Security

在這種情況下我應該使用亞馬遜 VPC 還是 EC2?

  • December 9, 2015

我的應用程序是一個利用亞馬遜網路服務的 SAAS。目前,該應用程序正在結束開發,我公司收到了第一個客戶。我的應用程序使用者需要上傳具有合理機密數據的 Word 文件,這些數據稍後會進行分析,結果會保存到數據庫中以供以後查看。

現在,我並沒有計劃為成千上萬的客戶提供服務。我們想一次只接待一位客戶,然後再做大做強。但是,我們收到的第一個客戶是 CMM 5 級公司。他們向我們發送了一份安全審查問卷,詢問我們有關物理安全、應用程序安全、數據安全和網路安全的所有內容。

我的應用程序可以執行他們整個公司的使用者負載——這意味著我不需要一個以上的 tomcat 應用程序伺服器和一個隨時在單個節點上執行的數據庫應用程序伺服器來服務這個客戶端。所以,如果我確保以下 -

  • 具有加密臨時儲存、EBS 儲存的 EC2 實例。
  • EC2 實例,只能訪問此客戶端的 IP 範圍。
  • 每日加密映像備份到 EBS 的 S3
  • 除 443 用於 HTTPS 流量外,所有埠均已關閉。

這聽起來比

  • 具有一或兩個節點的 VPC,具有專用的應用伺服器,不同節點上的數據庫。
  • 帶有 IDS(入侵檢測系統)的 VPC,針對訪問進行了強化。
  • 明確劃分誰可以訪問什麼的安全組。
  • VPC 中的防火牆/DMZ 配置
  • 用於 Web 伺服器的 SSL
  • 用於管理 VPC 的兩因素身份驗證。

我們是一家試圖與這家價值數十億美元的大公司打交道的小企業。交易規模雖小,但未來業務潛力巨大。我們在配置 amazon VPC 和針對潛在威脅進行強化方面沒有豐富的經驗。此外,僱用具有創建完美 VPC 環境的專業知識的人將花費自己的時間和金錢。此外,在這一點上,我可能聽起來更像是一個 ASP 而不是 SAAS。(我想,這就是我們現在要開始賺錢以使公司首先生存的目標)。

我有幾個問題-

從 VPC 開始有意義嗎?如果我預計在不久的將來不會增加負載,並且如果只有一台機器可以做到,甚至說兩台機器,VPC 是不是有點矯枉過正?如果我給客戶一個專用的 EC2 實例,訪問過濾到他們的公司 IP 範圍,只打開 https 埠,並且始終加密客戶數據,這不是比創建 VPC 和管理安全性簡單得多的方法嗎?許多級別(網路,機器級別等)。

另外,如果我必須開始使用 VPC,我是否應該將 VPC 安全外包給可以為我處理這件事的公司,而我應該只專注於應用程序開發?有沒有做這個的好公司?

專有網路。始終為 VPC。即使只有一個實例,我也總是部署在 VPC 中。

AWS 現在預設在 VPC 中部署 EC2 實例是有原因的。通過這樣做,您可以在未來的安全性和靈活性方面獲得顯著優勢,而這在 EC2-Classic 中是不可能的。

引用自:https://serverfault.com/questions/741971