實戰:雲端安全架構

Vibe Prompt

「幫我設計一個安全的 AWS 多層架構:WAF → ALB → ECS (Fargate) → RDS,全部在私有子網中。」

安全架構

Internet
    │
    ▼
Cloudflare (DDoS + WAF)
    │
    ▼
AWS WAF (SQLi / XSS 過濾)
    │
    ▼
ALB (Application Load Balancer)
    │ (公有子網)
    ▼
ECS Fargate (容器)
    │ (私有子網)
    ├──→ RDS (資料庫,私有子網)
    └──→ ElastiCache Redis (私有子網)

安全措施清單

| 層級 | 措施 | |------|------| | 網路 | VPC 內不開 Public IP、SG 最小規則、NACL | | 運算 | ECS Fargate 執行在私有子網、IMDSv2 強制 | | 資料 | RDS 加密、自動備份、刪除保護 | | 存取 | IAM Role 代替 Access Key、MFA 強制 | | 監控 | GuardDuty + Security Hub + Config |

CDK 範例

const vpc = new ec2.Vpc(this, 'SecureVpc', {
  maxAzs: 2,
  natGateways: 1,
  subnetConfiguration: [
    { name: 'Public', subnetType: ec2.SubnetType.PUBLIC, cidrMask: 28 },
    { name: 'Private', subnetType: ec2.SubnetType.PRIVATE_WITH_EGRESS, cidrMask: 24 },
    { name: 'Isolated', subnetType: ec2.SubnetType.PRIVATE_ISOLATED, cidrMask: 24 },
  ],
});

const albSg = new ec2.SecurityGroup(this, 'AlbSg', { vpc });
albSg.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(443));
albSg.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(80));

const ecsSg = new ec2.SecurityGroup(this, 'EcsSg', { vpc });
ecsSg.addIngressRule(albSg, ec2.Port.tcp(3000));

const rdsSg = new ec2.SecurityGroup(this, 'RdsSg', { vpc });
rdsSg.addIngressRule(ecsSg, ec2.Port.tcp(5432));

課程總結

雲端安全課程完成!

  • ✅ 共享責任模型
  • ✅ IAM Policy 實戰
  • ✅ CSPM 自動檢查
  • ✅ 容器安全
  • ✅ 安全雲端架構

關鍵要點

安全架構設計原則

| 原則 | 說明 | 實作範例 | |------|------|---------| | 縱深防禦 | 多層次防護,單層失效仍有其他層保護 | WAF → API Gateway → 應用層 → 資料庫層 | | 最小權限 | 每個人/服務只擁有完成工作所需的最小權限 | IAM Policy 限制資源與動作 | | 零信任 | 不信任任何來源,每次請求都需驗證 | 每次 API 呼叫都檢查 JWT + RBAC | | 資料保護 | 資料在傳輸中、靜態、使用中都需保護 | TLS + KMS + 資料脫敏 | | 可觀測性 | 所有操作都應有日誌與監控 | CloudTrail + GuardDuty + Security Hub |

完整安全架構圖

使用者 → CloudFront (WAF) → ALB → ECS Fargate → RDS (加密)
                              │
                              ├── GuardDuty (威脅偵測)
                              ├── Security Hub (安全儀表板)
                              └── CloudTrail (審計日誌)

自動化回應

| 事件 | 自動化回應 | |------|-----------| | S3 Bucket 變為公開 | Lambda 自動關閉公開存取 | | Security Group 開放 0.0.0.0/0 | Config 自動修復規則 | | GuardDuty 發現異常 | EventBridge → Lambda → Slack 通知 | | IAM 權限過大 | Access Analyzer 產生報告 |



從零到完整的雲端安全架構

你已經學會了雲端安全的各個面向:共同責任模型、IAM Policy、CSPM、容器安全。最後一章把這一切整合起來,設計一個完整的雲端安全架構。

縱深防禦架構設計

網際網路
    │
    ▼
CloudFront + WAF (DDoS 防護 + Web 漏洞過濾)
    │
    ▼
ALB (流量分發 + SSL 終止)
    │
    ▼
ECS Fargate (容器,Security Group 限制僅 ALB 可存取)
    ├── IAM Role:最小權限
    ├── Task Role:只能存取特定 S3 Bucket
    └── 映像檔:Trivy 掃描無漏洞
    │
    ▼
RDS (私有子網,無對外 IP)
    ├── 加密:KMS
    ├── 備份:每日自動 + 跨區域
    └── 存取:僅 ECS Task Role 可連線

課程總結

恭喜完成雲端安全課程!

| 章節 | 核心技能 | |:----:|:--------:| | 1 | 理解共同責任模型——知道誰該負責什麼 | | 2 | 撰寫 IAM Policy——實作最小權限 | | 3 | 使用 CSPM 工具——自動化安全檢查 | | 4 | 容器安全——Docker + K8s 安全最佳實踐 | | 5 | 安全架構設計——整合所有防護層 |

雲端安全不是一個產品或一次設定就能解決的——它需要在每個架構層級都考慮安全,並且持續監控與改進。

解鎖完整教學內容

本章為付費內容。加入專案即可解鎖超過 5000 字的深度解析,包含 10 個以上神級 Prompt 與真實 Source Code 範例!