客户痛点:上海亮都商务信息咨询有限公司的内部生产系统均通过本地化的方式进行部署。
随着时间推移,本地化部罢的系统运行于老旧的硬件资源上,使用周期过长,即使新购或重构,
采用本地化部署的成本也比较大。在本次项目中,计划将部分生产系统迁移到AWS云环境中,
以减轻本地硬件的运行负载,同时对AWS环境进行安全加固,以适应安全合规的需要。
飞络将客户的架构做了以下的优化及调整:
1.停止使用根账号,根据IAM最小权限原则定义不同的IAM用户和组
2.使用AWS shield在互联网入口处做DDoS流量清洗
3.新增Inbound VPC来管理所有的入向的流量,使用CloudFront结合WAF在web层做入站的防护,
使用跳板机来访问所有的内部的服务器新增OutboundVPC来管理所有出向的流量,通过NAT网
关确保内部VPC对Internet的受限访问。
4.新增共享服务VPC来集中管理AWS所有资源的日志,包括用于审计的CloudTrail日志
5.新增中转VPC用于部署ATP,防病毒网关以及SoC平台
6.新增GuardDuty,Inspector和Macie等安全加固服务
|