- 1、本文档共35页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
AWS容器及无服务器化的安全考量
Agenda
AWS容器及无服务器化的最新进展
AWS云原生的安全架构
AWS容器及无服务器化的安全考量
Amazon EC2
Containers
AWS Lambda
On-Premises
Low
High
Higher
Highest
基础设施的演进
什么是无服务器计算Serverless?
构建和运行应用程序的时候不用考虑底层的服务器资源分配和管理
资源预配置和使用率
可靠性和容错
扩展性
运维和管理
AWS无服务器计算家族
AWS Fargate
AWS容器生态系统
Amazon ECS—Task & Service
EC2 instances
LOAD
BALANCER
Internet
ecs
agent
TASK
Container
TASK
Container
ecs
agent
TASK
Container
TASK
Container
Agent Communication Service
Amazon ECS
API
CLUSTER MANAGEMENT ENGINE
KEY/VALUE STORE
ecs
agent
TASK
Container
TASK
Container
LOAD
BALANCER
ECS Service
Notifications
Amazon ECS CLUSTER
Availability Zone #1
Availability Zone #2
Availability Zone #3
Subnet 2
/24
Subnet 1
/24
Subnet 3
/24
AWS ECS 适用场景
Amazon EKS
和开源 Kubernetes
一致体验
Upstream
保持和上游同步
支持企业生产级别的容器应用
按需和 AWS 服务无缝集成
自动升级打补丁
AWS托管的高可用性方案3个可用区,3个主节点
Kubectl
New Master
Kubernetes网络
每个pod都有一个IP地址
容器看到的IP与其他人看到的IP相同
Kubernetes通过插件的模式来实现网络解决方案(CNI)
主流的开源网络插件
amazon-vpc-cni-k8s插件原理
安全
IAM
VPC
PrivateLink
Kubernetes网络策略强制执行网络安全规则
Calico是网络策略API的领导者
开源,活动的开发者(> 100个贡献者)
Tigera提供商业支持
amazon-vpc-cni-k8s插件不支持NetworkPolicy。 EKS使用Calico实现NetworkPolicy虽然Calico本身就是CNI,但我们只会使用它的NetworkPolicy功能
安全策略
Calico网络安全策略
Kubectl使用IAM进行身份验证
Kubectl
3) Authorizes AWS Identity with RBAC
K8s API
1) Passes AWS Identity
2) Verifies AWS Identity
4) K8s action allowed/denied
AWS Auth
Agenda
AWS容器及无服务器化的最新进展
AWS云原生的安全架构
AWS容器及无服务器化的安全考量
分担安全责任模型
共同努力:AWS和您
减少安全事务
我们定义了十个主题以构建云中安全维度,每个主题均有对应的最佳实践及适用的用户场景。企业通过反复迭代,最终在保证业务需求及灵活性的同时,提升整体安全成熟度。
账号及权限管理
系统架构安全
数据分级及保护
安全运维,监控及日志管理
事件响应及自动化
安全持续集成与交付
合规性验证
自适应能力
配置及脆弱性分析
大数据安全
五大核心
五大延展
AWS云采用框架——安全维度
AWS Identity & Access Management (IAM)
AWS MFA (Multi-Factor Authentication)
AWS Organizations
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS CloudTrail
AWS Config
AmazonCloudWatch + Logs
Amazon GuardDuty
VPC Flow Logs
Amazon EC2Systems Manager
AWS Shield
AWS Web Application Firewall (WAF)
Amazon Inspector
Amazon Virtual Private Cloud (VPC) + NACL
EC2 Security Group
AWS Key Manageme
您可能关注的文档
- 襄阳运用车间1季度乘务员素质达标考试的通知专项测试题附答案.doc
- 襄阳运用车间1季度乘务员素质达标考试的通知专项测试题有答案.doc
- 襄阳运用车间1季度乘务员素质达标考试的通知练习卷含答案.doc
- (新版)程序设计员职业技能鉴定考试题库资料(浓缩500题).pdf
- (必练)湖南省育婴员职业技能竞赛考试题库资料(含答案).pdf
- (必练)山东省育婴员职业技能竞赛考试题库资料(含答案).pdf
- 2024年三级车工职业鉴定校考试题库资料-上(单选题汇总).pdf
- 2024年三级车工职业鉴定校考试题库资料-下(判断题汇总).pdf
- 2024年计算机操作员(五级)职业鉴定考试题库资料-上(单选题汇总).pdf
- 2024年计算机操作员(五级)职业鉴定考试题库资料-下(多选、判断题汇总).pdf
- 2024年西式面点师(三级)职业鉴定考试题库资料及答案.pdf
- 少儿舞蹈培训管理制度.docx
- 管理沟通三个基本原则.docx
- 行政管理培训内容.docx
- 正月十五动物谜语及答案.docx
- 广东省建筑工企业安全生产管理人员安全生产考试第四批练习试题附答案.doc
- 2024(部编版)六年级上册道德与法治期末测试卷含完整答案【名校卷】.pdf
- 2024(部编版)六年级上册道德与法治期末测试卷精品(黄金题型)1922.pdf
- 2023年自考专业(计算机信息管理)《数据库及其应用》考试历年真题摘选附 精品2802.pdf
- 2023年自考专业(社区护理)《社区护理技术》考试历年真题摘选附带答案精品.pdf
文档评论(0)