本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
當您在 AWS 基礎設施上建置系統時,安全責任將由您與 AWS 共同承擔。此[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可減少您的操作負擔,因為 AWS 會操作、管理和控制元件,包括主機作業系統、虛擬化層,以及服務操作所在設施的實體安全性。如需 AWS 安全性的詳細資訊,請造訪 [AWS Cloud Security](https://aws.amazon.com/security/)。
## IAM 角色
使用 IAM 角色,您可以將精細存取、政策和許可指派給 AWS 雲端上的服務和使用者。此解決方案會建立具有最低權限的 IAM 角色,這些角色會將所需的許可授予解決方案的資源。
## 資料
存放在 Amazon S3 儲存貯體和 DynamoDB 資料表中的所有資料都會進行靜態加密。使用 Firehose 傳輸中的資料也會加密。
## 保護功能
Web 應用程式容易遭受各種攻擊。這些攻擊包括專門製作的請求,旨在利用漏洞或控制伺服器;旨在截斷網站的容積攻擊;或設計成抓取和竊取 Web 內容的惡意機器人和抓取器。
此解決方案使用 CloudFormation 來設定 AWS WAF 規則,包括 AWS 受管規則規則群組和自訂規則,以封鎖下列常見攻擊:
+ **AWS 受管規則** - 此受管服務可針對常見的應用程式漏洞或其他不需要的流量提供保護。此解決方案包括 [AWS 受管 IP 評價規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html)、[AWS 受管基準規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html)和 [AWS 受管使用案例特定規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html)。您可以選擇為 Web ACL 選取一或多個規則群組,最高可達 Web ACL 容量單位 (WCU) 配額上限。
+ **SQL Injection** - 攻擊者將惡意 SQL 程式碼插入 Web 請求,以從您的資料庫擷取資料。我們設計此解決方案來封鎖包含潛在惡意 SQL 程式碼的 Web 請求。
+ **XSS** - 攻擊者使用良性網站中的漏洞作為工具,將惡意用戶端網站指令碼注入合法使用者的 Web 瀏覽器。我們設計此項目來檢查傳入請求的常用元素,以識別和封鎖 XSS 攻擊。
+ **HTTP 洪水** - Web 伺服器和其他後端資源面臨 DDoS 攻擊的風險,例如 HTTP 洪水。當用戶端的 Web 請求超過可設定的配額時,此解決方案會自動叫用速率型規則。或者,您可以使用 Lambda 函數或 Athena 查詢處理 AWS WAF 日誌,以強制執行此配額。
+ **掃描器和探**查 - 透過傳送一系列產生 HTTP 4xx 錯誤碼的請求,惡意來源會掃描並探查面向網際網路的 Web 應用程式是否有漏洞。您可以使用此歷史記錄來協助識別和封鎖惡意來源 IP 地址。此解決方案會建立 Lambda 函數或 Athena 查詢,自動剖析 CloudFront 或 ALB 存取日誌、計算每分鐘來自唯一來源 IP 地址的錯誤請求數,以及更新 AWS WAF 以封鎖來自達到定義錯誤配額之地址的進一步掃描。
+ **已知攻擊者來源 (IP 評價清單)** - 許多組織會維護已知攻擊者操作的 IP 地址評價清單,例如垃圾郵件傳送者、惡意軟體發行者和殭屍網路。此解決方案會利用這些評價清單中的資訊,協助您封鎖來自惡意 IP 地址的請求。此外,此解決方案會根據 Amazon 內部威脅情報封鎖 IP 評價規則群組識別的攻擊者。
+ **機器人和抓取器** - 可公開存取 Web 應用程式的運算子需要信任存取其內容的用戶端可以準確識別自己的身分,並按預期使用 服務。不過,某些自動化用戶端,例如內容抓取器或惡意機器人,會錯誤地表示自己繞過限制。此解決方案可協助您識別和封鎖惡意機器人和抓取器。