亚马逊AWS官方博客

Category: Security, Identity, & Compliance

关于 GDPR 初创公司应该了解些什么?

无论是仅创办公司还是迁移现有存储或应用程序,网络安全、速度和可扩展性问题都是每家公司检查清单上的首要问题。现在,隐私和“数据保护”(这是欧洲对此领域的称谓)也成为首要问题。

首先,隐私和数据保护对任何企业的成功都至关重要,如果它还不是您考虑的重中之重,那么您应当如此考虑。欧洲联盟的通用数据保护条例 (GDPR) 是近 20 年来数据隐私和保护法律领域最大的变化。它提出了多项重要的要求,每家企业都应当了解下列有关 GDPR 的事实

Read More

AWS 如何帮助客户及 APN 合作伙伴推进 GDPR 合规进程?

鉴于 Amazon Web Services (AWS) 已经宣布所有 AWS 服务均 符合通用数据保护条例 (GDPR) 的要求,我们想借此机会介绍一些 AWS 可以帮助您履行合规要求的方式。GDPR 保护欧洲联盟数据主体的基本隐私和个人数据保护权利。它引入了强有力的要求,将提高和统一数据保护、安全性和合规性标准。在此博文中,我们将介绍 AWS 通过 AWS 合作伙伴网络 (APN)、 AWS Premium Support 和 AWS 专业服务等部门提供的支持。我们将解释这些团队如何携手欧洲及全球的客户以及 APN 合作伙伴,以支持他们有关 GDPR 和 AWS 的问题。

Read More

怎样利用 AWS Config 监控和响应 Amazon Simple Storage Service (S3) 允许公开读写访问权限

AWS Config 支持持续监控 AWS 资源,简化评估、审核以及记录资源配置和变化的过程。为此,AWS Config 使用一系列规则来定义 AWS 资源所需的配置状态。AWS Config 提供多种 AWS 托管规则来解决各种安全问题,例如,检查您是否已将 Amazon Elastic Block Store (Amazon EBS) 卷加密,是否已正确标记资源,以及是否为根账户启用了 Multi-Factor Authentication (MFA)。您还可以使用 AWS Lambda 函数创建自定义规则,以编写整理您的合规性需求。

在本文中,我们将向您展示如何使用 AWS Config 监控 Amazon Simple Storage Service (S3) 存储桶 ACL 和策略,确定是否存在允许公开读写访问权限的违规行为。

Read More

使用 AWS Systems Manager 和 AWS Lambda 实现跨账户的共享服务调用

在大型企业的云环境中,为了满足IT系统的合规性要求和安全性要求,通常需要采用多账户的架构以实现不同业务部门之间的资源隔离和权限控制。除了两种基于私有网络打通的方案之外,AWS专业服务咨询顾问寇欣在本文中为您详解第三种基于API的跨账户共享服务访问方式。

Read More

成功秘诀:企业应对欧盟 GDPR《一般数据保护法案》的8点经验总结

安全是 AWS 服务客户的第一要务!从 AWS 诞生开始,我们就已经将安全性融入了我们的服务中。随着欧盟《一般数据保护法案》,即 GDPR 的推出(于2018年5月25日正式生效),隐私和数据保护更加深入到我们以安全为中心的文化之中。上个月(远早于最终生效日期前),我们已经宣布所有的 AWS 服务都已满足 GDPR 的要求,这也就意味着您可以使用 AWS 作为数据处理者(Processor)来帮助应对您在 GDPR 上面临的挑战(请务必访问我们的 GDPR 合规页面以获取更多信息)。

Read More

悬在云计算头上的达摩克利斯之剑 – 对于Meltdown 、Spectre事件的进展与思考

一步IT的历史简直就是一部“墙头变幻大王旗”的传奇小说。若论起来近40年来始终屹立不倒、笑傲江湖的企业,Intel 当属其中之一。在那本《硅谷百年史》书中,就不吝笔墨的描写了“仙童的叛徒“戈登.摩尔、罗伯特.诺伊斯以及安迪.格鲁夫创业的传奇故事。从1978年推出的8086处理器到今天握有x86处理器80%的市场份额,这一份骄傲何人能及?

