亚马逊AWS官方博客
Category: Security
Amazon EC2 现在支持 NitroTPM 和 UEFI 安全启动
在计算领域,可信平台模块(TPM)专为提供基于硬件的安全相关功能而设计。TPM 芯片是一种安全的加密处理器,旨在执行加密操作。使用 TPM 技术有三大优势。首先,您可以生成、存储并控制对操作系统以外的加密密钥的访问。其次,您可以使用烧录了 TPM 唯一 RSA 密钥的 TPM 模块执行平台设备身份验证。最后,采取并存储有助于确保平台完整性的安全措施。 在 re: Invent 2021 期间,我们宣布将在未来推出 NitroTPM,这是一种基于 AWS Nitro 系统的虚拟 TPM 2.0 合规 TPM 模块,适用于您的 Amazon Elastic Compute Cloud(Amazon EC2) 实例。我们还宣布推出适用于 EC2 的统一可扩展固件接口(UEFI) Secure Boot。 我很高兴地宣布,您现在可以在中国以外的所有 AWS 区域(包括 AWS GovCloud(美国)区域)开始使用 NitroTPM 和 Secure Boot。 您可以使用 NitroTPM 将密钥(如磁盘加密密钥或 SSH 密钥)存储在 EC2 实例内存以外的位置,保护其免遭在实例上运行的应用程序的威胁。NitroTPM 利用 Nitro 系统的隔离和安全属性来确保只有实例可以访问这些密钥。它提供与物理或离散 TPM 相同的功能。NitroTPM […]
Read MoreAmazon CodeGuru Reviewer 推出密钥检测器功能来识别硬编码的密钥并使用 AWS Secrets Manager 进行保护
Amazon CodeGuru 通过扫描和分析 Java 和 Python 应用程序来帮助提高代码质量并实现自动化的代码审查。CodeGuru Reviewer 可以检测代码中的潜在缺陷和错误。例如,它可就安全漏洞、资源泄漏、并发问题、错误输入验证以及偏离 AWS 最佳实践等问题提出改进建议。 最广为人知的一个安全实践是集中管理密码、API 密钥和一般凭证等密钥。与许多面临严格时间要求的其他开发人员一样,我经常会在管理和使用代码中的密钥方面走捷径,在本地开发过程中使用纯文本环境变量或将静态密钥进行硬编码,然后在无意中将它们提交。当然,我总是非常后悔,希望有一种自动化的方法来检测和保护我所有存储库中的这些密钥。 我很高兴地宣布 Amazon CodeGuru Reviewer 新推出密钥检测器功能,这是一种自动化的工具,可帮助开发人员检测源代码或配置文件中的密钥,例如密码、API 密钥、SSH 密钥和访问令牌。 这种新推出的检测器在代码审查过程中使用机器学习(ML)来识别硬编码的密钥,从而帮助您确保所有新代码在合并和部署之前未包含硬编码的密钥。除 Java 和 Python 代码之外,密钥检测器还可以扫描配置和文档文件。在补救措施方面,CodeGuru Reviewer 建议使用 AWS Secrets Manager 来保护密钥,这是一项托管式的服务,可让您安全并自动地存储、轮换、管理和检索凭证、API 密钥以及其他各种类型的密钥。 这项新功能包含在 CodeGuru Reviewer 服务中,无需额外付费,并支持常见的 API 提供商,例如 AWS、Atlassian、Datadog、Databricks、GitHub、Hubspot、Mailchimp、Salesforce、SendGrid、Shopify、Slack、Stripe、Tableau、Telegram 和 Twilio。完整列表详见此处。 密钥检测器操作演示 首先,我从 AWS Secrets Manager 控制台中选择 CodeGuru。此新的工作流允许我关联一个新的存储库并运行完整的存储库分析,目的是识别硬编码的密钥。 关联新存储库只需要几秒钟即可完成。我连接我的 GitHub 账户,然后选择一个名为 hawkcd 的存储库,其中包含了一些 Java、C#、JavaScript 和配置文件。 […]
Read More新增功能 – Amazon VPC Network Access Analyzer
如果您是企业的联网、云运维或安全团队的成员,您一定会喜欢这项新功能。全新的 Amazon VPC Network Access Analyzer 可帮助您识别可能导致意外网络访问的网络配置。正如您稍后将看到的,该功能可以指出改进安保状况的方法,同时仍然让您和您的企业保持敏捷和灵活。与手动检查网络配置(容易出错且难以扩展)不同,此工具允许您分析任何规模和复杂度的 AWS 网络。 Network Access Analyzer 简介 Network Access Analyzer 利用我们的自动推理技术,该技术已经为 AWS IAM Access Analyzer、Amazon VPC Reachability Analyzer、Amazon Inspector Network Reachability 和其他可证明的安全工具提供了强大的支持。 这项新工具使用网络访问范围来指定 AWS 资源之间所需的连接。