abhinav-janbandhu/enterprise-cloud-security
GitHub: abhinav-janbandhu/enterprise-cloud-security
一个企业级 AWS 云安全工程项目,通过增量式实施身份管理、网络隔离、成本治理等安全控制来构建并验证安全的云基础架构。
Stars: 0 | Forks: 0
# 云安全工程实验室
这是一个企业级的云安全工程项目,旨在使用安全优先的工程原则,设计、实施并验证安全的 AWS 环境。
本仓库展示了一名云安全工程师在设计、保护以及持续改进 AWS 环境方面的工作。每一项实施都由明确的安全目标驱动,并有文档记录的架构决策作为支持,同时通过可复现的证据进行验证。
本项目并未将 AWS 视为一组孤立的服务或教程,而是通过逐步叠加工程能力来构建一个安全的云环境。从身份与账户安全开始,逐渐扩展到网络、治理、监控、日志记录、检测工程、基础设施即代码以及安全自动化。每一项能力都包含其设计理念、实现方法、安全优势以及验证证据。
最终成果是一个动态演进的项目,它反映了企业安全实践中是如何设计、实施、验证并持续改进安全云环境的。
# 安全问题陈述
云服务提供商提供了安全的构建基石,但安全的云环境并非默认生成的。配置不当的身份、过度的权限、薄弱的治理、不安全的网络配置以及有限的运营可见性,仍然是导致云安全事件的主要原因。
本项目通过从基本原则出发设计安全的 AWS 环境来解决这些挑战。每一项安全控制措施的实施都是有意为之,旨在降低风险、强制执行最小权限原则、改善治理并建立可扩展的安全基础。每一项实施都被视为一项工程决策而非配置任务,并配有文档记录的设计选择和验证证据,以证明这些控制措施按预期发挥作用。
# 项目目标
本项目的目标是使用企业云安全工程实践来构建并持续演进一个安全的 AWS 环境。每一项实施都在为生产级安全基础添砖加瓦,而非孤立的技术练习。
本项目受以下工程目标指导:
- 使用安全优先的架构原则设计安全的云基础设施。
- 实施能够降低运营风险的身份、治理、访问控制和网络安全。
- 构建在适当情况下可衡量、可重复且自动化的安全控制。
- 使用 AWS CLI 输出、配置工件、架构图和支持性证据来验证每一项实施。
- 不仅记录实现了什么,还记录为何做出每一项设计决策,以及它如何增强整体安全态势。
- 通过计算安全、监控、日志记录、检测工程、基础设施即代码和安全自动化,持续扩展该环境。
# 架构概述
本项目被构建为一个安全的 AWS 环境,该环境通过对企业云安全能力的增量式实施而不断演进。每一项新功能都在扩展现有架构的同时,保持了安全优先的设计。
当前的实施确立了 AWS 环境的安全和网络基础。它包括身份管理、多因素认证 (MFA)、成本治理、通过 AWS CLI 进行的已验证编程访问,以及一个自定义的 Amazon Virtual Private Cloud (VPC),该 VPC 具有隔离的公有和私有子网、受控的互联网连接以及多层次的网络安全。
这些基础能力提供了在引入计算资源、集中式日志记录、监控、合规性、威胁检测、基础设施即代码和安全自动化之前所需的安全基线。
## 高层级架构
下图展示了本仓库中实现的当前 AWS 安全和网络基础。
**当前实施(实验 31–32 – 安全与网络基础)**
标签:AWS, DPI, 安全架构, 漏洞利用检测, 身份与访问管理