亚马逊AWS官方博客

Category: Security, Identity, & Compliance

如何快速构建跨多账号的云CMDB和安全基线检查方案

企业在上云过程中,面对大量云业务负载跨多个Organizations、多个账户,如何快速有效执行日常安全基线检查,通常会利用MSP和云管平台等来进行,但是对于没有接入上述平台的云端环境或需要进行快速、复杂查询的情况,本文我们将会介绍利用开源即时查询工具Steampipe在亚马逊云科技服务快速构建云端安全基线检查方案。

Read More

Amazon EC2 现在支持 NitroTPM 和 UEFI 安全启动

在计算领域,可信平台模块(TPM)专为提供基于硬件的安全相关功能而设计。TPM 芯片是一种安全的加密处理器,旨在执行加密操作。使用 TPM 技术有三大优势。首先,您可以生成、存储并控制对操作系统以外的加密密钥的访问。其次,您可以使用烧录了 TPM 唯一 RSA 密钥的 TPM 模块执行平台设备身份验证。最后,采取并存储有助于确保平台完整性的安全措施。 在 re: Invent 2021 期间,我们宣布将在未来推出 NitroTPM,这是一种基于 AWS Nitro 系统的虚拟 TPM 2.0 合规 TPM 模块,适用于您的 Amazon Elastic Compute Cloud(Amazon EC2) 实例。我们还宣布推出适用于 EC2 的统一可扩展固件接口(UEFI) Secure Boot。 我很高兴地宣布,您现在可以在中国以外的所有 AWS 区域(包括 AWS GovCloud(美国)区域)开始使用 NitroTPM 和 Secure Boot。 您可以使用 NitroTPM 将密钥(如磁盘加密密钥或 SSH 密钥)存储在 EC2 实例内存以外的位置,保护其免遭在实例上运行的应用程序的威胁。NitroTPM 利用 Nitro 系统的隔离和安全属性来确保只有实例可以访问这些密钥。它提供与物理或离散 TPM 相同的功能。NitroTPM […]

Read More

Amazon CodeGuru Reviewer 推出密钥检测器功能来识别硬编码的密钥并使用 AWS Secrets Manager 进行保护

Amazon CodeGuru 通过扫描和分析 Java 和 Python 应用程序来帮助提高代码质量并实现自动化的代码审查。CodeGuru Reviewer 可以检测代码中的潜在缺陷和错误。例如,它可就安全漏洞、资源泄漏、并发问题、错误输入验证以及偏离 AWS 最佳实践等问题提出改进建议。 最广为人知的一个安全实践是集中管理密码、API 密钥和一般凭证等密钥。与许多面临严格时间要求的其他开发人员一样,我经常会在管理和使用代码中的密钥方面走捷径,在本地开发过程中使用纯文本环境变量或将静态密钥进行硬编码,然后在无意中将它们提交。当然,我总是非常后悔,希望有一种自动化的方法来检测和保护我所有存储库中的这些密钥。 我很高兴地宣布 Amazon CodeGuru Reviewer 新推出密钥检测器功能,这是一种自动化的工具,可帮助开发人员检测源代码或配置文件中的密钥,例如密码、API 密钥、SSH 密钥和访问令牌。 这种新推出的检测器在代码审查过程中使用机器学习(ML)来识别硬编码的密钥,从而帮助您确保所有新代码在合并和部署之前未包含硬编码的密钥。除 Java 和 Python 代码之外,密钥检测器还可以扫描配置和文档文件。在补救措施方面,CodeGuru Reviewer 建议使用 AWS Secrets Manager 来保护密钥,这是一项托管式的服务,可让您安全并自动地存储、轮换、管理和检索凭证、API 密钥以及其他各种类型的密钥。 这项新功能包含在 CodeGuru Reviewer 服务中,无需额外付费,并支持常见的 API 提供商,例如 AWS、Atlassian、Datadog、Databricks、GitHub、Hubspot、Mailchimp、Salesforce、SendGrid、Shopify、Slack、Stripe、Tableau、Telegram 和 Twilio。完整列表详见此处。 密钥检测器操作演示 首先,我从 AWS Secrets Manager 控制台中选择 CodeGuru。此新的工作流允许我关联一个新的存储库并运行完整的存储库分析,目的是识别硬编码的密钥。 关联新存储库只需要几秒钟即可完成。我连接我的 GitHub 账户,然后选择一个名为 hawkcd 的存储库,其中包含了一些 Java、C#、JavaScript 和配置文件。 […]

