亚马逊AWS官方博客

Category: Security, Identity, & Compliance

AWS Shield Advanced 更新 – 自动应用程序层 DDoS 缓解

2016 年,我们启动了 AWS Shield,这是一种托管式的分布式拒绝服务 (DDoS) 保护服务,可保护在 AWS 上运行的应用程序。AWS Shield 提供了始终在线的检测和自动内联缓解,可最大程度地减少应用程序停机时间和延迟,而无需联系 AWS Support。 AWS Shield 分为两层:标准和高级。所有 AWS 客户都可免费享受 AWS Shield Standard 自动网络层保护的益处。AWS Shield Standard 可防御最常见、最频繁发生的网络和传输层(第 3 层和第 4 层)DDoS 攻击,以最大限度地提高 AWS 服务的可用性。 要针对应用程序受到的复杂(第 3 层到第 7 层)威胁提供定制防护,您可以订阅 AWS Shield Advanced。AWS Shield Advanced 可针对大型和复杂的 DDoS 攻击提供更敏感的检测和定制的缓解措施、对攻击近实时的可见性,并与 AWS WAF(用于防御第 7 层攻击的 Web 应用程序防火墙)集成。AWS Shield Advanced 还允许您全天候访问 AWS Shield […]

Read More

Amazon GuardDuty 增强了对 EC2 实例凭证泄露的检测

Amazon GuardDuty 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为,以保护您的 AWS 账户、工作负载和存储在 Amazon Simple Storage Service (Amazon S3) 中的数据。GuardDuty 以大量公共和 AWS 生成的数据源为信息来源,并在机器学习的支持下,分析数十亿个事件,以追踪趋势、模式和异常现象,将其作为可识别的问题迹象。只需单击一下即可启用,几分钟之内便可看到第一批结果。 今天,我们向 GuardDuty 增加了一项功能,可检测您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例凭证何时被另一个 AWS 账户使用。EC2 实例凭证是当 AWS Identity and Access Management (IAM) 角色附加到实例上时,通过 EC2 元数据服务向实例上运行的任何应用程序提供的临时凭证。 有哪些风险? 当您部署在 EC2 实例上的工作负载访问 AWS 服务时,它们会使用访问密钥、私有访问密钥和会话令牌。向工作负载传递访问密钥证书的安全机制是定义工作负载所需的权限,创建一个或多个具有这些权限的 IAM 策略,将策略附加到 IAM 角色,最后将角色附加到实例。 在附加了角色的 EC2 实例上运行的任何进程都可以通过调用 EC2 元数据服务来检索安全证书: curl 169.254.169.254/latest/meta-data/iam/security-credentials/role_name { […]

Read More

Amazon CodeGuru Reviewer 的新增功能 — 用于检测日志注入缺陷的检测器库和安全检测器

Amazon CodeGuru Reviewer 是一款开发工具,可检测代码中的安全漏洞,并提供智能建议以提高代码质量。例如,CodeGuru Reviewer 推出了适用于 Java 和 Python 代码的安全检测器,以识别十大开放 Web 应用程序安全项目(OWASP)类别中的安全风险,并遵循 AWS API 和常见加密库的安全最佳实践。在 re: Invent 大会上,CodeGuru Reviewer 推出了一个密钥检测器,用于识别硬编码密钥并提出补救建议,以利用 AWS Secrets Manager 来保障您的密钥的安全。这些功能可帮助您在部署之前发现并修复安全问题。 今天,我很高兴与大家分享 CodeGuru Reviewer 的两大新功能: 新 Detector Library 详细描述了 CodeGuru Reviewer 在查找可能存在的缺陷时所使用的检测器,并包含针对 Java 和 Python 的代码示例。 我们已推出新的安全检测器来检测 Java 和 Python 代码中的日志注入漏洞,这些漏洞类似于我们在此博文中提到的最近出现的 Apache Log4j 漏洞。 下面我来详细介绍下这些新功能。 使用 Detector Library 为帮助您更清晰地了解 CodeGuru Reviewer 使用哪些探测器来审查您的代码,我们在此共享一个 […]

Read More

在多账户场景下将 Amazon WAF 安全自动化解决方案与 Amazon Firewall Manager 结合使用

Amazon WAF安全自动化解决方案[1]可用于自动部署一系列Amazon WAF(Web应用程序防火墙) 规则。除了最基本的策略,这一解决方案还包含了通过对Amazon Application Load Balancer (ALB) 和WAF日志进行分析而自动生成的WAF策略,从而对Web应用程序的请求进行更精细的控制,自动化解决方案简化了Amazon WAF的配置过程,帮助用户更好地进行Web应用安全防护。

Read More

基于 IAM 权限边界的 SCP 替代方案

亚马逊云科技 Organizations 的 SCP 功能还未在中国区(北京区和宁夏区)上线。但是在众多企业级云上账户和安全设计中,SCP 仍然是企业安全部门需要衡量的一个重要且不可或缺的功能。本文将会详细介绍基于 IAM 权限边界(IAM Permission Boundary)设计的 SCP 替代方案的原理和实现

Read More