Amazon Compute Optimizer
Flexer基于750名企业高管经验发布了最新的分析报告。报告指出,大多数公司每年在云上花费超过100万美元,平均30%的云支出被浪费掉。
在《云成本管理指南》一文有提到:“要降低云成本,必须首先必须能够通过发现云资源的低效使用来识别浪费。云成本管理不是一个一劳永逸的过程,但如果解决了浪费的大部分云支出和预算超支的核心问题,就可以立即节省云基础设施成本“”
针对客户的对减少资源浪费的诉求,亚马逊AWS上线了一款神器,使用机器学习来分析亚马逊云账户计算资源的浪费情况,推荐最佳的AWS资源,在降低成本的同时提高工作负载性能。不但分析准确、依据可靠,更重要的是,
这款神器不但简单易上手,而且免费。
Compute Optimizer
AWS Compute Optimizer 可帮助您使用机器学习来分析历史利用率指标,从而确定最佳的 AWS 资源配置,例如 Amazon EC2 实例类型、Amazon EBS 卷配置和 AWS Lambda 函数内存大小。AWS Compute Optimizer 提供了一组 API 和控制台体验,可通过为您的 AWS 工作负载推荐最佳的 AWS 资源来帮助您降低成本并提高工作负载性能。
工作原理
Compute Optimizer 分析您 Amazon Web Services 计算资源的当前配置及其过去 14 天内来自 Amazon CloudWatch 的利用率指标。
Compute Optimizer 识别最佳和非最佳资源,然后为您的资源提供建议,以降低资源成本、提高性能或两者的组合。
对于特定资源类型,Compute Optimizer 还提供当前资源与推荐的资源或配置之间的利用率指标的比较。此数据可视化显示了在使用推荐的资源或配置的情况下,这些资源或配置在回顾期内的执行情况。
优势
成本降低高达25%
利用 Compute Optimizer 中的建议,将资源成本降低多达 25%。例如,如果 Amazon EC2 实例仅使用了其 10% 的 CPU 容量,则 Compute Optimizer 可能会将其识别为过度预置。它可能建议您将其替换为更经济高效的实例类型,以继续满足工作负载的性能要求。
优化性能
Compute Optimizer 提供的一些建议旨在提高资源的性能。例如,如果 EBS 卷持续达到其最大 IOPS,Compute Optimizer 可能会将 EBS 卷识别为未优化。它可能会推荐一种可提供更高 IOPS 或吞吐量的卷类型,以更好地满足工作负载的性能要求。
建议可行性高
Compute Optimizer 列出了资源的当前价格以及所生成建议的价格。控制台还会显示最近 14 天资源的指标利用率图表。对于选择的资源类型,它还显示推荐资源或配置的预计利用率数据、预测您的工作负载在建议的 AWS 资源选项上的 CPU 利用率、内存利用率和运行时。这可以帮助您在实施建议之前了解工作负载在推荐选项上的表现情况。
入门容易
只需单击几下,您就可以选择让 Compute Optimizer 分析资源并生成建议。选择加入后,Compute Optimizer 将分析支持的资源,并根据新的利用率数据每天刷新建议。
免费
无需额外付费。EC2 实例类型、EC2 Auto Scaling 组配置、Amazon EBS 卷配置和 AWS Lambda 函数建议均免费提供。只需要用户为自己使用的资源付费即可。
实践
登录控制台,开始使用
选择加入,完成
选择加入后,Compute Optimizer 使用机器学习来分析与其所提建议的特定服务有关的相关 CloudWatch 指标和资源配置数据(例如资源标识符和元数据标签)。
例如,为了生成 Lambda 建议,Compute Optimizer 会分析您的 Lambda 配置和相关的 CloudWatch 指标。随着 Compute Optimizer 随着时间的推移增加新功能,我们将扩展所收集的指标和数据的类型。
为了提高 Compute Optimizer 的建议质量,Amazon Web Services 可能会使用您的 CloudWatch 指标和配置数据来改善建议模型和算法。
如需进一步协助或服务,请联系我们,泰岳云业务会提供自动化工具及专业服务。
陈汉卿
云业务事业部
神州泰岳软件股份有限公司·AWS战略合作伙伴
AWS Solution Provider | Migration | DevOps | Cloud Management Tools(CMT) ISV Partner
使用AWS GA提升互联网流量性能
如果您提供游戏、媒体、移动或金融等应用程序,则需要一致的、低延迟的用户体验。AWS Global Accelerator通过提高客户机和运行在AWS上的应用程序之间的internet流量的性能,帮助您实现更低的延迟。它使用AWS全球网络将TCP或UDP通信定向到离客户机最近的AWS区域中的健康应用程序端点:通过Anycast方式将客户端的流量路由到最近的AWS边缘位置,然后通过AWS全球网络将其路由到最近的区域端点。
GA的原理和特性
Global Accelerator为每个加速器提供两个静态IP地址。这些IP地址是任意发送的,并通过AWS边缘位置在全球进行广播。使用您配置的加速器,Global Accelerator将TCP或UDP流量路由到应用程序端点(如Amazon EC2实例、应用程序负载均衡器、网络负载均衡器或弹性IP地址),并改善用户流量的延迟、抖动、包丢失和吞吐量性能。可以使用速度比较工具https://speedtest.globalaccelerator.aws/从您自己的位置测试使用GA的性能优势。
衡量绩效的一个流行方法是通过生产量——即在一段时间内可以传输多少数据。无论您是为API调用、文件上传还是IP语音调用提供服务,吞吐量的大小都会影响用户的体验。如今,Global Accelerator引入了一项改进,通过在边缘终止TCP,自动提供额外的吞吐量改进。通常,TCP连接是通过internet上的客户机和AWS区域中的应用程序端点之间的三路握手(即三条消息)建立的。因此,客户端离端点越远,初始连接设置花费的时间就越长。由于TCP在边缘终止,Global Accelerator通过在客户机和距离客户机最近的AWS边缘位置之间建立TCP连接,减少了初始设置时间。几乎同时,在AWS区域的边缘位置和应用程序端点之间建立第二个TCP连接。由于这个过程,客户端从全局加速器边缘位置获得更快的响应,并且从边缘位置到该区域的应用程序端点的上游连接被优化为在AWS全球网络上运行。作为该特性的一部分实现的优化包括:
