亚马逊AWS官方博客

Category: Security, Identity, & Compliance

基于 Amazon Security Lake 打造统一日志分析平台 方案设计与实践

本方案介绍了 Amazon Security Lake 和第三方日志分析平台集成的方案。介绍了 Security Lake 使用到的相关云服务、支持的数据采集、支持的数据源、自定义数据和支持的外部数据订阅。并与 Splunk 集成方案的方案优势、挑战和适用场景,并给出了的部署方案的参考步骤和示例代码。

开启云端零信任架构之旅 – 基于 Cedar 开源语言编写和执行自定义授权策略

Cedar 是一款开源的策略描述语言和软件开发套件(SDK),可为您的应用程序编写和执行授权策略。开发人员能够使用 Cedar 执行细粒度的权限管理,例如图片共享软件中的单个图片,微服务集群中计算节点,以及自动化工作流系统中的单个组件等。您可以将细粒度授权定义为 Cedar 的策略,由应用程序调用 Cedar SDK 的授权引擎来获取授权。

EDR 守护云上主机安全

SaaS-EDR 是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。具备业界独有的高级威胁模块,通过自主研发的文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、阻断等主机安全能力。

如何通过 GuardDuty 和 Systems Manager 自动化地进行恶意文件处置

亚马逊云科技的 GuardDuty 产品可以自动检测 EC2 的恶意文件并进行告警,但不能自动处置。本博客通过监控 GuardDuty 对恶意文件检测而产生的 event 事件,通过 lambda 来触发 Systems Manager Run Command 来自动化处置改 EC2 上的恶意文件,并把处置的恶意文件保存在 S3 中、恶意文件的 profile 属性保存在 DDB 中,以便于后续如果需要可以进行恢复使用。

开启云端零信任架构之旅之无 VPN 安全连接部署实践

AWS Verified Access 是亚马逊云科技原生的零信任安全服务,提供了无需 VPN 的互联网安全访问能力,支持为企业应用程序提供精细访问权的配置能力,确保只有在满足安全的情况下才授予应用程序访问权。本文将详细介绍在零信任架构下,构建基于 AWS Verified Access 服务的用户端浏览器到服务端的无 VPN 安全通信的过程步骤。帮助企业用户理解云端零信任架构的具体技术实现。

云原生堡垒机助力运维安全

数据安全是企业数字资产安全治理的重中之重,目前云计算以及大数据技术的飞速发展,使得传统的IT环境分化出多种多样的场景,随着企业业务扩展,资产及人员分布也日益变得复杂,尤其是“企业上云”日渐成为主流趋势,会出现企业资产分布在混合云、异构云等场景。在这些背景下,企业面临“资产状况难梳理”、“资产权限难划分”、“运维过程不可控”、“数据安全难保证”等风险。因此安恒云堡垒机利用亚马逊云科技多项云原生服务,自动化部署云原生堡垒机,实现云上资产权限安全可控,帮助您全面监管运维行为,全方位审计运维操作。