客戶痛點：上海亮都商務(wù)信息咨詢有限公司的內(nèi)部生產(chǎn)系統(tǒng)均通過本地化的方式進行部署。

隨著時間推移，本地化部罷的系統(tǒng)運行于老舊的硬件資源上，使用周期過長，即使新購或重構(gòu)，

采用本地化部署的成本也比較大。在本次項目中，計劃將部分生產(chǎn)系統(tǒng)遷移到AWS云環(huán)境中，

以減輕本地硬件的運行負載，同時對AWS環(huán)境進行安全加固，以適應(yīng)安全合規(guī)的需要。

飛絡(luò)將客戶的架構(gòu)做了以下的優(yōu)化及調(diào)整：

1.停止使用根賬號，根據(jù)IAM最小權(quán)限原則定義不同的IAM用戶和組

2.使用AWS shield在互聯(lián)網(wǎng)入口處做DDoS流量清洗

3.新增Inbound VPC來管理所有的入向的流量，使用CloudFront結(jié)合WAF在web層做入站的防護，

  使用跳板機來訪問所有的內(nèi)部的服務(wù)器新增OutboundVPC來管理所有出向的流量，通過NAT網(wǎng)

  關(guān)確保內(nèi)部VPC對Internet的受限訪問。

4.新增共享服務(wù)VPC來集中管理AWS所有資源的日志，包括用于審計的CloudTrail日志

5.新增中轉(zhuǎn)VPC用于部署ATP，防病毒網(wǎng)關(guān)以及SoC平臺

6.新增GuardDuty，Inspector和Macie等安全加固服務(wù)