abhinav-janbandhu/enterprise-cloud-security

GitHub: abhinav-janbandhu/enterprise-cloud-security

一个企业级 AWS 云安全工程项目,通过增量式实施身份管理、网络隔离、成本治理等安全控制来构建并验证安全的云基础架构。

Stars: 0 | Forks: 0

# 云安全工程实验室 这是一个企业级的云安全工程项目,旨在使用安全优先的工程原则,设计、实施并验证安全的 AWS 环境。 本仓库展示了一名云安全工程师在设计、保护以及持续改进 AWS 环境方面的工作。每一项实施都由明确的安全目标驱动,并有文档记录的架构决策作为支持,同时通过可复现的证据进行验证。 本项目并未将 AWS 视为一组孤立的服务或教程,而是通过逐步叠加工程能力来构建一个安全的云环境。从身份与账户安全开始,逐渐扩展到网络、治理、监控、日志记录、检测工程、基础设施即代码以及安全自动化。每一项能力都包含其设计理念、实现方法、安全优势以及验证证据。 最终成果是一个动态演进的项目,它反映了企业安全实践中是如何设计、实施、验证并持续改进安全云环境的。 # 安全问题陈述 云服务提供商提供了安全的构建基石,但安全的云环境并非默认生成的。配置不当的身份、过度的权限、薄弱的治理、不安全的网络配置以及有限的运营可见性,仍然是导致云安全事件的主要原因。 本项目通过从基本原则出发设计安全的 AWS 环境来解决这些挑战。每一项安全控制措施的实施都是有意为之,旨在降低风险、强制执行最小权限原则、改善治理并建立可扩展的安全基础。每一项实施都被视为一项工程决策而非配置任务,并配有文档记录的设计选择和验证证据,以证明这些控制措施按预期发挥作用。 # 项目目标 本项目的目标是使用企业云安全工程实践来构建并持续演进一个安全的 AWS 环境。每一项实施都在为生产级安全基础添砖加瓦,而非孤立的技术练习。 本项目受以下工程目标指导: - 使用安全优先的架构原则设计安全的云基础设施。 - 实施能够降低运营风险的身份、治理、访问控制和网络安全。 - 构建在适当情况下可衡量、可重复且自动化的安全控制。 - 使用 AWS CLI 输出、配置工件、架构图和支持性证据来验证每一项实施。 - 不仅记录实现了什么,还记录为何做出每一项设计决策,以及它如何增强整体安全态势。 - 通过计算安全、监控、日志记录、检测工程、基础设施即代码和安全自动化,持续扩展该环境。 # 架构概述 本项目被构建为一个安全的 AWS 环境,该环境通过对企业云安全能力的增量式实施而不断演进。每一项新功能都在扩展现有架构的同时,保持了安全优先的设计。 当前的实施确立了 AWS 环境的安全和网络基础。它包括身份管理、多因素认证 (MFA)、成本治理、通过 AWS CLI 进行的已验证编程访问,以及一个自定义的 Amazon Virtual Private Cloud (VPC),该 VPC 具有隔离的公有和私有子网、受控的互联网连接以及多层次的网络安全。 这些基础能力提供了在引入计算资源、集中式日志记录、监控、合规性、威胁检测、基础设施即代码和安全自动化之前所需的安全基线。 ## 高层级架构 下图展示了本仓库中实现的当前 AWS 安全和网络基础。 **当前实施(实验 31–32 – 安全与网络基础)**

Cloud Security Engineering Architecture

*图 1. 展示通过实验 31–32 建立的安全和网络基础的当前架构。未来的实验将通过安全计算、集中式日志记录、监控、合规性、威胁检测、基础设施即代码和安全自动化来扩展此环境。* # 已实施的安全能力 以下安全能力确立了 AWS 环境当前的安全基础。每项能力都针对特定的安全目标,并通过文档记录的配置、AWS CLI 输出、架构工件或支持性的实施证据进行验证。 | 安全能力 | 安全目标 | 状态 | 验证 | |---------------------|--------------------|:------:|------------| | AWS 账户安全基础 | 为云安全工程建立安全的 AWS 环境。 | ✅ 完成 | AWS 账户配置已验证 | | Root 账户保护 | 使用多因素认证 (MFA) 保护具有高权限的 root 账户。 | ✅ 完成 | MFA 已启用并验证 | | 身份与访问管理 | 通过受多因素认证 (MFA) 保护的专用 IAM 身份,强制执行最小权限管理。 | ✅ 完成 | IAM 控制台与 AWS CLI 已验证 | | 成本治理 | 使用 AWS Budgets 监控和控制云支出。 | ✅ 完成 | 预算警报已配置 | | 已认证的 AWS CLI 访问 | 使用 IAM 凭据实现安全、经过认证的编程访问。 | ✅ 完成 | 成功进行经过认证的 AWS CLI API 调用 | | AWS 网络安全基础 | 使用 Amazon VPC、公有和私有子网、路由表以及受控的互联网连接,构建安全、隔离的云网络。 | ✅ 完成 | VPC 拓扑已验证 | # 仓库结构 本仓库的组织方式将架构、实施、自动化、验证证据和支持性文档分离开来。这种结构使得在引入新的云安全功能时,项目依然易于维护,同时确保工程决策、实施工件和验证证据保持有条理且易于浏览。 ``` cloud-security-engineering-lab/ ├── assets/ # Repository assets used by the documentation ├── diagrams/ # Cloud architecture and design diagrams ├── docs/ # Engineering documentation and design decisions ├── labs/ # Lab implementations and configuration guides ├── screenshots/ # Validation evidence for implemented security controls ├── scripts/ # Automation and utility scripts ├── templates/ # Reusable configuration and documentation templates └── README.md # Project overview and repository navigation ```
标签:AWS, DPI, 安全架构, 漏洞利用检测, 身份与访问管理