A.在VPC之間創(chuàng)建VPC對等連接。在實例上使用安全組，以允許來自允許調用微服務的安全組ID的流量。將網絡ACL應用到本地VPC并僅允許來自本地VPC和對等VPC的流量。在Amazon ECS中每個微服務的任務定義中，使用aws logs驅動程序指定日志配置。在Amazon CloudWatch Logs中，創(chuàng)建指標過濾器，并警告HTTP 403響應數量。當郵件數量超過安全團隊設置的閾值時，創(chuàng)建警報
B.確保沒有CIDR范圍重疊，并將虛擬專用網關（VG）附加到每個VPC在每個VGW之間提供IPsec隧道，并在路由表上啟用路由傳播。在每個服務上配置安全組，以允許其他賬戶上的VPC的CIDR范圍。啟用VPC流日志，并對被拒絕的流量使用Amazon CloudWatch Logs訂閱過濾器。創(chuàng)建IAM角色并允許安全團隊調用AssumeRole操作每個帳戶
C.通過使用運行在Amazon EC2上的第三方市場VPN設備，在VPN設備與該區(qū)域內每個VPC所連接的虛擬專用網關（VGW）之間動態(tài)路由的VPN連接來部署中轉VPC 調整網絡ACL，以僅允許來自本地VPC的流量。將安全組應用于微服務，以僅允許來自VPN設備的流量。在每個VPN設備上安裝awslogs代理，并配置日志以轉發(fā)到安全帳戶中的Amazon CloudWatch Logs，以供安全團隊訪問
D.為每個微服務創(chuàng)建一個網絡負載平衡器（NLB）。將NLB附加到Privatelink端點服務，并將將使用此服務的帳戶列入白名單。在使用者VPC中創(chuàng)建一個接口終結點，并關聯一個安全組，該安全組僅允許被授權調用生產者服務的服務的安全組ID在生產者服務上，為每個微服務創(chuàng)建安全組，并僅允許CIDR范圍允許的服務。在每個VPC上創(chuàng)建VPC流日志以捕獲將被傳遞到Amazon CloudWatch Logs組的拒絕流量。創(chuàng)建CloudWatch Logs訂閱，將日志數據流式傳輸到安全帳戶