- 巨型帧的支持。通过在AWS区域的AWS边缘位置和应用端点之间启用巨型帧,Global Accelerator能够在每个数据包中多发送和接收6倍的数据(有效负载)。巨型帧支持减少了客户端和应用程序之间传输数据所需的总时间。
- 大型接收端窗口和TCP缓冲区。通过调优AWS edge基础设施上的接收端窗口和TCP缓冲区设置,Global Accelerator能够在更短的时间内接收和缓冲来自应用程序的大量数据。这为您的客户端提供了更快的下载速度,现在直接从AWS边缘获取数据的时间缩短了。
- 大的拥塞窗口。通过在AWS全球网络上传输数据,global Accelerator可以扩展TCP拥塞窗口,以发送比通常通过公共internet可能发送的更多的数据。
性能测试与结论
为了评估这个特性对性能的影响,我们测量了从世界各地的客户端到运行在AWS US East (N. Virginia)地区Amazon EC2上的端点的吞吐量。我们比较了通过TCP终止的Global Accelerator传输数据时的吞吐量和通过公共internet传输数据时的吞吐量。使用Global Accelerator的结果是吞吐量性能提高了60%。在所有情况下,使用Global Accelerator获得的吞吐量性能收益取决于许多因素,包括传输的数据量以及最后一英里网络中的连接的质量、容量和距离。
下面的图表显示了澳大利亚(图1)和美国(图2)的互联网客户端从AWS US East (N. Virginia)地区下载100KB的对象所花费的时间。图中比较了通过Global Accelerator(蓝色线)下载对象和通过公共internet从EC2直接下载对象(绿色线)的情况——包括启用TCP在边缘终止之前和之后。通过第三方工具进行的实际用户测量显示,对于通过带有TCP终止的Global Accelerator从AWS美国东部(北弗吉尼亚)地区下载对象的澳大利亚客户来说,实际用户测量结果提高了60%左右。美国的客户改善了40%以上。
我们注意到,在使用数字体验监控平台千人来衡量性能时,也出现了类似的结果。下面的图表(图3)显示,当一个100 KB的测试文件通过Global Accelerator从AWS EU(爱尔兰)地区下载时,非洲、美洲、亚洲和欧洲的40个客户端通过TCP终端通过Global Accelerator从AWS EU(爱尔兰)地区下载时,平均下载吞吐量提高了2.5倍以上。
GA的使用场景
为单一区域应用程序提升延迟和可用性
通过提升本地和全球流量的网络路由,AWS Global Accelerator 帮助缩小单一区域部署和多个区域部署之间的差距。如果导向您应用程序的单一区域的本地和全球流量留在了公共互联网,则可能会受到互联网拥塞和本地中断的负面影响。使用 Global Accelerator,您的用户流量会离开互联网,通过 80+ 全球边缘站点进入 Amazon 的私有全球网络,再导向您的应用程序源。AWS Global Accelerator 可以快速设置,并将流量性能提升高达 60%。
多区域应用程序的简化和弹性流量路由
随着您的应用程序架构发展,复杂性也随之增大,有面向客户的更长 IP 列表以及更细微的流量路由逻辑。AWS Global Accelerator 通过为您提供两个来自全球分布式边缘站点的静态任播 IP 地址来解决这一问题,为您的应用程序提供单个切入点,无论其部署了多少个 AWS 区域。这样,您可以增加或删除源、可用区域或区域,而无需降低应用程序可用性。对您的流量路由进行手动管理,或在控制台用终端节点流量调拨和权重进行管理。如果您的应用程序终端节点存在故障或可用性问题,AWS Global Accelerator 将在几秒钟内自动把您的新连接重新导向运行正常的终端节点。
用于在线游戏的增强型玩家服务器联网
发展和维持您的在线多玩家游戏社区需要顺畅和具有竞争力的游戏体验。使用 AWS Global Accelerator 沿私有 AWS 网络路由玩家流量,可以提升您的玩家在线体验,降低游戏内延迟、抖动和数据包丢失。支持常用引擎流量加速,如 Unity 和 Unreal。AWS 边缘站点将玩家流量传入并路由至 15+ AWS Global Accelerator 支持区域中任何游戏服务器,提供更快的加载时间和更稳定的游戏内体验。无需打断高可用性 AWS 网络的服务,即可处理您的大型流量高峰,如游戏启动和游戏内活动。
在 AWS 上运行服务通信和 IP 语音
AWS Global Accelerator 通过减少呼叫设置时间的方式来提升您的实时通信 (RTC),同时增加呼叫成功比率和质量。在电信行业,您为应用程序提供延迟敏感的 RTC,包括 IP 语音以及跨多种设备的视频会议。为了支持该功能,使用 Global Accelerator 可允许您运行应用程序协议,如会话启动、沿 AWS 网络的实时和 WebRTC。直接连接至您的流量暂存控制器,以减少网络依赖关系和跳转的数量。这可以在互联网高峰时段和呼叫流量高峰时段稳定您的 RTC 发起人流量。
GA定价
使用 AWS Global Accelerator,您需要为预置的每台加速器以及流经加速器的主方向流量付费。
在账户中运行加速器时,每小时(不足 1 小时按 1 小时算)收取 0.025 USD,直到加速器被删除。
除了对在 AWS 区域中运行的应用程序终端节点收取正常的 EC2 数据传出费用之外,还会收取数据传输附加费。
数据传输附加费如下:
参考文献:
https://aws.amazon.com/cn/global-accelerator
如需进一步协助或服务,请留言,泰岳云服务会提供自动化工具及专业服务。
AWS云中的WEB应用防火墙
