亚马逊AWS官方博客
Category: Security, Identity, & Compliance
VPC 安全的十个最佳实践
10 best practivs on VPC Security.
Read MoreOkta 通用目录与 AWS 之间的单点登录
最近,我们宣布推出 AWS Single Sign-On 的新功能,从而使您可以将 AWS 身份与 Azure Active Directory 身份相关联。我们没有就此止步。今天,我们宣布将 AWS Single Sign-On 与 Okta 通用目录集成。
Read More基于 Permission Boundary 的多账号管理权限限定方法
在AWS云环境中,多账号管理最好的方法是采用AWS Control Tower和Organization。 而对于中国区的用户,在没有合适的原生服务可用时,也可以采取一些自开发的方法来部分满足需求。本文针对一个具体的案例-如何限制不同类型的管理员的权限,给出了解决方案,作者也希望借此能够为大家提供一种思路,以解决更多多账号管理中遇到的问题。在这个解决方案中,我们使用了IAM, Permission boundary, Lambda,CloudTrail, AWS Config, DynamoDB, SQS, CloudWath Event, CloudWatch Log 等AWS 服务。
Read More在 AWS 上构建安全的 Citrix 桌面云
本文介绍如何借助公有云原生的安全服务提升 Citrix 解决方案的安全防护能力。
Read More基于 Amazon GuardDuty 威胁级别的自动化通知
Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载.但很多时候管理员并没有对Amazon GuardDuty 的调查结果进行主动监测,导致出现严重风险时没有及时发现和响应,本文介绍了一种方法可以根据Amazon GuardDuty 报告的威胁级别通过电话和主动邮件的方式及时通知管理员,避免风险进一步扩大,让管理人员能够及时响应和处理。
Read More通过 STS Session Tags 来对 AWS 资源进行更灵活的权限控制
通过STS实现终端用户只能管理自己的S3文件的场景来介绍STS的Session Tags功能,通过STS Session Tags,让AWS的资源的权限管理更加灵活,可自定义化。本文只演示了S3资源,但实际生产中可将STS Session Tags应用于所有AWS资源。
Read MoreAmazon Detective – 快速安全性调查和分析
在 re:invent 2019 大会上,我们宣布推出 Amazon Detective 预览版。今天,我们欣然宣布此服务已对所有 AWS 客户开放。
Read MoreAWS Security JAM 服务之启动篇
AWS Security JAM服务是由AWS Professional Service 团队开发并向参与者提供的一项专业服务。AWS Security JAM能帮助众多AWS使用者,客户,参与者 通过JAM平台中的挑战,来学习100+家企业的实践经验。每个挑战可以理解为一个案例题目,深入体会每个挑战案例如何通过最小权限,最安全的方式完成挑战案例。
Read More“删库” 事件将引发快速构建低成本云安全灾备架构
删库”事件,不只一次发生,这次突发事件影响很大,影响的不只是6天144小时的服务暂停、10亿港币蒸发,约300万商户苦苦等待,还有SaaS信息系统重大突发事件处理经验和教训,以及企业对灾难备份重视。其实,类似事件时有发生是有原因的。按照海因里希安全法则,此类事件属于300∶29∶1法则中的1/330。这个1/330从信息系统的视角分析。这意味着:当一个企业的信息系统持续有300起安全隐患或违规问题,非常可能要发生29起轻度问题或故障事件,另外还有一起突发的重大信息系统事故。
Read More在 AWS 中国区对 Amazon Elasticsearch Kibana 进行身份认证的解决方案
Kibana 是一种流行的开源可视化工具,专为与 Elasticsearch 结合使用而设计。Amazon ES 为每个 Amazon ES 域默认安装 Kibana。目前ES内置的Kibana不支持IAM,对于Kibana的访问控制主要有两个方面:在VPC内访问可以通过安全组进行控制,在VPC外访问可以通过结合Amazon Cognito的UserPool和IdentityPool来进行身份验证或者使用基于IP的策略。
由于中国区目前还不支持Cognito UserPool,因此需要在VPC外进行公开访问只能通过基于IP的策略来进行控制。但无论在大型企业还是在小型创业公司,把每一个需要访问ES Kibana的员工的客户端IP加入ES 策略中都是很不合理的。因此我们可以用一个Nginx服务器作为中间代理,将这台Nginx的IP加入Kibana的访问策略中,客户端通过Nginx的反向代理来访问Kibana,而关于身份验证的部分在Nginx上实现。