零基础5分钟上手亚马逊云科技 - 网络安全分析最佳实践

简介：

欢迎来到小李哥全新亚马逊云科技AWS云计算知识学习系列，适用于任何无云计算或者亚马逊云科技技术背景的开发者，通过这篇文章大家零基础5分钟就能完全学会亚马逊云科技一个经典的服务开发架构方案。

我会每天介绍一个基于亚马逊云科技AWS云计算平台的全球前沿云开发/架构技术解决方案，帮助大家快速了解国际上最热门的云计算平台亚马逊云科技AWS最佳实践，并应用到自己的日常工作里。本次介绍的是如何分析亚马逊云科技VPC网络环境中的流量日志，配置网络安全控制防火墙，组织特定IP访问，提升网络安全性的全部方案。本方案架构图如下：

方案所需基础知识

什么是 VPC？

Amazon VPC (Virtual Private Cloud) 是 AWS 提供的一项服务，允许用户在云中创建和管理自己的虚拟网络。通过 VPC，用户可以自定义网络配置，例如 IP 地址范围、子网、路由表和网关等，并对云资源进行隔离和保护。这为用户提供了类似于传统数据中心的网络控制能力，但在云中运行和管理。

什么是 VPC Flow Log？

VPC Flow Log 是 AWS 提供的监控工具，用于捕获和记录 VPC 中网络接口的 IP 流量信息。它可以记录流入和流出 VPC 的数据包详情，例如源 IP 地址、目标 IP 地址、端口号、协议等。Flow Log 的数据可以存储在 Amazon CloudWatch Logs、S3 或 Kinesis 中，用于流量分析、安全审计和问题排查。

什么是网络 ACL？

网络 ACL（访问控制列表）是一种可选的安全层，用于控制进出 VPC 子网的网络流量。ACL 类似于防火墙规则，可以基于 IP 地址、协议和端口号设置允许或拒绝流量的规则。网络 ACL 对所有进出子网的流量进行筛选，提供了额外的安全保护。

为什么要分析 VPC Flow Log 以确保网络安全？

检测异常行为：

通过分析 VPC Flow Log，可以识别出异常的流量模式，如未经授权的访问、潜在的攻击行为或数据泄露等。这有助于及时发现并响应安全威胁。

流量审计和合规性：

VPC Flow Log 为网络流量提供了详细的记录，便于审计和报告，帮助企业满足行业标准和法规要求，如 PCI DSS 或 HIPAA。

入侵检测与防御：

借助 Flow Log，可以监控和检测潜在的入侵行为，例如端口扫描、DDoS 攻击等，并据此调整防御策略，保护关键资源。

优化网络配置：

分析 Flow Log 数据，可以帮助优化网络配置，改进网络 ACL 和安全组规则，减少不必要的流量，提高整体网络的性能和安全性。

本方案包括的内容

1. 为亚马逊云科技VPC网络环境开启网络日志Log，并储存至S3存储桶

2. 读取和分析VPC网络流量日志

3. 创建网络安全控制防火墙阻止异常流量。

项目搭建具体步骤

1. 首先登录亚马逊云科技控制台，创建一个S3文件存储桶“vpc-flowlogs-1212”

2. 接下来进入VPC服务主页。

3.点击左侧Your VPCs页面，选中我们的VPC网络环境，点击下方“Flow Logs”页面，点击“Create Flow Log”创建VPC流量日志。

4. 我们将Flow log命名为“my-vpc-flowlogs”，并选择筛选条件为“Accept”记录所有成功的流量请求。

5. 选择Destination存储方式为存储到S3桶中，填入我们之前创建的S3桶ARN ID，最后点击Create Flow log开启该流量日志。

6. 开启后我们进入到S3服务页面，点击进入我们存储VPC flow log的S3桶。

7. 点击进入路径“vpc-flowlogs-1212” -> "AWSLogs" ->"账户ID" -> "vpcflowlogs" -> "AWS账户所在区域" -> "当天日期" ，即可看到我们开启的VPC Flow log日志。点击Download下载该日志文件。

8. 打开该日志文件，我们可以看到所有的流量请求记录，本次测试中“67.220.242.47”为我们模拟攻击IP。

9. 返回VPC服务主页，点击左侧栏中的“Network ACLs” VPC安全控制防火墙，选中我们VPC正在使用生效Network ACLs，再右侧的Edit Inbound Rules配置防火墙规则.

10. 点击“Add New Rule”，为ACLs添加入站规则。

11. 我们为该规则添加Number编号为10，流量类型为“All Traffic”所有流量，流量源头为“67.220.242.47/32”，防火墙对流量的操作为“Deny”阻止，最后点击保存。

12. 回到VPC flow log配置界面，将记录的流量类型从接收流量，改为被阻止流量请求“Reject”，更新该Flow log配置。

13. 我们再返回到存储VPC Flow Log的S3存储桶中，下载刚刚更新的Flow log日志。

14. 这里我们可以看到在我们更新ACLs网络控制防护墙后，来自异常访问的IP：“67.220.242.47/32”的所有请求均被阻止。

如何利用Python代码创建VPC Flow Log?

以下是使用 Python boto3 创建 VPC Flow Log，并将其日志保存在 S3 桶中的代码示例：

import boto3# 创建 boto3 客户端
ec2 = boto3.client('ec2')# 定义参数
vpc_id = 'vpc-0123456789abcdef0'  # 替换为你的 VPC ID
s3_bucket_name = 'my-flow-logs-bucket'  # 替换为你的 S3 桶名称
flow_log_name = 'MyVPCFlowLog'# 创建 VPC Flow Log 并将其保存到 S3
response = ec2.create_flow_logs(ResourceIds=[vpc_id],ResourceType='VPC',TrafficType='ALL',  # 可选值：ALL, ACCEPT, REJECTLogDestinationType='s3',LogDestination=f'arn:aws:s3:::{s3_bucket_name}',LogFormat='${version} ${resource-id} ${interface-id} ${account-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}',TagSpecifications=[{'ResourceType': 'vpc-flow-log','Tags': [{'Key': 'Name','Value': flow_log_name},]},]
)# 输出 Flow Log ID
flow_log_id = response['FlowLogIds'][0]
print(f"VPC Flow Log created successfully. Flow Log ID: {flow_log_id}")

代码解释：

创建 EC2 客户端：

使用 boto3.client('ec2') 创建 EC2 客户端以与 VPC 相关的资源进行交互。

参数定义：

vpc_id: 指定要创建 Flow Log 的 VPC ID。
s3_bucket_name: 指定用来存储 Flow Log 的 S3 桶名称。
flow_log_name: Flow Log 的名称标签。

create_flow_logs 方法：

ResourceIds: 指定要创建 Flow Log 的资源 ID，这里是 VPC ID。
ResourceType: 资源类型为 VPC。
TrafficType: 指定要记录的流量类型。ALL 记录所有流量，ACCEPT 只记录被接受的流量，REJECT 只记录被拒绝的流量。
LogDestinationType: 日志的目标类型为 S3。
LogDestination: 指定日志的目标为 S3 桶的 ARN。
LogFormat: 指定日志的格式，这里包括常见的日志字段。
TagSpecifications: 为 Flow Log 添加名称标签。

打印 Flow Log ID：

成功创建 Flow Log 后，返回 Flow Log 的 ID 并打印出来。