大型的Web应用易受多种攻击,造成宕机、效率降低、数据失窃、违规罚款、品牌受损、服务中断、客户不满等。企业通常利用Web应用防火墙来保护Web应用程序。AWS WAF 是一种 Web 应用程序防火墙,让您能够监控转发到 Amazon API Gateway、Amazon CloudFront 或 应用程序负载均衡器 的 HTTP 和 HTTPS 请求,支持识别并阻拦常见的web攻击,比如SQL注入、XSS跨站、HTTP协议异常、HTTP协议畸形、命令注入、非法扫描等。
工作原理
AWS WAF可以让您可以在几分钟内设置并开始保护您的应用程序。您只需创建一个或多个Web访问控制列表(Web ACL),每个列表包含规则(定义可接受或不可接受请求/IP地址的条件集)和满足规则时要采取的操作。然后将Web ACL附加到应用程序的Amazon CloudFront分发。
从这一刻开始,通过分发到达的传入HTTP和HTTPS请求将根据相关Web ACL中的每个规则进行检查,规则的条件可以为正(允许某些请求或IP地址)或负(阻止某些请求或IP地址)。
优势和功能
针对 Web 攻击灵活提供保护
AWS WAF 规则的传播和更新只需不足一分钟时间,因此您可以在问题出现时在您的环境中快速进行安全更新。WAF 支持数百条规则,这些规则可以检查 Web 请求的任意部分,同时尽可能降低延迟对传入流量的影响。AWS WAF 可以根据您创建的规则筛选流量,从而保护 Web 应用程序免遭攻击。例如,您可以筛选 Web 请求的任意部分,例如 IP 地址、HTTP 标头、HTTP 正文或 URI 字符串。这样一来,您可以防范常见攻击模式,例如 SQL 注入或跨站点脚本。
易于部署和维护
无论是作为 CDN 解决方案的一部分部署在 Amazon CloudFront 上,还是部署在位于所有来源服务器之前的 Application Load Balancer、适用于您的 REST API 的 Amazon API Gateway 或者是适用于您的 GraphQL API 的 AWS AppSync 上,AWS WAF 都能轻松部署和保护应用程序。无需部署其他软件、无需配置 DNS、无需管理 SSL/TLS 证书,也无需进行反向代理设置。使用 AWS Firewall Manager 集成,您可以集中定义并管理规则,并在您需要保护的所有 Web 应用程序中反复使用这些规则。
使用托管规则节省时间
使用AWS WAF 托管规则,您可以快速入门并保护您的 Web应用程序或 API 免遭常见的威胁。有多种规则类型供您选择,例如解决诸如开放式 Web 应用程序安全项目 (OWASP) 十大安全风险、内容管理系统 (CMS) 特有的威胁或新出现的常见漏洞和泄露 (CVE) 等问题的规则。托管规则会随新问题的出现而自动更新,这样您就有更多的时间来构建应用程序。
经济高效的 Web 应用程序防护
使用 AWS WAF,您只需按使用量付费。AWS WAF 属于可自定义的自助服务,基于您部署的规则数量和您的 Web 应用程序收到的 Web 请求数量进行定价。既没有最低费用,也无需预先承诺。
提高 Web 流量可见性
AWS WAF 让您能够近乎实时地查看 Web 流量,借此在 Amazon CloudWatch 中创建新的规则或警报。您可以精确控制指标的发出方式,因此可以从规则级别到完整入站流量进行监控。此外,AWS WAF 还会捕获每个接受检查的 Web 请求的完整标头数据,用于自动提供安全保护、分析或审计用途,从而提供全面的日志记录。
集成于应用程序开发流程中的安全性
AWS WAF 中的所有功能都可以通过 AWS WAF API 或 AWS 管理控制台进行配置。因此,您的开发运营团队可以在应用程序开发流程中定义特定于应用程序的规则,从而增强 Web 安全性。而且,您可以将 Web 安全问题放到开发流程链中的多个环节:从最初撰写代码的开发人员,到部署软件的开发运营工程师,再到跨组织实施安全规则组的安全管理员等。
如何收费
您需要为创建的每个 Web ACL 和针对每个 Web ACL 创建的每个规则付费。此外,您还需要为 Web ACL 处理的 Web 请求数付费。
Web ACL 每月 5.00 USD(按小时收取)
规则 每月 1.00 USD(按小时收取)
请求 每 100 万个请求 0.60 USD
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
陈汉卿
云业务事业部 | 高级系统架构师
神州泰岳软件股份有限公司·AWS战略合作伙伴
AWS Solution Provider | Migration | DevOps | Cloud Management Tools(CMT) ISV Partner
轻松完成AWS云中数据备份
AWS Backup 是一种完全托管的备份服务,可以轻松集中和自动管理 AWS 服务中数据的备份。使用 AWS Backup,您可以集中配置备份策略并监控 Amazon EBS 卷、Amazon EC2 实例、Amazon RDS 数据库、Amazon DynamoDB 表、Amazon EFS 文件系统和 AWS Storage Gateway 卷等 AWS 资源的备份活动。AWS Backup 可以自动执行并整合以前按服务执行的备份任务,不需要您创建自定义脚本和手动流程。只需在 AWS Backup 控制台中单击几下,您就可以创建各种备份策略,从而自动执行备份计划和保留管理工作。AWS Backup 可以提供完全托管并且基于策略的备份解决方案,简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
优势
集中管理备份
从中央备份控制台配置备份策略,简化备份管理,并轻松确保各种 AWS 服务中的应用程序数据得到备份和保护。通过 AWS Backup 的中央控制台、API 或者命令行界面针对 AWS 服务进行备份、还原和设置保留策略。
自动执行备份流程
利用 AWS Backup 完全托管并且基于策略的解决方案节省时间和资金。AWS Backup 支持自动备份计划、保留管理和生命周期管理,不需要使用自定义脚本和手动流程。利用 AWS Backup,您只要标记 AWS 资源就可以将备份策略应用于AWS 资源,从而轻松地对所有 AWS 资源实施备份策略,并确保所有应用程序数据都得到正确备份。
