Category: Security, Identity, & Compliance

10 best practivs on VPC Security.

最近，我们宣布推出 AWS Single Sign-On 的新功能，从而使您可以将 AWS 身份与 Azure Active Directory 身份相关联。我们没有就此止步。今天，我们宣布将 AWS Single Sign-On 与 Okta 通用目录集成。

在AWS云环境中，多账号管理最好的方法是采用AWS Control Tower和Organization。 而对于中国区的用户，在没有合适的原生服务可用时，也可以采取一些自开发的方法来部分满足需求。本文针对一个具体的案例-如何限制不同类型的管理员的权限，给出了解决方案，作者也希望借此能够为大家提供一种思路，以解决更多多账号管理中遇到的问题。在这个解决方案中，我们使用了IAM, Permission boundary, Lambda，CloudTrail, AWS Config, DynamoDB, SQS, CloudWath Event, CloudWatch Log 等AWS 服务。

本文介绍如何借助公有云原生的安全服务提升 Citrix 解决方案的安全防护能力。

Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载.但很多时候管理员并没有对Amazon GuardDuty 的调查结果进行主动监测,导致出现严重风险时没有及时发现和响应,本文介绍了一种方法可以根据Amazon GuardDuty 报告的威胁级别通过电话和主动邮件的方式及时通知管理员,避免风险进一步扩大,让管理人员能够及时响应和处理。

通过STS实现终端用户只能管理自己的S3文件的场景来介绍STS的Session Tags功能，通过STS Session Tags，让AWS的资源的权限管理更加灵活，可自定义化。本文只演示了S3资源，但实际生产中可将STS Session Tags应用于所有AWS资源。

在 re:invent 2019 大会上，我们宣布推出 Amazon Detective 预览版。今天，我们欣然宣布此服务已对所有 AWS 客户开放。

AWS Security JAM服务是由AWS Professional Service 团队开发并向参与者提供的一项专业服务。AWS Security JAM能帮助众多AWS使用者，客户，参与者 通过JAM平台中的挑战，来学习100+家企业的实践经验。每个挑战可以理解为一个案例题目，深入体会每个挑战案例如何通过最小权限，最安全的方式完成挑战案例。

删库”事件，不只一次发生，这次突发事件影响很大，影响的不只是6天144小时的服务暂停、10亿港币蒸发，约300万商户苦苦等待，还有SaaS信息系统重大突发事件处理经验和教训，以及企业对灾难备份重视。其实，类似事件时有发生是有原因的。按照海因里希安全法则，此类事件属于300∶29∶1法则中的1/330。这个1/330从信息系统的视角分析。这意味着：当一个企业的信息系统持续有300起安全隐患或违规问题，非常可能要发生29起轻度问题或故障事件，另外还有一起突发的重大信息系统事故。

Kibana 是一种流行的开源可视化工具，专为与 Elasticsearch 结合使用而设计。Amazon ES 为每个 Amazon ES 域默认安装 Kibana。目前ES内置的Kibana不支持IAM，对于Kibana的访问控制主要有两个方面：在VPC内访问可以通过安全组进行控制，在VPC外访问可以通过结合Amazon Cognito的UserPool和IdentityPool来进行身份验证或者使用基于IP的策略。
由于中国区目前还不支持Cognito UserPool，因此需要在VPC外进行公开访问只能通过基于IP的策略来进行控制。但无论在大型企业还是在小型创业公司，把每一个需要访问ES Kibana的员工的客户端IP加入ES 策略中都是很不合理的。因此我们可以用一个Nginx服务器作为中间代理，将这台Nginx的IP加入Kibana的访问策略中，客户端通过Nginx的反向代理来访问Kibana，而关于身份验证的部分在Nginx上实现。