Category: Security, Identity, & Compliance

使用 Teleport 在 AWS 构建高可用的云原生堡垒机，为 EC2，RDS，EKS，Redshift 等资源提供安全可控的远程连接和一致的运维体验

今天，我想介绍我们的一个合作伙伴创建打造的解决方案：由 Amazon 提供支持的 Sumo Logic Cloud SIEM。Sumo Logic Cloud SIEM 在多云和混合环境中提供深度安全分析和情境化威胁数据，以缩短检测和响应威胁的时间。您可以使用此解决方案来快速检测和响应优先级较高的问题，包括对您的业务或品牌造成负面影响的恶意活动。该解决方案提供 300 多项开箱即用的集成（包括主要 Amazon 服务），可以帮助减少针对 PCI 和 HIPAA 等法规进行合规性审查所需的时间和精力。

Amazon CodeGuru 让您可以自动进行代码审查并提高代码质量，并且得益于 4 月份推出的全新定价模式，您可以根据存储库的大小，以较低且固定的月费率开始使用（最多可节省 90% 的费用）。CodeGuru Reviewer 使用 Amazon Web Services管理控制台、Amazon Web Services 软件开发工具包和 Amazon CLI，帮助您检测在 Java 和 Python 应用程序中难以发现的潜在缺陷和错误。

本文将讨论一种替代方案，以便在 BJS 和 ZHY 实现类似 SCP 的功能。

前言 企业在 AWS 上构建自己的应用系统时，常常需要授权应用系统的最终用户直接访问 AWS 资源（例如：允许最终用户访问非公开权限的 Amazon S3 存储桶）。AWS 通过 Identity and Access Management (IAM)服务授权用户访问 AWS 资源。在面对最终用户时，企业可以选择 Amazon Cognito 结合 IAM从应用程序端控制 AWS 资源访问。这需要企业将 Amazon Cognito 与管理最终用户的身份提供商（IDP, Identity Provider）进行集成，以实现 AWS 资源访问控制[1]。 本文将会介绍一种基于 x.509 证书的认证方式，并结合 AWS Identity and Access Management (IAM) 服务完成对相关资源的授权。从实现角度上看，该方式具有如下特点： 无需与第三方 IDP 即成，实现简单； 无需预付费用，适合对成本敏感的企业； 基于 509 的认证方式，安全可靠   关于 AWS IoT 在 AWS 上，用户可以通过 AWS […]

根据 AWS Shield 威胁研究团队所做的研究，在进入典型 Web 应用程序的流量中，高达 51% 的流量来源于机器（也称为机器人程序）上运行的脚本。各种各样的机器人程序（有些是您想要的，而有些是您不需要的）正在冲击您的终端节点。 您想要的机器人程序正在锁定您的网站以进行索引，并使您的客户能够发现这些网站；而您不需要的机器人程序正在监控您网站的可用性或性能。然而，大部分的机器人程序流量是由您不需要的机器人程序生成的：脚本检测漏洞或者在未经您同意的情况下将您的内容复制到其他地方。除了安全风险外，为这些流量提供服务还会给您的基础设施带来不必要的压力和成本。 保护您的网站免受这些不必要流量的影响，既费时又容易出错。管理一组规则是非常复杂的，很有可能会拦截您需要的流量或者允许应该被拦截的流量入站。 介绍 AWS WAF Bot Control 今天，我们将给您介绍 AWS WAF Bot Control，它可以用来识别常见的机器人程序流量、提高对常见机器人流量的可见性并采取措施。AWS WAF Bot Control 已集成到 AWS Web Application Firewall 中，针对大型的企业用例，可以使用 AWS Firewall Manager 进行集中管理。 Bot Control 会分析请求元数据（例如，TLS 握手、HTTP 属性和 IP 地址），以识别机器人程序的来源和目的。它对机器人程序进行分类，如刮板、SEO、爬虫或网站监控器。 一旦 Bot Control 识别出机器人程序，您就可以拦截来自不需要的机器人程序的流量。您只需将默认操作作为您 WAF 配置的一部分以拦截不需要的机器人程序流量，或者您可以自定义配置。例如，您可以使用自定义响应功能，根据机器人程序标识来返回自定义响应，或者通过插入新的标题来标记请求。与 AWS WAF 集成后，您可以可视化进入您应用程序的机器人程序流量的范围，并通过 WAF 规则控制这些流量。 Bot Control 采用了我们如今添加到 AWS […]

在EC2实例数量多时，通过控制台使用CloudWatch为EC2实例添加告警会很不便。为了解决这个问题，我们为您提供此解决方案，让您可视化点选需要添加监控的实例，设置相应规则，并批量添加告警。

Amazon GuardDuty 是一项持续的安全监控服务，通过分析VPC流日志、AWSCloudTrail管理事件日志、CloudTrailS3数据事件日志和DNS日志来检测入侵信息。

本文将向您展示通过无服务器化的方式，将GuardDuty与ElasticSearch相结合，并使用Kibana可视化呈现GuardDuty的发现结果，使您能直观地对安全状况进行整体把控，以及有针对性地浏览、查询和统计不同维度的安全调查数据。

即日起，除了当前支持的一次性密码 (OTP) 和 Radius 身份验证器之外，您还可以将 WebAuthn 作为一种新的 Multi-Factor Authentication (MFA) 添加到 AWS Single Sign-On。添加对 WebAuthn（一种 W3C 规范，与 FIDO Alliance 协同开发）的支持后，您现在可以使用系统管理员预置的或笔记本电脑或智能手机中内置的各种可互操作的身份验证器进行身份验证。例如，您现在可以点击硬件安全密钥，触摸 Mac 上的指纹传感器，或使用移动设备或 PC 上的面部识别功能，在 AWS 管理控制台或 AWS 命令行界面 (CLI) 中进行身份验证。