2.4 KiB
2.4 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Blast Radius | concept |
|
|
2026-05-15 |
Overview
Blast Radius(爆炸半径)是一个安全概念,描述在云基础设施中某个组件(如一个 AWS 账号)被攻破或出现故障时,其影响范围的大小。目标是最小化爆炸半径,确保单个组件的问题不会波及其他系统。
In AWS Multi-Account Architecture
在 AWS Landing Zone 多账号架构中,Blast Radius 控制是核心设计原则:
Without Blast Radius Control(高风险)
Workload Account A
↓ 直接互信
Workload Account B
风险:Account A 被攻破 → Account B 同时沦陷
With Blast Radius Control(推荐架构)
Workload Account A
↓ (受限)
[[Shared-Account]]
↓ (受限)
Workload Account B
风险:Account A 被攻破 → 仅影响与 Shared Account 的受限连接
Shared Account → Account B 的连接受独立角色控制
Key Mechanisms
| 机制 | 说明 |
|---|---|
| 独立账号隔离 | 每个 Workload 独立账号,无直接互信 |
| 最小权限角色 | TF-State-Bucket-Accessor 和 Cross-account-ECS-Deploy-Runner-Role 仅授予最小必要权限 |
| Assume Role 临时凭证 | 无长期凭证泄露风险 |
| 审计追踪 | CloudTrail 记录所有跨账号操作 |
Blast Radius vs. Blast Width
- Blast Radius:组件被攻破时的潜在影响范围
- Blast Width:跨账号直接信任连接的数量和密度
降低 Blast Radius 的策略:
- 减少账号间的直接信任关系
- 使用 Shared Account 作为唯一信任中介
- 实施最小权限原则
- 定期轮换 IAM 角色凭证
Relationships
- Shared-Account ← enables ← Blast-Radius-Control
- Cross-account-Terraform-Modules ← secures_via ← Blast-Radius
- Assume-Role ← minimizes ← Blast-Radius
- AWS-Landing-Zone ← designed_for ← Blast-Radius-Control
Related Concepts
- IAM-Policy:最小权限是控制 Blast Radius 的工具
- Cross-account-Terraform-Modules:Blast Radius 控制是该方案的核心安全价值
- Assume-Role:临时凭证机制是控制 Blast Radius 的关键技术