提高备份合规性
在中央控制台执行备份策略、加密备份以及审核备份活动,满足备份合规性要求。备份策略可以轻松与内部要求或监管要求保持一致。AWS Backup 可以加密动态数据和静态数据,保证备份的安全性。不同 AWS 服务采用统一的备份活动日志,可以简化合规审核工作。AWS Backup 符合 PCI、ISO 和 HIPAA 的规定。
使用场景
原生云备份
AWS Backup 提供中央控制台,可以自动执行和管理不同 AWS 服务的备份工作。AWS Backup 与 Amazon EBS、Amazon RDS、Amazon DynamoDB、Amazon EFS、Amazon EC2 和 AWS Storage Gateway 集成,让您可以备份存储卷、数据库和文件系统等重要数据存储。
混合备份
AWS Backup 与 AWS Storage Gateway 集成,而 AWS Storage Gateway 是一种混合存储服务,让您的本地应用程序能够无缝地使用 AWS 云存储。您可以使用 AWS Backup 来备份存储在AWS Storage Gateway 卷内的本地应用程序数据。AWS Storage Gateway 卷的备份安全地存储在 AWS 云中并且与 Amazon EBS 兼容,可以将卷还原到 AWS 云或本地环境中。这种集成让您能够将同样的备份策略应用到 AWS 云资源和存储在 AWS Storage Gateway 卷内的本地数据中。
计费
使用 AWS Backup,您只需为实际使用的备份存储量以及当月恢复的备份数据量付费即可。没有最低消费和设置费用。
每月计费的存储量是按照全月内使用的平均存储空间来计算的。您的存储使用情况按“GB 月”来衡量,月底合计该值,得出您的月度费用。
每月计费的还原量是按照当月还原的数据量来计算的。一个月内还原的数据以 GB 为单位,表示当月执行的所有还原的数据总和。
示例 1:
假设您的 Amazon EFS 备份存储在美国东部(弗吉尼亚北部)地区。您在 4 月份的 15 天内使用 400GB 的 Amazon EFS 备份存储空间,在另外 15 天内使用 800GB。那么在 4 月底,您的备份存储使用量按照 GB 小时为单位计算如下:
总使用量(GB 小时)= [400GB x 15 天 x(24 小时/天)] + [800GB x 15 天 x(24 小时/天)] = 432000GB 小时
我们将 GB 小时加起来并换算成 GB 月,以计算月度费用:
月度总存储费用 = 600GB 月 x 0.05 USD = 30.00 USD
另外,让我们假设您已还原了 10 个备份,每个为 1GB。那么在 4 月底,您的备份还原使用量按照 GB 为单位计算如下:
总使用量 10 次还原 x 1GB = 10GB
月度还原总费用 = 10GB x 0.02 USD = 0.20 USD
将备份存储费用和备份还原费用相加获得 AWS Backup 月度总账单:
AWS Backup 月度总账单 = 30 USD + 0.20 USD = 30.20 USD
*这适用于除按需 DynamoDB 表备份之外的所有备份存储,按需 DynamoDB 表备份将创建 Amazon DynamoDB 表数据和设置的完整备份。
实践参考
动手实践可参考AWS官方博客:AWS 备份 – 自动化和集中管理您的备份
https://aws.amazon.com/cn/blogs/china/aws-backup-automate-and-centrally-manage-your-backups/
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
陈汉卿
云业务事业部 | 高级系统架构师
神州泰岳软件股份有限公司·AWS战略合作伙伴
AWS Solution Provider | Migration | DevOps | Cloud Management Tools(CMT) ISV Partner
AWS云中安全合规中心
AWS Security Hub 是一项安全与合规性服务,于2019年6月25日正式推出通用版本。Security Hub在各个区域的统一仪表板中为用户提供涵盖多个AWS账户的安全性与合规性状态的直观支持。通过此项服务,您可以监控各关键设置,保证AWS账户始终安全可靠,同时确保能够时刻关注环境中出现的各类变化、并有针对性地做出快速反应。
工作原理
优势和功能
全面查看安全问题
AWS Security Hub 会收集和整合您环境中启用的 AWS 安全服务的检测结果,例如来自 Amazon GuardDuty 的入侵检测结果、来自 Amazon Inspector 的漏洞扫描和来自 Amazon Macie 的 S3 存储桶策略检测结果。AWS Security Hub 还会整合来自集成的 AWS 合作伙伴网络 (APN) 安全解决方案的检测结果。所有检测结果都将在 AWS Security Hub 存储至少 90 天。
自动化、持续的安全性检查
使用行业标准和最佳实践,进行自动化、持续的账户和资源级配置与安全性检查。例如,AWS Security Hub 会自动执行互联网安全中心(CIS) AWS Foundations 基准,后者是一组 AWS 的安全配置最佳实践。如果您的任何账户或资源偏离最佳实践,AWS Security Hub 会标记问题并建议补救措施。
自定义响应和补救措施
将 AWS Security Hub 与 Amazon CloudWatch Events 集成后,您将能创建自定义响应和补救工作流程。您可以轻松地将检测结果发送到 SIEM、聊天工具、开单系统、安全业务流程自动化和响应工具及呼叫待命管理平台。您也可以使用 AWS System Manager 自动化文档、AWS Step Functions 和 AWS Lambda 函数构建可从 Security Hub 启动的自动补救工作流程。
多账户支持
