Category: Security, Identity, & Compliance

本文主要介绍了基于 Amazon Systems Manager Session Manager 的堡垒机的设计和实现，并通过 IaC 自动化方式构建和部署云上堡垒机，同时基于堡垒机的使用场景进行了举例，介绍了不同场景下堡垒机的使用方法和步骤。

通过使用符合 FIPS 140-2 Level 3 标准、PCI-DSS 合规要求的 CloudHSM，为用户传输中的 TLS 加密数据分载方案。

亚马逊云科技的 GuardDuty 产品可以自动检测 EC2 的恶意文件并进行告警，但不能自动处置。本博客通过监控 GuardDuty 对恶意文件检测而产生的 event 事件，通过 lambda 来触发 Systems Manager Run Command 来自动化处置改 EC2 上的恶意文件，并把处置的恶意文件保存在 S3 中、恶意文件的 profile 属性保存在 DDB 中，以便于后续如果需要可以进行恢复使用。

AWS Verified Access 是亚马逊云科技原生的零信任安全服务，提供了无需 VPN 的互联网安全访问能力，支持为企业应用程序提供精细访问权的配置能力，确保只有在满足安全的情况下才授予应用程序访问权。本文将详细介绍在零信任架构下，构建基于 AWS Verified Access 服务的用户端浏览器到服务端的无 VPN 安全通信的过程步骤。帮助企业用户理解云端零信任架构的具体技术实现。

数据安全是企业数字资产安全治理的重中之重，目前云计算以及大数据技术的飞速发展，使得传统的IT环境分化出多种多样的场景，随着企业业务扩展，资产及人员分布也日益变得复杂，尤其是“企业上云”日渐成为主流趋势，会出现企业资产分布在混合云、异构云等场景。在这些背景下，企业面临“资产状况难梳理”、“资产权限难划分”、“运维过程不可控”、“数据安全难保证”等风险。因此安恒云堡垒机利用亚马逊云科技多项云原生服务，自动化部署云原生堡垒机，实现云上资产权限安全可控，帮助您全面监管运维行为，全方位审计运维操作。

传统情况下，云上部署的第三方防火墙只能控制互联网方向或者 VPC 层面的流量，无法控制子网级别或者 EC2 之间的访问。一旦 EC2 被入侵或者植入病毒，又没有及时进行隔离，则很有可能波及同子网或同 VPC 的其他 EC2。通过本文您将了解到，如何使用与亚马逊云科技服务深度集成的 FortiGate 遇到此情况时可采取的操作：通过 Amazon Lambda 修改 EC2 的安全组实现免装 Agent 的 EC2“微隔离”，以免 EC2 中病毒或被控制后影响其他 EC2。

很多企业希望通企业自己的 IDP 以 SSO 方式登录 Amazon Web Services Console。IdP 产品有很多，具体的配置方式会有差异，但大致步骤是类似的。Keycloak 是一个被广泛使用的开源 IdP 产品，此文章介绍如何实现 Keycloak 与 Amazon Web Services Console 基于 SAML 协议的 SSO 集成。

本文主要介绍了如何利用亚马逊云科技 Amazon Connect 的电话外呼功能，结合 Amazon SQS，Amazon DynamoDB，AWS Lambda 这三种无服务器服务，构建低成本，高可用的电话告警系统。

Amazon API Gateway 是亚马逊云科技提供的托管的 API 网关服务，为提升安全性，可采取三种常见方式进行安全防护，本文介绍了这三种方式的配置方法。

本文从基础概念上面梳理了零信任网络的主要特征，以及概括了亚马逊云科技助力企业用户在云端适用零信任架构时，可以用于快速构建的多项安全相关的云服务，包括了亚马逊云科技最新发布的零信任原生服务和统一策略描述语言 Cedar。