利用 AWS 基础设施和云安全服务提升安全性
-
AWS WAF | Web 应用程序防火墙
-
AWS Shield | DDoS 保护
-
AWS Network Firewall | VPC 的网络保护
-
AWS Firewall Manager | 防火墙管理
-
AWS WAF | Web 应用程序防火墙
-
AWS WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞和机器人程序的攻击,这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。
AWS WAF – Web 应用程序防火墙
每月免费提供 1,000 万机器人控制请求
永久免费
工作原理
最新动态
AWS WAF 现提供内联正则表达式 (2021-09-23 )AWS WAF 现在提供托管式的规则组版本控制功能 (2021-08-09)关闭AWS WAF 规则的传播和更新只需不足一分钟时间,因此您可以在问题出现时在您的环境中快速进行安全更新。WAF 支持数百条规则,这些规则可以检查 Web 请求的任意部分,同时尽可能降低延迟对传入流量的影响。AWS WAF 可以根据您创建的规则筛选流量,从而保护 Web 应用程序免遭攻击。例如,您可以筛选 Web 请求的任意部分,例如 IP 地址、HTTP 标头、HTTP 正文或 URI 字符串。这样一来,您可以防范常见攻击模式,例如 SQL 注入或跨站点脚本。
关闭使用 AWS WAF 托管规则,您可以快速入门并保护您的 Web应用程序或 API 免遭常见的威胁。有多种规则类型供您选择,例如解决诸如开放式 Web 应用程序安全项目 (OWASP) 十大安全风险、内容管理系统 (CMS) 特有的威胁或新出现的常见漏洞和泄露 (CVE) 等问题的规则。托管规则会随新问题的出现而自动更新,这样您就有更多的时间来构建应用程序。
关闭AWS WAF 让您能够近乎实时地查看 Web 流量,借此在 Amazon CloudWatch 中创建新的规则或警报。您可以精确控制指标的发出方式,因此可以从规则级别到完整入站流量进行监控。此外,AWS WAF 还会捕获每个接受检查的 Web 请求的完整标头数据,用于自动提供安全保护、分析或审计用途,从而提供全面的日志记录。
关闭无论是作为 CDN 解决方案的一部分部署在 Amazon CloudFront 上,还是部署在位于所有来源服务器之前的 Application Load Balancer、适用于您的 REST API 的 Amazon API Gateway 或者是适用于您的 GraphQL API 的 AWS AppSync 上,AWS WAF 都能轻松部署和保护应用程序。 无需部署其他软件、无需配置 DNS、无需管理 SSL/TLS 证书,也无需进行反向代理设置。使用 AWS Firewall Manager 集成,您可以集中定义并管理规则,并在您需要保护的所有 Web 应用程序中反复使用这些规则。
关闭利用 AWS WAF Bot Control,您可以获得对应用程序的常见和普遍机器人流量的可见性和控制。在 AWS WAF 控制台中,您可以监控常见的机器人程序,例如状态监控器和搜索引擎,并获得对机器人程序流量的类别、标识和其他详细信息的详细且实时的可见性。您还可以阻止普遍机器人程序(如抓取程序、扫描程序和爬网程序)的流量或限制其速率。使用 AWS Firewall Manager,您可以将 Bot Control 托管规则组部署到您的 AWS 组织中的多个账户。
关闭AWS WAF 中的所有功能都可以通过 AWS WAF API 或 AWS 管理控制台进行配置。因此,您的开发运营团队可以在应用程序开发流程中定义特定于应用程序的规则,从而增强 Web 安全性。而且,您可以将 Web 安全问题放到开发流程链中的多个环节:从最初撰写代码的开发人员,到部署软件的开发运营工程师,再到跨组织实施安全规则组的安全管理员等。
-
AWS Shield | DDoS 保护
-
AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的应用程序。AWS Shield 提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级,分别为 Standard 和 Advanced。
AWS Shield – 托管式 DDoS 防护
免受以网站或应用程序为目标的网络和传输层 DDoS 攻击
永久免费
- AWS Shield Standard 可以提供网络流量持续监控功能,可以检测传入到 AWS 服务的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。
- AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等技术,可以自动缓解基本网络层攻击。
>> 升级为 AWS Shield Advanced 版本
关闭AWS Shield Advanced 为受保护的弹性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 资源提供基于流量模式的自定义检测功能。AWS Shield Advanced 使用其他特定于区域和资源的监控技术,检测较小的 DDoS 攻击并向您发出警报。AWS Shield Advanced 还可以针对应用程序上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用程序层攻击。
关闭AWS Shield Advanced 可根据应用程序的运行状况来提高攻击检测和缓解的响应能力和准确性。您可以在 Amazon Route 53 中定义运行状况检查,然后通过控制台或 API 将其与受 Shield Advanced 保护的资源关联。这样的话,Shield Advanced 能以更低的流量阈值更快地检测影响应用程序运行状况的攻击,提高应用程序的 DDoS 弹性,并防止误报。资源运行状态还会提供给 Shield 响应团队,使他们能够相应地优先对运行不正常的应用程序作出响应。您可以将基于运行状况的检测应用于 Shield Advanced 支持的所有资源类型:Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53。
