亚马逊AWS官方博客
VPC 端点的 AWS CloudTrail 网络活动事件现已正式推出
现在,我很高兴地宣布,AWS CloudTrail 中 Amazon Virtual Private Cloud(Amazon VPC)端点的网络活动事件已正式推出。此功能可帮助您记录并监控遍历您的 VPC 端点的 AWS API 活动,帮助您加强数据边界并实施更好的检测控制。
以前,很难检测到潜在的数据泄露企图以及通过 VPC 端点对网络内资源的未经授权的访问。虽然 VPC 端点策略可以配置为阻止来自外部账户的访问,但没有内置机制来记录被拒绝的操作或检测何时在 VPC 端点上使用外部凭证。这通常需要您构建自定义解决方案来检查并分析 TLS 流量,这可能会增加运营成本,并抵消加密通信的优势。
借助这项新功能,您现在可以选择记录通过 VPC 端点的所有 AWS API 活动。CloudTrail 将这些事件记录为一种称为网络活动事件的新事件类型,这些事件捕获通过 VPC 端点的控制面板和数据面板操作。
CloudTrail 中的网络活动事件提供了几个关键优势:
- 全面的可见性 – 记录遍历 VPC 端点的所有 API 活动,无论是哪个 AWS 账户启动操作。
- 外部凭证检测 – 识别组织外部的凭证何时访问您的 VPC 端点。
- 防止数据泄露 – 检测并调查潜在的未经授权的数据移动企图。
- 增强安全监控 – 无需解密 TLS 流量,即可深入了解 VPC 端点上的所有 AWS API 活动。
- 监管合规的可见性 – 通过跟踪所有通过的 API 活动,提高您满足监管要求的能力。
VPC 端点日志记录的网络活动事件入门
为了启用网络活动事件,我转到 AWS CloudTrail 控制台并在导航窗格中选择跟踪。我选择创建跟踪来创建新跟踪。我在跟踪名称字段中输入一个名称,然后选择一个 Amazon Simple Storage Service(Amazon S3)存储桶来存储事件日志。当我在 CloudTrail 中创建跟踪时,我可以指定现有的 Amazon S3 存储桶或创建一个新的存储桶来存储我的跟踪的事件日志。
如果您将日志文件 SSE-KMS 加密设置为已启用,则有两个选项:选择新建创建新的 AWS Key Management Service(AWS KMS)密钥,或选择现有选择现有的 KMS 密钥。如果您选择新建,则需要在 AWS KMS 别名字段中键入别名。CloudTrail 使用此 KMS 密钥加密您的日志文件并为您添加策略。KMS 密钥和 Amazon S3 必须位于同一 AWS 区域中。在本示例中,我使用现有的 KMS 密钥。我在 AWS KMS 别名字段中输入别名,将其余部分保留为本演示的默认值。我选择下一步进行下一步。
在选择日志事件步骤中,我在事件下选择网络活动事件。我从 AWS 服务列表中选择事件源,例如 cloudtrail.amazonaws.com、ec2.amazonaws.com、kms.amazonaws.com、s3.amazonaws.com 和 secretsmanager.amazonaws.com。我为这个演示添加了两个网络活动事件源。对于第一个源,我选择 ec2.amazonaws.com 选项。对于日志选择器模板,我可以将模板用于常见应用场景,也可以为特定场景创建精细的筛选条件。例如,要记录遍历 VPC 端点的所有 API 活动,我可以选择记录所有事件模板。我选择记录网络活动访问被拒绝事件模板来仅记录访问被拒绝的事件。或者,我可以在选择器名称字段中输入名称来识别日志选择器模板,例如包括 Amazon EC2 的网络活动事件。
再举第二个例子,我选择自定义在多个字段上创建自定义筛选条件,例如 eventName 和 vpcEndpointId。我可以指定特定的 VPC 端点 ID 或筛选结果,进而仅包括符合特定条件的 VPC 端点。对于高级事件选择器,我从字段下拉列表中选择 vpcEndpointId,选择等于作为操作员,然后输入 VPC 端点 ID。当我展开 JSON 视图时,我可以将我的事件选择器视为 JSON 块。我选择下一步,在查看选项后,我选择创建跟踪。
配置完成后,CloudTrail 将开始记录我的 VPC 端点的网络活动事件,帮助我分析这些数据并根据这些数据采取措施。要分析 AWS CloudTrail 网络活动事件,您可以使用 CloudTrail 控制台、AWS 命令行界面(AWS CLI)和 AWS SDK 来检索相关日志。您还可以使用 CloudTrail Lake 来捕获、存储和分析您的网络活动事件。如果您使用的是跟踪,则可以使用 Amazon Athena 根据特定标准查询和筛选这些事件。定期分析这些事件可以帮助您维护安全性、遵守法规并优化 AWS 中的网络基础设施。
现已推出
用于 VPC 端点日志记录的 CloudTrail 网络活动事件为您提供了一个强大的工具,可以增强您的安全状况、检测潜在威胁并更深入地了解您的 VPC 网络流量。此功能可满足您对 AWS 环境的全面可见性和控制的关键需求。
VPC 端点的网络活动事件适用于所有商业 AWS 区域。
有关定价信息,请访问 AWS CloudTrail 定价。
要开始使用 CloudTrail 网络活动事件,请访问 AWS CloudTrail。有关 CloudTrail 及其功能的更多信息,请参阅 AWS CloudTrail 文档。
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。