AWS Bảo mật kiến trúc Serverless
Bảo mật kiến trúc Serverless
Có ba phương pháp bảo mật tốt nhất:
- Kiểm tra hệ thống của bạn để phát hiện các thay đổi, truy cập không mong muốn, các mẫu bất thường hoặc lỗi.
- Bảo mật dữ liệu trong quá trình vận chuyển và khi nghỉ ngơi.
- Luôn sử dụng khái niệm đặc quyền tối thiểu.
Các biện pháp bảo mật tương tự áp dụng cho cơ sở hạ tầng đám mây truyền thống cũng áp dụng cho kiến trúc không có máy chủ.
Ví dụ: bạn vẫn phải tuân theo các nguyên tắc đặc quyền tối thiểu và bảo mật dữ liệu khi truyền và khi lưu trữ.
Điều này áp dụng cho cả kiến trúc phân tán và hàm Lambda.
Video bảo mật kiến trúc serverless
W3schools.com cộng tác với Amazon Web Services để cung cấp nội dung đào tạo kỹ thuật số cho sinh viên của chúng tôi.
Sử dụng Dịch vụ được quản lý bởi AWS
Để chuyển trách nhiệm chung sang AWS với kiến trúc serverless, hãy sử dụng các dịch vụ được quản lý bởi AWS.
Bạn sẽ có những lo ngại tương tự về bảo mật nhưng AWS thay mặt bạn xử lý nhiều vấn đề hơn.
Bạn chịu trách nhiệm về:
- Giám sát du khách
- Khóa các vật dụng cá nhân
- Chỉ cho phép những người dùng mà bạn mời
Để bảo vệ dịch vụ của bạn khỏi bị truy cập bất hợp pháp, bạn có thể ủy quyền truy cập API Gateway.
Bạn có thể ủy quyền truy cập API Gateway vào API của mình theo ba cách:
- Quản lý quyền truy cập và nhận dạng AWS (IAM)
- Nhận thức AWS
- Người ủy quyền Lambda
Chọn tùy chọn phù hợp nhất với mô hình xác thực và khối lượng công việc hiện tại của bạn.
Nhóm bảo mật hoặc danh sách kiểm soát truy cập mạng là các biện pháp thực hành tốt nhất của AWS để bảo vệ các kết nối chức năng Lambda.
Bạn có thể triển khai AWS WAF để bảo vệ mạng của mình khỏi các cuộc tấn công DoS .
Bạn cũng có thể hưởng lợi từ mô hình chia sẻ trách nhiệm .
Hạn chế quyền truy cập vào API
Để giới hạn quyền truy cập vào API, bạn có ba tùy chọn để thực hiện việc đó:
- AWS IAM
- Nhận thức AWS
- Người ủy quyền Lambda
AWS IAM phù hợp nhất với những khách hàng yêu cầu thông tin xác thực tạm thời.
AWS IAM cũng rất phù hợp với các máy khách trong môi trường AWS của bạn.
AWS Cognito cung cấp cho bạn dịch vụ đăng ký và đăng nhập được quản lý.
AWS Cognito cũng có thể hoạt động như một nhà cung cấp danh tính.
Người ủy quyền Lambda thực thi hàm Lambda để ủy quyền cho khách hàng.
Người ủy quyền rất tốt cho việc xác thực tập trung.
Việc sử dụng API Gateway để xác thực giúp giảm chi phí bảo vệ API của bạn khỏi những người dùng trái phép.
Bạn cũng có thể sử dụng các tính năng của API Gateway để hạn chế quyền truy cập.
Chọn tùy chọn phù hợp nhất cho mô hình xác thực hiện tại của bạn.