电影《蜘蛛侠》里面有一句经典台词“With great power comes great responsibility“。但这一次,Intel 却因为自己的傲慢与失误让我们记住了这两个关于CPU的硬件漏洞Meltdown 、Spectre,也让我们不得不重新审视一下这个老而弥新的话题 – 云安全。

Read More

AWS Organizations —— 管理众多账号再也不是难题

AWS Organizations简述 AWS Organizations 可为多个 AWS 账户提供基于策略的管理。借助 AWS Organizations,您可以创建账户组,然后将策略应用于这些组。Organizations 支持您针对多个账户集中管理策略,无需使用自定义脚本和手动操作流程。 使用 AWS Organizations,您可以创建服务控制策略 (SCP),从而集中控制多个 AWS 账户对 AWS 服务的使用。Organizations 支持您通过 包括API,SDK和Console界面创建新账户。Organizations 还有助于简化多个账户的计费模式,即您可以通过整合账单(Consolidated Billing)为您组织中的所有账户设置一种付费方式。所有 AWS 客户都可以使用 AWS Organizations,且无需额外付费。要注意的是任意的AWS账户只能存在一个Organization中。 AWS Organizations关键性概念 在正式接触AWS Organizations之前我们必须要先弄清楚其中的关键性名词和概念 Organization – 组织 组织是指一系列AWS账户,您可以将其整理为一个层次结构并进行集中式管理 AWS account – 账户 AWS账户是您AWS资源的容器,例如: Amazon S3 存储桶、 Amazon EC2 实例等 通过AWS Identity and Access Management (IAM) 规则  (users, roles) 管理AWS资源 AWS […]

Read More

Amazon GuardDuty – 持续安全监控和威胁检测

您的 IT 基础设施 (AWS 账户和凭证、AWS 资源、来宾操作系统和应用程序) 面临着各色各样、不同规模的威胁!网络世界可能是一个各种危险暗流涌动的地方,我们希望确保您拥有正确的工具和知识并制定适当的远景,保证您的 IT 基础设施安全无虞。 Amazon GuardDuty 应运而生。通过各种公开的和 AWS 生成的数据源,在机器学习的大力支持下,GuardDuty 分析了数十亿个事件,追踪趋势、模式和异常,在其中识别暗藏潜在风险的蛛丝马迹。您可以通过一次单击来启用它,并在数分钟内即可查看前几项结果。 工作原理 GuardDuty 处理能力强大,可使用多个数据流,其中包括多个威胁情报源,保持对恶意 IP 地址和生僻域的了解;更重要的是,它会学习如何准确地识别 AWS 账户中恶意或未经授权的行为。结合从您的 VPC Flow Logs、AWS CloudTrail Event Logs 和 DNS 日志中收集的信息,GuardDuty 能够检测许多不同类型的危险和有害行为,包括探测已知漏洞、端口扫描和探测,以及来自不寻常位置的访问。在 AWS 方面,它会查找可疑的 AWS 账户活动,例如未经授权的部署、异常的 CloudTrail 活动、AWS API 函数访问模式以及超出多个服务限制的尝试。GuardDuty 还将查找与恶意实体或服务进行通信的受损 EC2 实例、数据泄漏尝试以及正在进行加密货币挖矿的实例。 GuardDuty 完全在 AWS 基础设施上运行,不会影响工作负载的性能或可靠性。您不需要安装或管理任何代理、传感器或网络设备。这个纯净的零占用空间模型应该对您的安全团队有很大吸引力,可以让他们不假思索地批准在所有 AWS 账户中使用 GuardDuty。 结果按照三个级别 (低、中或高) 之一呈现给您,并附有详细的证据和修复建议。这些结果还作为 Amazon CloudWatch […]

Read More