Category: Security, Identity, & Compliance

本文将讨论一种替代方案，以便在 BJS 和 ZHY 实现类似 SCP 的功能。

前言 企业在 AWS 上构建自己的应用系统时，常常需要授权应用系统的最终用户直接访问 AWS 资源（例如：允许最终用户访问非公开权限的 Amazon S3 存储桶）。AWS 通过 Identity and Access Management (IAM)服务授权用户访问 AWS 资源。在面对最终用户时，企业可以选择 Amazon Cognito 结合 IAM从应用程序端控制 AWS 资源访问。这需要企业将 Amazon Cognito 与管理最终用户的身份提供商（IDP, Identity Provider）进行集成，以实现 AWS 资源访问控制[1]。 本文将会介绍一种基于 x.509 证书的认证方式，并结合 AWS Identity and Access Management (IAM) 服务完成对相关资源的授权。从实现角度上看，该方式具有如下特点： 无需与第三方 IDP 即成，实现简单； 无需预付费用，适合对成本敏感的企业； 基于 509 的认证方式，安全可靠   关于 AWS IoT 在 AWS 上，用户可以通过 AWS […]

根据 AWS Shield 威胁研究团队所做的研究，在进入典型 Web 应用程序的流量中，高达 51% 的流量来源于机器（也称为机器人程序）上运行的脚本。各种各样的机器人程序（有些是您想要的，而有些是您不需要的）正在冲击您的终端节点。 您想要的机器人程序正在锁定您的网站以进行索引，并使您的客户能够发现这些网站；而您不需要的机器人程序正在监控您网站的可用性或性能。然而，大部分的机器人程序流量是由您不需要的机器人程序生成的：脚本检测漏洞或者在未经您同意的情况下将您的内容复制到其他地方。除了安全风险外，为这些流量提供服务还会给您的基础设施带来不必要的压力和成本。 保护您的网站免受这些不必要流量的影响，既费时又容易出错。管理一组规则是非常复杂的，很有可能会拦截您需要的流量或者允许应该被拦截的流量入站。 介绍 AWS WAF Bot Control 今天，我们将给您介绍 AWS WAF Bot Control，它可以用来识别常见的机器人程序流量、提高对常见机器人流量的可见性并采取措施。AWS WAF Bot Control 已集成到 AWS Web Application Firewall 中，针对大型的企业用例，可以使用 AWS Firewall Manager 进行集中管理。 Bot Control 会分析请求元数据（例如，TLS 握手、HTTP 属性和 IP 地址），以识别机器人程序的来源和目的。它对机器人程序进行分类，如刮板、SEO、爬虫或网站监控器。 一旦 Bot Control 识别出机器人程序，您就可以拦截来自不需要的机器人程序的流量。您只需将默认操作作为您 WAF 配置的一部分以拦截不需要的机器人程序流量，或者您可以自定义配置。例如，您可以使用自定义响应功能，根据机器人程序标识来返回自定义响应，或者通过插入新的标题来标记请求。与 AWS WAF 集成后，您可以可视化进入您应用程序的机器人程序流量的范围，并通过 WAF 规则控制这些流量。 Bot Control 采用了我们如今添加到 AWS […]

在EC2实例数量多时，通过控制台使用CloudWatch为EC2实例添加告警会很不便。为了解决这个问题，我们为您提供此解决方案，让您可视化点选需要添加监控的实例，设置相应规则，并批量添加告警。

Amazon GuardDuty 是一项持续的安全监控服务，通过分析VPC流日志、AWSCloudTrail管理事件日志、CloudTrailS3数据事件日志和DNS日志来检测入侵信息。

本文将向您展示通过无服务器化的方式，将GuardDuty与ElasticSearch相结合，并使用Kibana可视化呈现GuardDuty的发现结果，使您能直观地对安全状况进行整体把控，以及有针对性地浏览、查询和统计不同维度的安全调查数据。

即日起，除了当前支持的一次性密码 (OTP) 和 Radius 身份验证器之外，您还可以将 WebAuthn 作为一种新的 Multi-Factor Authentication (MFA) 添加到 AWS Single Sign-On。添加对 WebAuthn（一种 W3C 规范，与 FIDO Alliance 协同开发）的支持后，您现在可以使用系统管理员预置的或笔记本电脑或智能手机中内置的各种可互操作的身份验证器进行身份验证。例如，您现在可以点击硬件安全密钥，触摸 Mac 上的指纹传感器，或使用移动设备或 PC 上的面部识别功能，在 AWS 管理控制台或 AWS 命令行界面 (CLI) 中进行身份验证。

从今天开始，当员工使用 AWS Single Sign-On 登录到云时，您可以在 AWS 会话中传递用户属性。这让您不仅能够利用 AWS Single Sign-On 和 ABAC 的集中账户访问管理功能，而且还可以灵活地将 AWS SSO、Active Directory 或外部身份提供商作为您的身份来源使用。要了解更多有关在 AWS 上使用 ABAC 策略的优势的信息，请参阅我之前有关此主题的博客文章。

为了让更多的 AWS 用户能够方便地分析系统的安全情况，大中华区企业支持团队根据与企业客户协作的实际经验，创建了基于Elasticsearch的WAF日志分析系统方案。

我们的客户构建为生活在世界各地的用户提供服务所需的应用程序。我们在聆听客户的意见时，得知尽管客户习惯在 AWS 上构建 Active Directory (AD) 感知应用程序，但对他们而言，在全球范围内运行可能是一个真正的挑战。