关闭AWS Shield Advanced 可以为您提供更为精细的自动缓解机制,用于防护以在受保护的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序为目标的攻击。AWS Shield Advanced 利用先进的路由技术,可以自动部署更多缓解能力,使您的应用程序不受 DDoS 攻击。对于采用商业或企业支持计划的客户,AWS Shield 响应团队 (SRT) 也可以为您手动缓解针对您的应用程序的更复杂、更高级的 DDoS 攻击。对于应用程序层攻击,您可以使用 AWS WAF,无需为 AWS Shield Advanced 受保护资源支付额外费用,以设置基于速率的黑名单等主动规则,自动阻止攻击源 IP 地址的 Web 请求,或在事件发生时立即作出响应。您也可以直接与 SRT 联系,以您的名义发布自定义AWS WAF 规则,以便响应应用程序层 DDoS 攻击。SRT 将诊断攻击,并且在您允许的情况下,可以代表您应用缓解,从而缩短您的应用程序受持续 DDoS 攻击影响的时间。
关闭AWS Shield Advanced 使 Shield 响应团队 (SRT) 能够在检测到 DDoS 事件时进行主动参与。当您启用主动参与后,如果与您的保护资源相关的 Amazon Route 53 运行状况检查在发生 DDoS 事件时变为运行不良状况,SRT 将直接联系您。这样一来,当您的应用程序可用性受到疑似攻击影响时,您可以与专家更加快速地互动。对于弹性 IP 地址和 Global Accelerator 加速器上的网络层和传输层事件,以及对 CloudFront 发行版和 Application Load Balancer 上的应用程序层攻击,您可以接收主动参与。
关闭AWS Shield Advanced 让您可以将资源绑定到保护组中,通过将多个资源作为单个单元处理,为您提供一种自助方式来定制应用程序的检测和缓解范围。资源分组提高了检测的准确性,减少了误报,简化了新创建资源的自动保护过程,并加快了缓解针对多个资源的攻击的时间。例如,如果一个应用程序包含四个 CloudFront 发行版,您可以将它们添加到一个保护组中,以接收对整个资源集合的检测和保护。报告还可以在保护组级别使用,从而提供整个应用程序运行状况的更全面视图。关闭AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知,并在“AWS WAF 和 AWS Shield”管理控制台或 API 上提供详细的诊断信息。您也可以从“AWS WAF 和 AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。
关闭AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在受保护的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 资源出现 DDoS 相关的使用量高峰时,防止您的费用增加。如果上述任一受保护的资源的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请 AWS Shield Advanced 服务退款。
关闭对于采用商业或企业支持计划的客户,您可以通过 AWS Shield Advanced 联系随时待命的 AWS Shield 响应团队 (SRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。SRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。SRT 在快速响应和缓解针对 AWS 客户的 DDoS 攻击方面具有深厚的专业知识。
关闭目前,客户可在全球所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定义服务器。您还可以在 AWS Shield Advanced 可用的所有区域中直接对弹性 IP 或 Elastic Load Balancing (ELB) 实例启用保护。
关闭AWS Shield Advanced 客户可以使用 AWS Firewall Manager 在整个组织中应用 AWS Shield Advanced 和 AWS WAF 保护。Firewall Manager 的费用包括在 Shield Advanced 订阅费里面。使用 AWS Firewall Manager,您可以自动配置涵盖多个账户和资源的策略。Firewall Manager 会自动审核账户以查找新的或未受保护的资源,并确保 AWS Shield Advanced 和 AWS WAF 保护已得到普遍应用。这使得开发人员能够自信地快速迁移和部署新的应用程序,并且还会自动应用相应的保护。如需了解更多有关 AWS Firewall Manager 的信息,请访问产品网站。
- AWS Shield Standard 可以提供网络流量持续监控功能,可以检测传入到 AWS 服务的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。
-
AWS Network Firewall | VPC 的网络保护
-
AWS Network Firewall 是一项托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务,它随着网络流量而自动扩展和减少,因此无需担心基础设施的部署和管理问题。
AWS Network Firewall - VPC 部署必要的网络保护
只需单击几下即可跨 Amazon VPC 部署网络安全
工作原理
关闭AWS Network Firewall 可检查并帮助控制 VPC 至 VPC 的流量,以在逻辑上分离托管敏感应用程序的网络或业务线工作负载。通过网络和应用程序层的有状态可见性,AWS Network Firewall 可以使用 AWS Transit Gateway 为互联的 VPC 提供精细的网络安全控制。