您可以从 Amazon 创建的一组范围开始,然后进行复制和自定义,也可从头开始创建自己的范围。这些范围是高级别的、独立于任何特定的网络架构或配置,可以视为一种语言,用于为您的网络指定适当的访问和连接级别。例如,您可以创建一个范围来验证是否所有 Web 应用程序在访问 Internet 资源时都使用了防火墙,或者指出财务团队使用的 AWS 资源与开发团队使用的资源是独立且不同的,并且无法访问。 要根据特定范围评估网络,请选择该范围并启动分析。运行几分钟后将生成一组结果,每个结果分别表示范围中定义的 AWS 资源之间的一条意外网络路径。您可以在短短几分钟内分析这些结果、调整配置或修改范围以响应这些结果,然后重新运行分析。 分析过程检查的 AWS 资源非常广泛,包括安全组、CIDR 块、前缀列表、弹性网络接口、EC2 实例、负载均衡器、VPC、VPC 子网、VPC 终端节点、VPC 终端节点服务、Transit Gateways、NAT 网关、互联网网关、VPN 网关、对等连接和 Network Firewall。您的范围可以使用 […]
Read MoreAmazon CodeGuru Reviewer 更新:全新的 Java 检测器和 CI/CD 与 GitHub 操作的集成
Amazon CodeGuru 让您可以自动进行代码审查并提高代码质量,并且得益于 4 月份推出的全新定价模式,您可以根据存储库的大小,以较低且固定的月费率开始使用(最多可节省 90% 的费用)。CodeGuru Reviewer 使用 Amazon Web Services管理控制台、Amazon Web Services 软件开发工具包和 Amazon CLI,帮助您检测在 Java 和 Python 应用程序中难以发现的潜在缺陷和错误。
Read More新增功能 – 使用 WebAuthn 对 AWS SSO 执行 Multi-Factor Authentication
即日起,除了当前支持的一次性密码 (OTP) 和 Radius 身份验证器之外,您还可以将 WebAuthn 作为一种新的 Multi-Factor Authentication (MFA) 添加到 AWS Single Sign-On。添加对 WebAuthn(一种 W3C 规范,与 FIDO Alliance 协同开发)的支持后,您现在可以使用系统管理员预置的或笔记本电脑或智能手机中内置的各种可互操作的身份验证器进行身份验证。例如,您现在可以点击硬件安全密钥,触摸 Mac 上的指纹传感器,或使用移动设备或 PC 上的面部识别功能,在 AWS 管理控制台或 AWS 命令行界面 (CLI) 中进行身份验证。
Read More基于 Permission Boundary 的多账号管理权限限定方法
在AWS云环境中,多账号管理最好的方法是采用AWS Control Tower和Organization。 而对于中国区的用户,在没有合适的原生服务可用时,也可以采取一些自开发的方法来部分满足需求。本文针对一个具体的案例-如何限制不同类型的管理员的权限,给出了解决方案,作者也希望借此能够为大家提供一种思路,以解决更多多账号管理中遇到的问题。在这个解决方案中,我们使用了IAM, Permission boundary, Lambda,CloudTrail, AWS Config, DynamoDB, SQS, CloudWath Event, CloudWatch Log 等AWS 服务。
Read More在 AWS 上构建安全的 Citrix 桌面云
本文介绍如何借助公有云原生的安全服务提升 Citrix 解决方案的安全防护能力。
Read More基于 Amazon GuardDuty 威胁级别的自动化通知
Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载.但很多时候管理员并没有对Amazon GuardDuty 的调查结果进行主动监测,导致出现严重风险时没有及时发现和响应,本文介绍了一种方法可以根据Amazon GuardDuty 报告的威胁级别通过电话和主动邮件的方式及时通知管理员,避免风险进一步扩大,让管理人员能够及时响应和处理。
Read More通过 STS Session Tags 来对 AWS 资源进行更灵活的权限控制
通过STS实现终端用户只能管理自己的S3文件的场景来介绍STS的Session Tags功能,通过STS Session Tags,让AWS的资源的权限管理更加灵活,可自定义化。本文只演示了S3资源,但实际生产中可将STS Session Tags应用于所有AWS资源。
Read MoreAWS Security JAM 服务之启动篇
AWS Security JAM服务是由AWS Professional Service 团队开发并向参与者提供的一项专业服务。AWS Security JAM能帮助众多AWS使用者,客户,参与者 通过JAM平台中的挑战,来学习100+家企业的实践经验。每个挑战可以理解为一个案例题目,深入体会每个挑战案例如何通过最小权限,最安全的方式完成挑战案例。
Read More