Category: Security, Identity, & Compliance

Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载.但很多时候管理员并没有对Amazon GuardDuty 的调查结果进行主动监测,导致出现严重风险时没有及时发现和响应,本文介绍了一种方法可以根据Amazon GuardDuty 报告的威胁级别通过电话和主动邮件的方式及时通知管理员,避免风险进一步扩大,让管理人员能够及时响应和处理。

通过STS实现终端用户只能管理自己的S3文件的场景来介绍STS的Session Tags功能，通过STS Session Tags，让AWS的资源的权限管理更加灵活，可自定义化。本文只演示了S3资源，但实际生产中可将STS Session Tags应用于所有AWS资源。

在 re:invent 2019 大会上，我们宣布推出 Amazon Detective 预览版。今天，我们欣然宣布此服务已对所有 AWS 客户开放。

AWS Security JAM服务是由AWS Professional Service 团队开发并向参与者提供的一项专业服务。AWS Security JAM能帮助众多AWS使用者，客户，参与者 通过JAM平台中的挑战，来学习100+家企业的实践经验。每个挑战可以理解为一个案例题目，深入体会每个挑战案例如何通过最小权限，最安全的方式完成挑战案例。

删库”事件，不只一次发生，这次突发事件影响很大，影响的不只是6天144小时的服务暂停、10亿港币蒸发，约300万商户苦苦等待，还有SaaS信息系统重大突发事件处理经验和教训，以及企业对灾难备份重视。其实，类似事件时有发生是有原因的。按照海因里希安全法则，此类事件属于300∶29∶1法则中的1/330。这个1/330从信息系统的视角分析。这意味着：当一个企业的信息系统持续有300起安全隐患或违规问题，非常可能要发生29起轻度问题或故障事件，另外还有一起突发的重大信息系统事故。

Kibana 是一种流行的开源可视化工具，专为与 Elasticsearch 结合使用而设计。Amazon ES 为每个 Amazon ES 域默认安装 Kibana。目前ES内置的Kibana不支持IAM，对于Kibana的访问控制主要有两个方面：在VPC内访问可以通过安全组进行控制，在VPC外访问可以通过结合Amazon Cognito的UserPool和IdentityPool来进行身份验证或者使用基于IP的策略。
由于中国区目前还不支持Cognito UserPool，因此需要在VPC外进行公开访问只能通过基于IP的策略来进行控制。但无论在大型企业还是在小型创业公司，把每一个需要访问ES Kibana的员工的客户端IP加入ES 策略中都是很不合理的。因此我们可以用一个Nginx服务器作为中间代理，将这台Nginx的IP加入Kibana的访问策略中，客户端通过Nginx的反向代理来访问Kibana，而关于身份验证的部分在Nginx上实现。

今天，我们简化了 CloudFormation StackSets 集功能的使用，让客户能够轻松借助 AWS Organizations 管理多个账户。
现在，您可以跨多个 AWS 账户和区域集中编排任何启用了 AWS CloudFormation 的服务。

我们很高兴地宣布，我们将在 Amazon Elasticsearch Service 上推出新的 Open Distro for Elasticsearch 安全功能。Amazon Elasticsearch Service 经常用于敏感的企业工作负载，今天发布的新内容将增加多项功能，让您可以更严格地控制自己的数据。新功能包括使用角色来定义针对索引、文档和字段的精细权限，以及使用只读视图和租户级控制面板与图表扩展 Kibana 的功能。

对于关键的业务系统，一般都会需要考虑部署灾备方案。在设计灾备方案的时候，对于加密的资料，如何能够在另外的区域使用？密钥如何管理？采用了KMS加密的方案，如何实施灾备呢？针对这些问题，区分服务器端加密和客户端加密两种方式，本文提供了相应的解决方案建议。

今天，我要跟大家分享我最喜欢的一种公告。也就是说，能为几乎所有基于 AWS 构建产品或服务的人带来更可靠的安全性，并且几乎无需任何配置就能启用，不会产生任何使用费用。我们将推出一项同类首创的新功能，称为 AWS Identity and Access Management (IAM) Access Analyzer。IAM Access Analyzer 从数学角度分析附加到资源的访问权限控制策略，并确定可以公开或者通过其他账户访问哪些资源。它会持续监控 Amazon Simple Storage Service (S3) 存储桶、IAM 角色、AWS Key Management Service (KMS) 密钥、AWS Lambda 函数和 Amazon Simple Queue Service (SQS) 队列的所有策略。使用 IAM Access Analyzer，您可以查看访问权限控制的整体影响，从而确信自己的资源受到妥善保护，不会受到来自账户外部的意外访问。