在 AWS Security Hub 控制台中单击几次,您即可连接多个 AWS 账户并整合这些账户的检测结果。通过指定主安全账户,您可以让您的安全团队查看所有账户的整合检测结果,不过各账户拥有者仅可查看与其账户相关的检测结果。
使用场景
安全扫描
使用各种安全性标准连续扫描您的 AWS 账户,检查是否存在配置错误,并在账户和多账户级别汇总安全性检查结果,以了解您的整体安全性状态。
分类安全问题并确定优先级
使用 AWS Security Hub 的摘要控制面板以及筛选条件规则来识别 AWS 安全服务和合作伙伴安全集成中的检测结果并确定其优先级,确定哪些最重要,以及哪些需要最直接的关注。
如何收费
安全性检查 定价
每账户每区域每月前 100000 次检查 每次检查 0.0010 USD
每账户每区域每月接下来的 400000 次检查 每次检查 0.0008 USD
每账户每区域每月 500000 次以后的检查 每次检查 0.0005 USD
检查结果提取事件
与 Security Hub 安全性检查关联的检查结果提取事件 免费
每账户每区域每月前 10000 个事件 免费
每账户每区域每月 10000 个以后的事件 每个事件 0.00003 USD
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
AWS云中的WEB应用防火墙
大型的Web应用易受多种攻击,造成宕机时间、效率降低、数据失窃、违规罚款、品牌受损、服务中断、客户不满等。企业通常利用Web应用防火墙来保护Web应用程序。AWS WAF 是一种 Web 应用程序防火墙,让您能够监控转发到 Amazon API Gateway API、Amazon CloudFront 或 应用程序负载均衡器 的 HTTP 和 HTTPS 请求,支持识别并阻拦常见的web攻击,比如SQL注入、XSS跨站、HTTP协议异常、HTTP协议畸形、命令注入、非法扫描等。
工作原理
AWS WAF可以让您可以在几分钟内设置并开始保护您的应用程序。您只需创建一个或多个web访问控制列表(Web ACL),每个列表包含规则(定义可接受或不可接受请求/IP地址的条件集)和满足规则时要采取的操作。然后将Web ACL附加到应用程序的Amazon CloudFront分发。
从这一刻开始,通过分发到达的传入HTTP和HTTPS请求将根据相关Web ACL中的每个规则进行检查,规则的条件可以为正(允许某些请求或IP地址)或负(阻止某些请求或IP地址)。
优势和功能
针对 Web 攻击灵活提供保护
AWS WAF 规则的传播和更新只需不足一分钟时间,因此您可以在问题出现时在您的环境中快速进行安全更新。WAF 支持数百条规则,这些规则可以检查 Web 请求的任意部分,同时尽可能降低延迟对传入流量的影响。AWS WAF 可以根据您创建的规则筛选流量,从而保护 Web 应用程序免遭攻击。例如,您可以筛选 Web 请求的任意部分,例如 IP 地址、HTTP 标头、HTTP 正文或 URI 字符串。这样一来,您可以防范常见攻击模式,例如 SQL 注入或跨站点脚本。
易于部署和维护
无论是作为 CDN 解决方案的一部分部署在 Amazon CloudFront 上,还是部署在位于所有来源服务器之前的 Application Load Balancer、适用于您的 REST API 的 Amazon API Gateway 或者是适用于您的 GraphQL API 的 AWS AppSync 上,AWS WAF 都能轻松部署和保护应用程序。 无需部署其他软件、无需配置 DNS、无需管理 SSL/TLS 证书,也无需进行反向代理设置。使用 AWS Firewall Manager 集成,您可以集中定义并管理规则,并在您需要保护的所有 Web 应用程序中反复使用这些规则。
使用托管规则节省时间
使用 AWS WAF 托管规则,您可以快速入门并保护您的 Web应用程序或 API 免遭常见的威胁。有多种规则类型供您选择,例如解决诸如开放式 Web 应用程序安全项目 (OWASP) 十大安全风险、内容管理系统 (CMS) 特有的威胁或新出现的常见漏洞和泄露 (CVE) 等问题的规则。托管规则会随新问题的出现而自动更新,这样您就有更多的时间来构建应用程序。
经济高效的 Web 应用程序防护
使用 AWS WAF,您只需按使用量付费。AWS WAF 属于可自定义的自助服务,基于您部署的规则数量和您的 Web 应用程序收到的 Web 请求数量进行定价。既没有最低费用,也无需预先承诺。
提高 Web 流量可见性
AWS WAF 让您能够近乎实时地查看 Web 流量,借此在 Amazon CloudWatch 中创建新的规则或警报。您可以精确控制指标的发出方式,因此可以从规则级别到完整入站流量进行监控。此外,AWS WAF 还会捕获每个接受检查的 Web 请求的完整标头数据,用于自动提供安全保护、分析或审计用途,从而提供全面的日志记录。
集成于应用程序开发流程中的安全性
AWS WAF 中的所有功能都可以通过 AWS WAF API 或 AWS 管理控制台进行配置。因此,您的开发运营团队可以在应用程序开发流程中定义特定于应用程序的规则,从而增强 Web 安全性。而且,您可以将 Web 安全问题放到开发流程链中的多个环节:从最初撰写代码的开发人员,到部署软件的开发运营工程师,再到跨组织实施安全规则组的安全管理员等。
如何收费
您需要为创建的每个 Web ACL 和针对每个 Web ACL 创建的每个规则付费。此外,您还需要为 Web ACL 处理的 Web 请求数付费。
Web ACL 每月 5.00 USD(按小时收取)
规则 每月 1.00 USD(按小时收取)
请求 每 100 万个请求 0.60 USD
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
AWS云中的DDos防护
分布式拒绝服务 (DDoS) 攻击是指多个被入侵系统尝试用流量来“淹没”目标 (如网络或 Web 应用程序) 的攻击。DDoS 攻击会阻止合法用户访问服务,并可能导致系统由于流量过大而崩溃。AWS 提供两级防护 DDoS 攻击: AWS Shield Standard 和 AWS Shield Advanced.
