5.1.3 DNSSEC
下图是一个“Man-in-the-MiddleAttack(中间人攻击)”,以及通过SSL加密后防止的原理:
除了使用SSL外,还有一种可以放在这种中间人攻击,那就是DNSSEC,但是AWS Route53不支持DNSSEC,除非你使用第三方的DNS。
5.2 基本特性
- 管理和颁发Certificate的AWS服务
- 可以与多个组件集成(ELB、CloudFormation、API gateway等)
- 公有证书:必须使用符合 DNS 的主题名称
- 私有证书:CA 可能位于您的账户中,也可能由其他账户与您共享
- 证书更新可以托给ACM管理
- 只是一个单区域的,不能跨区域
6 AWS CloudHSM
AWS CloudHSM将AWS云的优势与硬件安全模块 (HSM) 的安全性相结合。硬件安全模块 (HSM) 是一种计算设备,可处理加密操作并提供加密密钥的安全存储。借助AWS CloudHSM,您可以完全控制 AWS 云中的高可用性 HSM,这些密码具有低延迟访问权限,并拥有可自动执行 HSM 管理(包括备份、配置、配置和维护)的安全信任根。简单来说就是一个硬件版本的KMS。主要记住以下几点特性和与KMS的比较即可
6.1 基本特性
- 是一个基于硬件的加密工具
- 支持对称和非对称加密
- 密钥需要自己管理,不能托管AWS
- 可以部署多可用区集群
- 必须使用CloudHSM Client Software
- 不是免费的(注意:考试中出现过S3存储加密,有SSE-S3和CloudHSM的选择,CloudHSM是收费的,并非开销最小的选择)
6.2 与KMS比较
7 AWS Inspector
Amazon Inspector 是一项漏洞管理服务,持续扫描您的AWS工作负载中是否存在软件漏洞和意外网络暴露。Amazon Inspector 会自动发现和扫描正在运行的 Amazon EC2 实例、亚马逊Elastic Container Registry (Amazon ECR) 中的容器映像,以及针对已知软件漏洞和意外网络泄露的AWS Lambda函数。这里只需要记住以下几点:
- 它只用于EC2、ECR和Lambda的漏洞扫描即可
- 漏洞规则是AWS管理的
- 最后生成报告
8 Amazon GuardDuty
Amazon GuardDuty 是一项安全监控服务,用于分析和处理AWS CloudTrail管理事件基础数据源、AWS CloudTrail事件日志、VPC 流日志(来自 Amazon EC2 实例)和 DNS 日志。它还处理 Kubernetes 审计日志、RDS 登录活动、S3 日志、EBS 卷、运行时监控和 Lambda 网络活动日志等功能。简单理解就是一个安全监测工具,将通过一些日志作为输入,然后通过机器学习等算法分析出存在异常的内容,再通过CloudWatch发出警告。
9 AWS Systems Manager(SSM)
AWS Systems Manager 是您 AWS 应用程序和资源的操作中心,也是混合和多云环境的安全端到端管理解决方案,可以实现大规模的安全操作。简单理解就是一个可以对你的EC2、本地数据中心的服务器的操作系统做管理的平台。
9.1 特性
- 管理你的EC2或者本地数据中心的服务器
- 发现你基础设施存在的安全问题
- 可以更新你服务器的补丁(注意:考试中遇到patching,基本上就是与SSM相关)
A Solutions Architect must establish a patching plan for a large mixed fleet of Windows and Linux servers.The patching plan must be implemented securely, be audit ready, and comply with the company’s business requirements. Which option will meet these requirements with MINIMAL effort?
A. Install and use an OS-native patching service to manage the update frequency and release approval for all instances.Use AWS Config to verify the OS state on each instance and report on any patch compliance issues
B. Use AWS Systems Manager on all instances to manage patching. Test patches outside of production and then deployduring a maintenance window with the appropriate approval.
C. Use AWS OpsWorks for Chef Automate to run a set of scripts that will iterate through all instances of a given typessue the appropriate OS command to get and install updates on each instance, including any required restarts during themaintenance window.
D. Migrate all applications to AWS Ops Works and use Ops Works automatic patching support to keep the OS up-to-datefollowing the initial installation. Use AWS Config to provide audit and compliance reporting.
答案:B
答案解析:这道题关键词:Windows and Linux servers,patching plan,MINIMAL effort。主要考察AWS Config、Systems Manager、OpsWorks的使用场景。AWS Config主要是配置管理,OpsWorks也有更新补丁功能,是Puppet 或 Chef迁移到AWS云上使用,但是AWS如果不强调Puppet 或 Chef迁移,补丁修复建议都是使用Systems Manager(https://docs.aws.amazon.com/zh_cn/opsworks/latest/userguide/workingsecurity-updates.html)。而Systems Manager其中一个重要功能就是更新服务器补丁。因此选B。
例题:A company needs to implement a patching process for its servers. The on-premises servers and Amazon EC2 instances use a variety of tools to perform patching.
Management requires a single report showing the patch status of
版权归原作者 Java有多久学会 所有, 如有侵权,请联系我们删除。