Securing the Endpoint (Traditional Chinese)

概觀

您是 AnyCompany 的安全工程師。您負責公司所有 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、儲存在執行個體上的資料 (靜態資料) 以及在執行個體之間傳輸的資料 (傳輸中的資料) 的安全。

AnyCompany 的應用程式開發人員經常將 EC2 執行個體用於前端 Web 伺服器和後端資料庫伺服器。您不必在部署每個新執行個體時對其應用與安全相關的調整，而是想要為所有公司執行個體提供預設定的基本映像。

在此實驗室中，您將建立含有各種組態變更的自訂 Amazon Machine Image (AMI)。然後，您從自訂 AMI 部署一個新執行個體，並採用到該執行個體的使用者資料指令碼，以新增專屬於該執行個體功能的新使用者。然後，您將了解如何使用 AWS Systems Manager 來修補執行個體。最後，您會使用 Amazon Elastic Block Store (Amazon EBS) 加密和安全群組規則來保護公司的靜態及傳輸資料。

目標

此實驗室結束後，您將能夠執行下列動作：

• 建立自訂 AMI。
• 從自訂 AMI 部署新的 EC2 執行個體。
• 使用 AWS Systems Manager 修補 EC2 執行個體。
• 將 EBS 磁碟區加密。
• 了解 EBS 加密的運作原理以及其如何影響其他操作，例如快照。
• 使用安全群組來限制 EC2 執行個體之間的流量，僅允許加密的流量。

技術知識先決條件

若要成功完成此實驗室，您應該熟悉 AWS 管理主控台的基本瀏覽方式，並了解如何在 Linux Command Line Interface (CLI) 中執行命令。

持續時間

此實驗室需要大約 45 分鐘的時間來完成。

圖示圖例

此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。下列清單說明各圖示的用途：

• 命令：您必須執行的命令。
• 預期輸出：您可使用的範例輸出，以驗證命令的輸出內容或經過編輯的檔案。
• 注意：提示、秘訣或重要指引。
• 其他資訊：取得更多資訊的位置。
• 提醒：有特殊影響或重要性的資訊 (如果您錯過此資訊，不會對設備或資料造成太大的問題，但可能會導致需要重複特定步驟)。
• 考慮：暫停一下，思考如何在自己的環境中應用概念或啟動與手邊主題有關的對話。
• 重新整理：您可能需要重新整理 Web 瀏覽器頁面或清單，以顯示新資訊的時機。

環境概觀

下圖顯示實驗室環境的基本架構：

下列清單詳細描述圖表中主要資源：

• 一個 VPC，在一個可用區域內有一個公有子網路和兩個私有子網路，在第二個可用區域內有一個公有子網路。
• 具有兩個節點的 Network Load Balancer，每個公有子網路中有一個節點。
• 在第一個私有子網路中充當 Web 伺服器的 EC2 執行個體。
• 在第二個私有子網路中充當資料庫伺服器的 EC2 執行個體。
• 兩個安全群組，根據其用途，每個執行個體一個。

網路流量從外部使用者透過網際網路閘道流向兩個 Network Load Balancer 節點之一，然後流向 Web 伺服器。如果請求在 Web 伺服器上執行的 WordPress 部落格網站的 URL，流量也會流向資料庫伺服器。