简介
AWS Shield Standard
全部 AWS 客户受益于的自动保护 AWS Shield Standard,无需额外收费。 AWS Shield Standard 抵御最常见的、经常发生的网络和传输层 DDoS 针对您的网站或应用程序的攻击。虽然 AWS Shield Standard 有助于为所有 AWS 客户提供保护,但如果您使用 Amazon CloudFront 和 Amazon Route 53,则可以获得特殊的优势。这些服务获得全面的可用性保护,可以防范所有已知的基础设施(第 3 层和第 4 层)攻击,参考下图。
AWS Shield Advanced
要获得更高级别的攻击防护,您可以订购 AWS Shield Advanced。当您订阅 AWS Shield Advanced 并添加需要保护的特定资源, AWS Shield Advanced 对在资源上运行的Web应用程序提供扩展的 DDoS进行攻击保护。
AWS哪些资源可以被保护
您可以为任何以下类型的资源添加保护:
Amazon CloudFront 分发
Amazon Route 53 托管区域
AWS Global Accelerator 加速器
应用程序负载均衡器
Elastic Load Balancing (ELB) 负载均衡器
Amazon Elastic Compute Cloud (Amazon EC2) 弹性 IP 地址
Shield和Shield Advanced的对比
如何选择
您可以将 AWS WAF、AWS Firewall Manager 和 AWS Shield 一起使用来创建全面的安全解决方案。
一切都从 AWS WAF 入手。您可以实现自动化,然后简化 AWS WAF 使用 AWS Firewall Manager。 Shield Advanced 在的顶部添加其他功能 AWS WAF,例如来自 DDoS 响应小组 (DRT) 和高级报告。
如果您希望对添加到您的资源的保护进行精细控制,单独使用 AWS WAF 是正确的选择。如果您希望跨账户使用 AWS WAF、加快您的 AWS WAF 配置或自动执行新资源的保护,请将 Firewall Manager 与 AWS WAF 结合使用。
最后,如果您拥有高可见度的网站,或者容易频繁 DDoS 攻击时,您应该考虑购买 Shield Advanced 提供。
如何收费
AWS Shield Standard 为所有 AWS 客户提供保护,使其免受以网站或应用程序为目标的最频繁发生的常见网络和传输层 DDoS 攻击,且无需支付额外费用。
AWS Shield Advanced 是付费服务,可为在 Amazon Elastic Compute (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 上运行的面向互联网的应用程序提供额外保护。AWS Shield Advanced 对所有客户开放,但只有 AWS Premium Support 的企业支持计划或商业支持计划客户才能联系 DDoS 响应团队。它需要为期 1 年的订购承诺,按月收费3000美金。数据传输资费情况如下表:
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
AWS云中的CMDB
CMDB是自动化运维的基石、是构建ITIL流程的基础。AWS Config是一个托管服务,是AWS云中资源的CMDB,它可以维护AWS资源的配置历史,并根据最佳实践和内部策略来评估配置。您可以将此信息用于操作故障排除、审计和遵从性用例。
AWS Config原理
打开 AWS Config 之后,它会先查找您账户中受支持的 AWS 资源,并为每个资源生成一个配置项。AWS Config 还会在某个资源的配置更改时生成配置项,并在您启动配置记录器后,保留配置项的历史记录。如果您使用的是 AWS Config 规则,则 AWS Config 会持续评估您的 AWS 资源是否具备所需设置。当某个资源的合规性状态发生更改时,AWS Config 会向您的 Amazon SNS 主题发送通知。
使用场景
资源管理
为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。AWS Config 可以在资源被创建、修改或删除时向您发送通知,不需要您通过对各个资源进行轮询来监控这些资源更改。
您可以使用 AWS Config 规则来评估您的 AWS 资源的配置设置。当 AWS Config 检测到不符合某项规则中的条件的资源时,AWS Config 会将其标记为不合规资源并发送通知。AWS Config 会在您的资源被创建、更改或删除时持续对其进行评估。
审计与合规性
您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。AWS Config 可以提供这一信息。
对配置更改进行管理与故障排除
当您使用相互依赖的多个 AWS 资源时,一项资源配置的更改可能对相关资源造成意外后果。利用 AWS Config,您可以查看您准备修改的资源如何与其他资源相关联,并评估更改所产生的影响。
您也可以使用 AWS Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。
安全分析
要分析潜在的安全漏洞,您需要了解有关您的 AWS 资源配置的详细历史信息,例如向您的用户授予的 AWS Identity and Access Management (IAM) 权限或者控制对资源的访问的 Amazon EC2 安全组规则。
您可以使用 AWS Config 随时查看 AWS Config 正在记录的分配给 IAM 用户、组或角色的 IAM 策略。这一信息可以帮助您确定用户在特定时间内具备的权限:例如,您可以查看用户 John Doe 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。
您也可以使用 AWS Config 来查看您的 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。
如何收费
使用 AWS Config 时,您将根据账户中记录的配置项数量、活动 AWS Config 规则评估数量和一致性包评估数量付费。配置项是对您的 AWS 账户中资源配置状态的记录。AWS Config 规则评估是由 AWS 账户中的 AWS Config 规则对资源进行的合规性状态评估,一致性包评估是由一致性包内的 AWS Config 规则对资源进行的评估。
定价示例
假设您在给定月份在美国东部(弗吉尼亚北部)区域的使用量如下。
10000 个各种资源类型的记录配置项
