亚马逊AWS官方博客

Category: Security, Identity, & Compliance*

悬在云计算头上的达摩克利斯之剑 – 对于Meltdown 、Spectre事件的进展与思考

一步IT的历史简直就是一部“墙头变幻大王旗”的传奇小说。若论起来近40年来始终屹立不倒、笑傲江湖的企业,Intel 当属其中之一。在那本《硅谷百年史》书中,就不吝笔墨的描写了“仙童的叛徒“戈登.摩尔、罗伯特.诺伊斯以及安迪.格鲁夫创业的传奇故事。从1978年推出的8086处理器到今天握有x86处理器80%的市场份额,这一份骄傲何人能及?

电影《蜘蛛侠》里面有一句经典台词“With great power comes great responsibility“。但这一次,Intel 却因为自己的傲慢与失误让我们记住了这两个关于CPU的硬件漏洞Meltdown 、Spectre,也让我们不得不重新审视一下这个老而弥新的话题 – 云安全。

Read More

AWS Organizations —— 管理众多账号再也不是难题

AWS Organizations简述 AWS Organizations 可为多个 AWS 账户提供基于策略的管理。借助 AWS Organizations,您可以创建账户组,然后将策略应用于这些组。Organizations 支持您针对多个账户集中管理策略,无需使用自定义脚本和手动操作流程。 使用 AWS Organizations,您可以创建服务控制策略 (SCP),从而集中控制多个 AWS 账户对 AWS 服务的使用。Organizations 支持您通过 包括API,SDK和Console界面创建新账户。Organizations 还有助于简化多个账户的计费模式,即您可以通过整合账单(Consolidated Billing)为您组织中的所有账户设置一种付费方式。所有 AWS 客户都可以使用 AWS Organizations,且无需额外付费。要注意的是任意的AWS账户只能存在一个Organization中。 AWS Organizations关键性概念 在正式接触AWS Organizations之前我们必须要先弄清楚其中的关键性名词和概念 Organization – 组织 组织是指一系列AWS账户,您可以将其整理为一个层次结构并进行集中式管理 AWS account – 账户 AWS账户是您AWS资源的容器,例如: Amazon S3 存储桶、 Amazon EC2 实例等 通过AWS Identity and Access Management (IAM) 规则  (users, roles) 管理AWS资源 AWS […]

Read More

Amazon GuardDuty – 持续安全监控和威胁检测

您的 IT 基础设施 (AWS 账户和凭证、AWS 资源、来宾操作系统和应用程序) 面临着各色各样、不同规模的威胁!网络世界可能是一个各种危险暗流涌动的地方,我们希望确保您拥有正确的工具和知识并制定适当的远景,保证您的 IT 基础设施安全无虞。 Amazon GuardDuty 应运而生。通过各种公开的和 AWS 生成的数据源,在机器学习的大力支持下,GuardDuty 分析了数十亿个事件,追踪趋势、模式和异常,在其中识别暗藏潜在风险的蛛丝马迹。您可以通过一次单击来启用它,并在数分钟内即可查看前几项结果。 工作原理 GuardDuty 处理能力强大,可使用多个数据流,其中包括多个威胁情报源,保持对恶意 IP 地址和生僻域的了解;更重要的是,它会学习如何准确地识别 AWS 账户中恶意或未经授权的行为。结合从您的 VPC Flow Logs、AWS CloudTrail Event Logs 和 DNS 日志中收集的信息,GuardDuty 能够检测许多不同类型的危险和有害行为,包括探测已知漏洞、端口扫描和探测,以及来自不寻常位置的访问。在 AWS 方面,它会查找可疑的 AWS 账户活动,例如未经授权的部署、异常的 CloudTrail 活动、AWS API 函数访问模式以及超出多个服务限制的尝试。GuardDuty 还将查找与恶意实体或服务进行通信的受损 EC2 实例、数据泄漏尝试以及正在进行加密货币挖矿的实例。 GuardDuty 完全在 AWS 基础设施上运行,不会影响工作负载的性能或可靠性。您不需要安装或管理任何代理、传感器或网络设备。这个纯净的零占用空间模型应该对您的安全团队有很大吸引力,可以让他们不假思索地批准在所有 AWS 账户中使用 GuardDuty。 结果按照三个级别 (低、中或高) 之一呈现给您,并附有详细的证据和修复建议。这些结果还作为 Amazon CloudWatch […]

Read More