规则](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html)组。您可以选择为 Web ACL 选择一个或多个规则组,最高不超过 Web ACL 容量单位 (WCU) 的最大配额。
+ **SQL 注**入-攻击者在 Web 请求中插入恶意 SQL 代码,以从您的数据库中提取数据。我们设计此解决方案是为了阻止包含潜在恶意 SQL 代码的 Web 请求。
+ **XSS**-攻击者利用良性网站中的漏洞作为工具,将恶意客户端脚本注入合法用户的网络浏览器。我们设计它来检查传入请求中常见探索的元素,以识别和阻止 XSS 攻击。
+ **HTTP 洪水**-Web 服务器和其他后端资源面临遭受 DDo S 攻击的风险,例如 HTTP 洪水。当来自客户端的 Web 请求超过可配置配额时,此解决方案会自动调用基于速率的规则。或者,您可以通过使用 Lambda 函数或 Athena 查询处理 AWS WAF 日志来强制执行此配额。
+ **扫描仪和探测**器-恶意来源通过发送一系列生成 HTTP 4xx 错误代码的请求来扫描和探测面向互联网的 Web 应用程序是否存在漏洞。您可以使用此历史记录来帮助识别和阻止恶意来源 IP 地址。此解决方案创建 Lambda 函数或 Athena 查询,用于自动解析 CloudFront 或 ALB 访问日志,计算每分钟来自唯一源 IP 地址的不良请求数量,并更新 AWS WAF 以阻止对达到定义的错误配额的地址进行进一步扫描。
+ **已知的攻击者来源(IP 信誉列表)**-许多组织都维护着由已知攻击者(例如垃圾邮件发送者、恶意软件分发者和僵尸网络)运营的 IP 地址的信誉列表。此解决方案利用这些信誉列表中的信息来帮助您阻止来自恶意 IP 地址的请求。此外,该解决方案还会根据 Amazon 内部威胁情报阻止由 IP 信誉规则组识别的攻击者。
+ **机器人和抓取器**-可公开访问的 Web 应用程序的运营商需要相信访问其内容的客户可以准确识别自己的身份,并且他们按预期使用服务。但是,一些自动化客户端,例如内容抓取工具或恶意机器人,为了绕过限制,会歪曲自己的陈述。此解决方案可帮助您识别和阻止恶意机器人和抓取程序。