50000 次账户中存在的所有单个 Config 规则的 Config 规则评估
5 个一致性包,每个包含 10 个 Config 规则,每个 Config 规则有 300 次规则评估(即 5*10*300 总共为 15000 次评估)
配置项费用
10000 * 0.003 USD = 30 USD
Config 规则费用
前 100000 次评估(每次 0.001 USD)= 50 USD
一致性包费用
前 1000000 次一致性包评估(每次 0.0012 USD)= 18 USD
Config 账单总额
30 USD + 55 USD + 18 USD = 98 USD
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。
陈汉卿
云业务事业部 | 高级系统架构师
神州泰岳软件股份有限公司·AWS战略合作伙伴
AWS Solution Provider | Migration | DevOps | Cloud Management Tools(CMT) ISV Partner
AWS云中的敏感数据保护
当你把越来越多的数据放到云端时,你需要依靠安全自动化来保证它的安全。许多数据泄露不是未经授权用户的恶意行为造成的,而是授权用户的错误造成的。要监视和管理敏感数据的安全性,首先必须能够识别它。AWS推出了Amazon Macie,这是一项完全托管的数据安全和数据隐私服务,使用机器学习和模式匹配帮助您检测、分类,并更好地保护存储在AWS云中的敏感数据。
Macie原理
Macie将机器学习和模式匹配技术应用于您选择的S3存储桶,以识别敏感数据,并向您发出警报,例如个人身份信息(PII)。您可以在AWS管理控制台中搜索和筛选Macie的警报或调查结果,并将其发送到Amazon EventBridge(前称 Amazon CloudWatch Events),以便轻松与现有工作流程或事件管理系统集成,或与AWS服务(例如 AWS Step Functions)结合使用,以执行自动修复操作。这可以帮助您满足法规要求,例如《健康保险携带和责任法案》(HIPAA) 以及《通用数据隐私条例》(GDPR)。
Macie使用场景
在数据迁移中识别敏感数据
将大量数据迁移到 AWS 时,您可以设置一个安全的 Amazon S3 环境,用作使用 Macie 发现敏感数据的初始暂存区。您还可以从应用程序(如电子邮件、文件共享、协作工具)中提取文件,并传输到 S3 以供 Macie 评估。评估结果可帮助您了解迁移数据应存储在何处以及需要应用哪些安全控制(如加密和资源标记)。利用 Macie 的调查结果,您可以在数据迁移到 AWS 时自动配置数据保护和基于角色的访问策略。
评估您的数据隐私性和安全性
保持正确的数据安全级别的一个重要方面是能够持续地识别敏感数据并评估安全性和访问控制。Amazon Macie 让您可以在整个 Amazon S3 环境中做到这一点,生成可指导行动的调查结果,以便在需要时快速响应。使用 Macie,您还可以通过将敏感数据临时移动到 S3 来灵活地识别驻留在其他数据存储中的敏感数据。例如,您可以启动 Amazon Relational Database Service (RDS) 或 Amazon Aurora 快照,将这些服务中的数据导出到 Amazon S3,在其中可以使用 Macie 对敏感数据进行评估。这样您就可以利用 Macie 来帮助您维护数据隐私性和安全性。
保持合规性
合规团队需要监控敏感数据所在的位置,对其进行适当保护,并提供证据证明他们正在实施数据安全和隐私保护,以满足合规要求。Amazon Macie提供了不同的数据分析计划选项,如一次、每日、每周或每月敏感数据发现作业,以帮助您满足和保持数据隐私和合规要求。Macie会自动将所有敏感数据发现作业的输出(包括调查结果、评估结果、时间戳以及被扫描是否存在敏感数据的所有存储桶和对象的历史记录)发送到您拥有的S3存储桶。这些敏感数据发现详细报告可用于数据隐私和保护审核以及长期保留。
Macie如何收费
Macie针对存储桶级安全性及访问控制评估的Amazon S3存储桶数量,以及针对敏感数据发现处理的数据量进行收费。Macie仅对其检查的受支持对象类型中处理的字节收费。
作为Macie敏感数据发现作业的一部分,还将产生针对GET和LIST请求的标准Amazon S3费用。
以俄亥俄区域为例:
收费示例
一个账户中启用了 Macie,该账户拥有 15 个 Amazon S3 存储桶。而且,您为存储桶提交了敏感数据发现作业,S3 标准存储中有 1000000 个对象,结果处理了 100GB 数据。
• 15 个 Amazon S3 存储桶
• 针对敏感数据发现处理 100GB 的数据
• 1000000 个对象,所有支持的对象类型
Macie 费用 =15 * 0.10 USD(每个 S3 存储桶每月 0.10 USD)+ 1 * 0.00 USD(每月前 1GB)+ 99 * 1.00 USD(每月超出 1GB 后的 50000GB)= 1.50 USD + 0.00 USD + 99.00 USD= 100.50 USD Macie 费用
S3 费用 =0.005 USD(1000 个 S3 LIST 请求返回 1000 个对象,每 1000 个调用的费用为 0.005 USD)+ 0.0004 USD * 1000(1000000 个对象,每 1000 个 S3 GET 请求的费用为 0.0004 USD)= 0.005 USD + 0.4 USD= 0.405 USD S3 费用
陈汉卿
云业务事业部 | 高级系统架构师
神州泰岳软件股份有限公司·AWS战略合作伙伴
AWS Solution Provider | Migration | DevOps | Cloud Management Tools(CMT) ISV Partner
快速实现AWS云中资源的安全漏洞扫描
使用公有云服务只需点击几下就可以轻松灵活地创建一个基础架构,但如果你因此而忽略了某些安全检查点,则它可能会为恶意攻击者提供许多的机会。Amazon Inspector是一种自动化安全评估服务,可根据Amazon云中的合规性评估已部署资源的安全漏洞。在本文中,我们将了解AWS Inspector如何与EC2实例通信以评估服务器的安全性。我们还将学习如何配置AWS Inspector以执行自动化安全评估任务。
Inspector原理
AWS inspector是在所有EC2实例中安装一个代理,然后在内部检查所有可能的漏洞,并提供包含建议缓解措施的详细报告。其中包含了所选资源的详细结果。它会根据漏洞的严重程度对漏洞进行优先级排序,从而使你可以轻松了解哪些软件需要立即进行修补。