Read More

AWS Control Tower 新增功能 – 区域拒绝和防护机制可帮助您满足数据驻留要求

许多客户(例如受到严格监管的行业和公共部门的客户)都希望能够控制其数据的存储和处理位置。AWS 已经提供了许多符合当地法律法规的工具和功能,但我们希望提供一种简化的方法,将数据驻留要求转化为可应用于单账户和多账户环境的控制措施。 从今天开始,您可以使用 AWS Control Tower 部署数据驻留预防和侦测控制(称为防护机制)。这些防护机制将通过 AWS Control Tower 构建和管理的服务控制策略(SCP)限制对 AWS API 的访问,从而防止在不需要的 AWS 区域预置资源。这样就无法在基础设施级别在所选区域之外创建或传输内容。在这种情况下,内容可以是托管在 AWS 上进行处理或存储的软件(包括机器映像)、数据、文本、音频、视频或图像。例如,德国的 AWS 客户可以拒绝访问法兰克福以外区域的 AWS 服务,但 AWS Identity and Access Management(IAM)和 AWS Organizations 等全球服务除外。 AWS Control Tower 还提供了防护机制,以进一步控制基础 AWS 服务选项中的数据驻留,例如,阻止 Amazon Simple Storage Service(Amazon S3)跨区域复制或阻止创建互联网网关。 用于管理 AWS Control Tower 的 AWS 账户不受新的区域拒绝设置的限制。如果您在启用区域拒绝之前在不需要的区域中存有数据,可以使用该账户进行修正。 侦测防护机制通过 AWS Config 规则实现,可以进一步检测不应允许的意外配置更改。 您仍然保留应用程序级别数据驻留的责任共担模式,但是这些控制措施可以帮助您限制基础设施和应用程序团队在 AWS 上可以执行的操作。 […]

Read More

新增功能 – Amazon VPC Network Access Analyzer

如果您是企业的联网、云运维或安全团队的成员,您一定会喜欢这项新功能。全新的 Amazon VPC Network Access Analyzer 可帮助您识别可能导致意外网络访问的网络配置。正如您稍后将看到的,该功能可以指出改进安保状况的方法,同时仍然让您和您的企业保持敏捷和灵活。与手动检查网络配置(容易出错且难以扩展)不同,此工具允许您分析任何规模和复杂度的 AWS 网络。 Network Access Analyzer 简介 Network Access Analyzer 利用我们的自动推理技术,该技术已经为 AWS IAM Access Analyzer、Amazon VPC Reachability Analyzer、Amazon Inspector Network Reachability 和其他可证明的安全工具提供了强大的支持。 这项新工具使用网络访问范围来指定 AWS 资源之间所需的连接。您可以从 Amazon 创建的一组范围开始,然后进行复制和自定义,也可从头开始创建自己的范围。这些范围是高级别的、独立于任何特定的网络架构或配置,可以视为一种语言,用于为您的网络指定适当的访问和连接级别。例如,您可以创建一个范围来验证是否所有 Web 应用程序在访问 Internet 资源时都使用了防火墙,或者指出财务团队使用的 AWS 资源与开发团队使用的资源是独立且不同的,并且无法访问。 要根据特定范围评估网络,请选择该范围并启动分析。运行几分钟后将生成一组结果,每个结果分别表示范围中定义的 AWS 资源之间的一条意外网络路径。您可以在短短几分钟内分析这些结果、调整配置或修改范围以响应这些结果,然后重新运行分析。 分析过程检查的 AWS 资源非常广泛,包括安全组、CIDR 块、前缀列表、弹性网络接口、EC2 实例、负载均衡器、VPC、VPC 子网、VPC 终端节点、VPC 终端节点服务、Transit Gateways、NAT 网关、互联网网关、VPN 网关、对等连接和 Network Firewall。您的范围可以使用 […]

Read More