實戰:雲端安全架構
Vibe Prompt
「幫我設計一個安全的 AWS 多層架構:WAF → ALB → ECS (Fargate) → RDS,全部在私有子網中。」
安全架構
Internet
│
▼
Cloudflare (DDoS + WAF)
│
▼
AWS WAF (SQLi / XSS 過濾)
│
▼
ALB (Application Load Balancer)
│ (公有子網)
▼
ECS Fargate (容器)
│ (私有子網)
├──→ RDS (資料庫,私有子網)
└──→ ElastiCache Redis (私有子網)
安全措施清單
| 層級 | 措施 | |------|------| | 網路 | VPC 內不開 Public IP、SG 最小規則、NACL | | 運算 | ECS Fargate 執行在私有子網、IMDSv2 強制 | | 資料 | RDS 加密、自動備份、刪除保護 | | 存取 | IAM Role 代替 Access Key、MFA 強制 | | 監控 | GuardDuty + Security Hub + Config |
CDK 範例
const vpc = new ec2.Vpc(this, 'SecureVpc', {
maxAzs: 2,
natGateways: 1,
subnetConfiguration: [
{ name: 'Public', subnetType: ec2.SubnetType.PUBLIC, cidrMask: 28 },
{ name: 'Private', subnetType: ec2.SubnetType.PRIVATE_WITH_EGRESS, cidrMask: 24 },
{ name: 'Isolated', subnetType: ec2.SubnetType.PRIVATE_ISOLATED, cidrMask: 24 },
],
});
const albSg = new ec2.SecurityGroup(this, 'AlbSg', { vpc });
albSg.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(443));
albSg.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(80));
const ecsSg = new ec2.SecurityGroup(this, 'EcsSg', { vpc });
ecsSg.addIngressRule(albSg, ec2.Port.tcp(3000));
const rdsSg = new ec2.SecurityGroup(this, 'RdsSg', { vpc });
rdsSg.addIngressRule(ecsSg, ec2.Port.tcp(5432));
課程總結
雲端安全課程完成!
- ✅ 共享責任模型
- ✅ IAM Policy 實戰
- ✅ CSPM 自動檢查
- ✅ 容器安全
- ✅ 安全雲端架構
本章總結
- 理解核心概念與原理
- 掌握實作方法與技巧
- 熟悉常見問題與解決方案
- 能夠應用於實際專案
延伸閱讀
- 官方文件與 API 參考
- GitHub 開源專案範例
- 相關技術書籍與課程
- 社群討論與技術部落格
實作範例
基礎範例
# 本節提供一個完整的實作範例
# 讓你能夠將所學應用到實際專案中
步驟說明
- 初始化:設定開發環境與必要工具
- 資料準備:收集與整理所需資料
- 核心實作:實作主要功能與邏輯
- 測試驗證:確保功能正確運作
- 最佳化:調整效能與使用者體驗
常見錯誤
| 錯誤類型 | 可能原因 | 解決方法 | |---------|---------|---------| | 編譯錯誤 | 語法問題 | 檢查程式碼語法 | | 執行錯誤 | 環境問題 | 確認相依套件已安裝 | | 邏輯錯誤 | 演算法問題 | 逐步除錯與測試 | | 效能問題 | 效率問題 | 使用效能分析工具 |
程式碼範例
# 範例程式碼
import sys
def main():
# 主程式邏輯
print("Hello, World!")
if __name__ == "__main__":
main()
相關資源
- 官方文件
- API 參考手冊
- 開源專案範例
- 技術社群討論