主要观点：为 24 - 7 保障 AWS 资源免受不必要攻击，需组合使用 VPC、网络访问控制列表（NACLs）和安全组（SGs），AWS SGs 是云防火墙可保护应用和数据，有五个配置 AWS SGs 时不可忽视的最佳实践。
关键信息：

• 配置 AWS SGs 的五个最佳实践：

  • 确保 EC2 SGs 不开放大端口范围，如 Web 服务器只需开放 80 和 443 端口。
  • 明智使用 ELB 的 SGs 限制 EC2 访问互联网，用 ELB 接收互联网流量并转发给 EC2，限制 EC2 入站规则为 ELB SG。
  • 不保留未关联的安全组，限制修改仅针对特定角色，可通过浏览安全组列表删除未关联的 SGs，或使用自动化程序定期审计。
  • 不忽视 SGs 的出站规则，设置明确限制，如应用层的 SGs 仅允许连接到特定层。
  • 跟踪生产环境中 SGs 创建及端口开关的变化率，解析 AWS Cloud Trail 日志进行监测。
• SGs 单独不能减轻安全风险，需结合 VPC、NACLs，且多个仪表盘管理资源会耗费团队精力，TotalCloud 正在开发的“Security View”可直观展示资源关系及端口细节。
  重要细节：
• 常见错误是用户匆忙开放 0.0.0.0/0 范围的所有端口后忘记修复。
• 管理员可能误配置 SGs 或其他 IAM 角色可修改 SGs 导致风险增加。
• 默认 AWS SG 无入站规则，出站端口对互联网开放，应用层的 SGs 应限制出站连接。
• 可使用 Puppet、Chef、RunDesk 等工具结合 AWS 自动化安全审计，但多个仪表盘管理复杂。