我的应用程序是一个利用amazon web services的SAAS。 目前,应用正在结束发展,我的公司收到了第一个客户。 我的应用程序用户需要上传具有合理机密数据的Word文档,这些数据稍后将进行分析,结果会保存到数据库中供以后查看。 现在,我没有计划为成千上万的客户服务。 我们一次只想去一个客户,然后去做大事。 但是,我们收到的第一个客户是CMM五级公司。 他们给我们发了一份安全审查调查问卷,询问我们有关物理安全,应用程序安全,数据安全和networking安全的所有事情。 我的应用程序可以运行他们整个公司的用户负载 – 这意味着我不需要多个tomcat应用程序服务器,并且在任何时间点在单个节点上运行数据库应用程序服务器来为此客户端提供服务。 所以,如果我确保以下 – 带有encryption临时存储的EC2实例,EBS存储。 EC2实例,只能访问该客户端的IP范围。 每日encryption的映像备份到EBS的S3 所有端口closures,除了443的HTTPSstream量。 这听起来好吗? 具有一个或两个节点的VPC,具有专用应用程序服务器,不同节点上的数据库。 VPC与IDS(入侵检测系统),硬化访问。 安全组定义了清晰的界限,谁可以访问什么。 VPC中的防火墙/ DMZconfiguration 用于Web服务器的SSL 用于pipe理VPC的双因素身份validation。 我们是一个小企业,试图对付这个价值十亿美元的公司。 交易规模虽小,但未来业务潜力巨大。 我们在configuration亚马逊VPC方面没有很好的经验,并加强了对潜在的威胁。 另外,聘请专业人士创造完美的VPC环境将会花费自己的时间和金钱。 此外,在这一点上,我可能听起来更像一个ASP而不是SAAS。 (我想,这就是我们现在要做的就是开始赚钱,让公司生存下来)。 我有几个问题- 从VPC开始有意义吗? 如果我不预期增加的负载,在不久的将来,如果只有一台机器可以做,甚至说两台机器,是不是VPC是一个矫枉过正? 如果我给客户一个专门的EC2实例,访问过滤到他们的公司IP范围,只有https端口打开,并且客户数据一直被encryption,这不是创buildVPC和pipe理安全的简单方法许多级别(networking,机器级别等)。 另外,如果我必须开始使用VPC,我应该只是将VPC安全性外包给一个可以为我处理这个问题的公司,我应该专注于应用程序开发? 有这么好的公司吗?
Rackspace将云数据库的访问权限限制在其ServiceNet上。 如何从AWS(通过公共互联网)安全有效地连接到数据库实例?
我想根据EC2实例中的存储创build“无限”目录。 是否可以符号链接目录到S3桶? 我在互联网上找不到任何解决scheme,也许有人知道?
在我的AWS账户中,我创build了一个用户,并使用AdministratorAccess策略给予了完整的权限。 这是政策的文件: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } 不过,当我使用这个用户login时,我看不到我的账单信息。 它说我没有权限。
我正在学习aws系统,通过将多个EBS卷连接到EC2实例。 它有什么目的是有这些多个ebs卷? 谢谢Mike
我想知道是否有人可以提供一些关于区分服务器防火墙和AWS安全组的背景吗?
我尝试用PHP连接到MySql服务器,平均需要2秒来build立连接。 我们在德国(法兰克福)和新加坡的PHP应用程序中托pipe我们的数据库。 我们在AWS上托pipe。 我们的数据库服务器是一个RDS多可用区实例(db.m4.2xlarge)。 目前的连接是通过公共互联网。 一种解决scheme是为数据库创build一个master / master复制,但是在AWS上并不那么容易,而对于当前的用例来说,这是一个过度工程。 有什么办法可以减less延迟吗? 通过VPNbuild立连接速度更快吗?
我正在下载Amazon Web Services的CIDR列表: https://ip-ranges.amazonaws.com/ip-ranges.json 然后把它们放在一个ipset与行: sudo ipset -q -A tor $ip 并用下面的命令阻止iptables: sudo iptables -A INPUT -m set –match-set tor src -j DROP 总共有约65,000个IP在ipset tor 。 它也有阻止IP和其他一些,这对于这些工作正常,但由于某种原因,似乎无法阻止任何亚马逊IP。 有任何想法吗? 完整的规则列表: sudo ipset -N whitelist nethash sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m set –match-set whitelist src -j ACCEPT sudo iptables […]
根据文档 :“每个子网CIDR块中的前四个IP地址和最后一个IP地址不能供您使用…” 那么这意味着VPC不支持点对点子网吗? 我试图创build一个/ 30子网来testing,它不会让我这样我猜这是为什么,但要确认。
我收到来自[email protected]的通知,告诉我无法为我的帐户开具帐单,并且很快就会closures我的帐户。 事情是,我不记得我的login信息。 login页面上没有恢复链接。 它只是要求“帐户”(这到底是什么?),“用户名”和“密码”,我都不知道。 我无法回复电子邮件。 我无法联系支持,因为它需要我login。如何解决此问题?