Category: Security, Identity, & Compliance

本博文是将 Heptio Authenticator 部署到 kops 的更新版本。Heptio Authenticator 已捐赠给 Kubernetes 特殊兴趣组 (SIG) AWS，以支持用户针对相关项目开展协作。现在，您可以使用 kops 原语在创建集群时自动部署 Authenticator，而无需进行手动配置。本博文描述了这一更新、更简单的流程。

文章宏观地描述了如何在 AWS 云中实现安全性。这直接呼应了 AWS 架构完善的框架和成千上万的客户成功案例。当您了解责任共担模式和每项服务的价值时，您就可以在 AWS 云中实现更好的安全性和更好地进行构建。

在 AWS，确保安全是我们的首要任务，因此我们建议客户在其应用程序的各层中实施安全控制。本文将通过要求管理员进行双重身份认证才能使用 SSH 连接，来为 EC2 实例增添一层身份验证安全保护。

新推出的 AWS Resource Access Manager (RAM) 可以方便 AWS 账户之间的资源共享。通过它可以在您的 AWS 组织内部共享资源，可以从控制台、CLI或通过一组 API 来使用。我们现已推出对 Route 53 解析器规则的支持（昨天已在 Shaun 的优秀博文中宣布）并且将很快支持更多资源类型。

对于云的安全性、合规性和成本管理解决方案而言，受欢迎的选择之一是 Cloud Custodian，一个由 Capital One 赞助的开源项目。Cloud Custodian 是灵活的规则引擎，采用简单的 YAML 配置文件写出政策，支持超过 130 种 AWS 资源类型。然而，因为 Cloud Custiodian 主要通过邮件通知或命令行输出以及云观察指标进行报告，所以缺乏带有搜索和过滤功能的统一视图对于拥有大型环境和多个账户的客户来说是一个痛点。

现在，这一痛点的处理方式是集成 Cloud Custodian，作为 AWS Security Hub 的结果提供商。新发布的 AWS Security Hub 提供了您在 AWS 中安全状态的全面视图，包括关于安全行业标准和最佳规范的合规性。Security Hub 搜集了关于 AWS 账户、服务和受支持第三方合作伙伴的安全数据，帮助分析安全趋势，识别最高优先度的安全问题。

入侵和异常检测是重要的安全工具，可提高在 Amazon EKS 集群上的容器中部署的应用程序的运行时安全性。在本博文中，来自 Sysdig 公司的 Michael Ducy 将会介绍 Falco（CNCF 沙盒项目）如何在检测到异常应用程序行为时发出提醒。然后配置 AWS Lambda 函数，将提醒消息传送到 Slack。

Application Load Balancer (ALB) 提供内置的身份验证功能。ALB 现在可以在用户访问应用程序时安全对其进行身份验证，开发人员不必再编写支持身份验证的代码，也不必承担从后端进行身份验证的责任了。我们的团队构建了一个非常精彩的演示示例，您可以利用该实例尝试身份验证功能。

大家在使用 AWS 过程中总会遇到一些问题。在此以 Q&A 形式，总结一些常见的架构和故障排查问题，希望有所帮助。如果有中国（北京和宁夏区域）特有的问题，会特别注明。

立即参加我们的讲座，了解有关 AWS 服务和解决方案的知识，本月特色主题包括 Amazon EMR、Amazon SageMaker、AWS Lambda、Amazon S3、Amazon WorkSpaces、Amazon EC2 Fleet 等等! 此外我们也将迎来“How to re:Invent”的第三波活动，与 AWS 培训和认证团队一起深入了解新手训练营、动手实验室，以及如何通过 re:Invent 取得 AWS 认证。立即注册! 我们期待与您相会。 请注意 — 所有讲座均免费呈献，并以太平洋时间为准。   本月的技术讲座有：   分析和大数据 2018 年 7 月 23 日 | 太平洋时间上午 11:00 – 中午 12:00 – 在 EMR 上使用 Spark 进行大规模机器学习 – 了解如何在 Amazon EMR 上进行大规模的机器学习。 2018 年 7 月 […]

欧盟通用数据保护条例 (GDPR) 规定了数据处理者和数据控制者的角色，一些客户和 AWS 合作伙伴网络 (APN) 合作伙伴也在询问这将如何影响建立已久的 AWS 责任共担模式。 我想借此机会，帮助大家理解我们和客户在 GDPR 背景下的共担责任。

AWS 责任共担模式在 GDPR 会如何变化？简单来说 — 它不会发生变化。AWS 负责保护支持云和所提供服务的底层基础设施，而作为数据控制者或数据处理者的客户和 APN 合作伙伴则负责保护其放入云中的任何个人数据。责任共担模式说明了 AWS 与客户以及 APN 合作伙伴所承担的不同责任，在 GDPR 下也执行同样的责任划分原则。