Inspector评估规则包
网络可到达性规则包
网络可到达性包中的规则分析您的网络配置以查找您的 EC2 instances 的安全漏洞。这些规则生成的结果表明是否可从 Internet(通过 Internet 网关,包括 Application Load Balancer 或 Classic Load Balancer 后的实例)、VPC 对等连接或 VPN(通过虚拟网关)到达您的端口。这些结果还强调了允许潜在恶意访问的网络配置(如管理不当的安全组、ACL、IGW 等)。利用此规则包,无需 Amazon Inspector 代理即可评估您的 EC2 instance。
主机评估规则包
常见漏洞和风险
Amazon Inspector 主机评估规则包使用的代理部署在运行着要评估的应用程序的 Amazon EC2 实例上。它将使用最佳安全实践指南检查服务器。此包中的规则将帮助验证您的评估目标中的 EC2 instances是否易出现常见漏洞和曝光 (CVE)。
CVE@是一份关于公开已知的网络安全漏洞的声明清单,每条声明都包含一个识别号码、描述和至少一个公开引用。CVE条目被用于世界各地的许多网络安全产品和服务中,包括美国国家脆弱性数据库(NVD)。
如果 Amazon Inspector 评估生成的结果中出现特定的 CVE,您可在 https://cve.mitre.org/ 中搜索 CVE 的ID(例如,CVE-2009-0021)。搜索结果可提供有关此CVE其严重性和缓解方式的详细信息。
Center for Internet Security (CIS) 基准
CIS 安全基准计划提供了定义明确、公正、基于一致性的行业最佳实践来帮助组织评估和增强其安全性。
如果 Amazon Inspector 评估运行生成的结果中出现特定的 CIS 基准,您可从 https://benchmarks.cisecurity.org/ 下载此基准的 PDF 格式的详细描述(需要免费注册)。此基准文档提供了有关此 CIS 基准其严重性以及如何缓解它的详细信息。
Amazon Inspector 的安全最佳实践
使用 Amazon Inspector 规则帮助确定您的系统的配置是否安全。主题包含如下内容:
Inspector如何收费
网络可访问性规则包的定价
使用网络可访问性规则包的 Amazon Inspector 评估按每月每个实例评估进行定价。例如,如果您对 1 个实例运行 1 次评估,则为 1 个实例评估。例如,如果您对 10 个实例运行 1 次评估,则为 10 个实例评估。起价为每个月每个实例评估 0.15 USD。
主机评估规则包的定价
使用主机规则包的评估按每月每个代理评估进行定价。例如,如果您对 1 个代理运行 1 次评估,则为 1 个代理评估。如果您对 10 个代理运行 1 次评估,则为 10 个代理评估。起价为每个月每个实例评估 0.30 USD。
Inspector实践
下载安装包,安装Agent
| wget https://inspector-agent.amazonaws.com/linux/latest/install–下载安装包
chmod +x install sudo ./install—安装agent sudo /opt/aws/awsagent/bin/awsagent status—查询Agent状态 |
配置运行Inspector扫描
进入Inspector产品模块
配置选择规则包
定义目标
运行扫描
下载报告,查询结论
下载报告
快速实现AWS云中的安全威胁检测
安全团队要自行组织对VPC流日志、CloudTrail日志、DNS日志做分析,从日志收集、格式化、分析、结论、动作,整个过程是一件十分耗时费力的事情。而使用GuardDuty,只需在 AWS 管理控制台中几次点击,就可以启用 GuardDuty,实现云环境中的威胁检测。AWS在2017年推出云中威胁检测服务——GuardDuty,旨在帮助AWS用户摆脱潜在的安全威胁,保护其AWS账户和工作负载。
GuardDuty能干什么
您的账号在您从未使用过的区域启动了实例;您的EC2实例正在被攻击;您的EC2实例在你不知情的情况下开始挖掘比特币;您的EC2实例在你不知情的情况下发起网络攻击;运行渗透测试工具的机器在使用您的账户的凭证进行 API 调用。上述问题发生时,都可以被GuardDuty检测到。
GuardDuty原理
Amazon GuardDuty 是一项持续安全监控服务,通过分析数据源 (VPC 流日志、AWS CloudTrail 事件日志和 DNS 日志)、使用威胁情报源(例如,恶意 IP 地址和域的列表)和机器学习来标识您 AWS 环境中意外的和未经授权的恶意活动。
GuardDuty优势
安全团队要自行组织对VPC流日志、CloudTrail日志、DNS日志做分析,从日志收集、格式化、分析、结论、动作,整个过程是一件十分耗时费力的事情。而使用GuardDuty,只需在 AWS 管理控制台中几次点击,就可以启用 GuardDuty,无需部署或维护任何软件或硬件。
集成了来自 AWS、CrowdStrike 和 Proofpoint 的最新威胁情报源。威胁情报与机器学习和行为模型结合,帮助您检测加密货币挖矿、凭证破解行为、未经授权的异常数据访问、与已知命令和控制服务器通信或者来自已知恶意 IP 的 API 调用等活动。
安全团队可以将组织中各账户的发现结果聚合到一个 GuardDuty 管理员账户中,以便进行管理。聚合后的检测结果也可通过 CloudWatch Events 使用,从而轻松与现有的企业事件管理系统集成。
GuardDuty 可以利用 Amazon CloudWatch Events 和 AWS Lambda 执行自动化的修复操作。
GuardDuty如何收费
Amazon GuardDuty 根据分析的 AWS CloudTrail 事件数和分析的 Amazon VPC 流日志和 DNS 日志数据的容量定价。为 GuardDuty 分析启用这些日志源无需支付额外的费用。以俄勒冈区域为例,资费如下:
GuardDuty发现类型
完整的GuardDuty发现类型,参考如下网址:
https://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_finding-types-active.html
如何启用GuardDuty
如何启用GuardDuty参考如下网址:
https://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_settingup.html
如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。