关闭AWS Network Firewall 提供 URL/域名、IP 地址和基于内容的出站流量筛选,以停止可能的数据丢失、帮助满足合规性要求并阻止已知的恶意软件通信。AWS Network Firewall 支持数千条规则,这些规则可以筛选出目的地为已知恶意 IP 地址已知恶意域名的网络流量。
关闭AWS Network Firewall 保护来自客户端设备和 AWS Transit Gateway 支持的本地环境的 AWS Direct Connect 和 VPN 流量的安全。AWS Network Firewall 可以限制此流量,以确保仅向 VPC 资源授予最低访问权限。
关闭AWS Network Firewall 通过使用访问控制列表 (ACL) 规则、有状态检查、协议检测和入侵预防等功能检查所有入站互联网流量来帮助防止入侵。
-
AWS Firewall Manager | 防火墙管理
-
AWS WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞和机器人程序的攻击,这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。
AWS Firewall Manager | 集中管理防火墙规则
跨账户和应用程序集中配置和管理防火墙规则
工作原理
关闭AWS Firewall Manager 集成了 AWS Organizations,因此您可以从单一地点跨多个 AWS 账户和资源为您的 Amazon VPC 启用 AWS WAF 规则、AWS Shield 高级防护、安全组、AWS Network Firewall 规则和 Amazon Route 53 Resolver DNS Firewall 规则。您可以在整个基础设施中组合规则、创建策略,并集中地应用这些策略。例如,您可以在单个账户内委托创建特定应用程序的规则,同时保留跨账户实施全局安全策略的能力。
关闭AWS Firewall Manager 自动实施您在现有资源和新建资源中定义的强制性安全策略。该服务可以发现跨账户创建的新资源。例如,如果您需要符合美国财政部海外资产控制办公室 (OFAC) 的规定,可以使用 Firewall Manager 部署 AWS WAF 规则,以便跨 Application Load Balancer、API Gateway 和 Amazon CloudFront 账户阻止来自禁运国家/地区的流量。创建新资源后,它们将自动进入策略范围内。
关闭AWS Firewall Manager 集成了适用于 AWS WAF 的托管规则,这使您能够轻松地将预先配置的 WAF 规则部署在应用程序上。您可以选择由 AWS Marketplace 卖家提供的托管规则,并且只需在控制台中点击几下即可将其一致地部署在 Application Load Balancer、API Gateway 和 Amazon CloudFront 基础设施中。例如,您可以从提供 CVE 补丁更新的 AWS Marketplace 订阅 WAF 托管规则,从而轻松保护整个组织免受零日漏洞攻击。对于 Advanced Shield 防护,您可以使用 AWS Firewall Manager 自动跨账户抵御各种类型的 DDoS 攻击,例如 UDP 反射攻击、SYN 泛洪、DNS 查询泛洪和的 HTTP 泛洪攻击。
关闭使用 Firewall Manager,您的安全管理员可以为您的 Amazon VPC 中的 EC2 实例、Application Load Balancer (ALB) 和 Elastic Network Interfaces (ENI) 部署 VPC 安全组规则的基线集。同时,您还可以从一个位置对您的 VPC 中的任何现有的安全组进行过度宽松的规则审计,并对它们进行修复。您可以利用 Firewall Manager 跨您组织中的 VPC 为 AWS Network Firewall 部署规则,以控制离开和进入您的网络的流量。 同时,利用 Firewall Manager,您还可以将 VPC 与 Route 53 Resolver DNS Firewall 规则相关联,以阻止针对已知恶意域的 DNS 查询,并且允许针对受信任域的查询。
预防
确定用户权限和身份、基础设施保护和数据保护措施,以制定平稳且经过良好计划的 AWS 采用策略。
检测
通过日志和监控服务来了解组织的安全状况。将这些信息提取到可扩展的平台中,以进行事件管理、测试和审计。
响应
自动化事件响应和恢复,以帮助安全团队将重点从响应转移到分析根本原因上。
修复
利用事件驱动的自动化功能,以近乎实时的方式快速修复和保护您的 AWS 环境。
云安全丨 Amazon GuardDuty
Amazon GuardDuty 是一种智能威胁检测服务,让客户可以准确、轻松地持续监控和保护他们的 AWS 账户、工作负载以及 Amazon S3 中存储的数据。GuardDuty 能够通过 AWS CloudTrail 管理事件(账户中的 AWS 用户和 API 活动)、AWS CloudTrail S3 数据事件(Amazon S3 活动)、Amazon VPC 流日志(网络流量数据)和 DNS 日志(名称查询模式)分析您的 AWS 账户发生的数十亿个事件。
Amazon GuardDuty
所有的功能和检测服务免费试用
30天免费
工作原理
Amazon GuardDuty 为您提供准确的账户盗用威胁检测,如果您没有以近乎实时的方式持续监控相关因素,可能尤其难以快速发现这种情况。GuardDuty 可检测出账户盗用的迹象,例如在一天之中的非典型时间从异常地理位置访问 AWS 资源。对于编程 AWS 账户,GuardDuty 能够检查异常 API 调用,例如试图通过禁用 CloudTrail 日志记录或从恶意 IP 地址创建数据库快照掩盖账户活动。
Amazon GuardDuty 可持续监控和分析您的 AWS 账户以及 AWS CloudTrail、VPC 流日志和 DNS 日志中的工作负载事件数据。无需部署和维护额外的安全软件或基础设施。通过将您的所有 AWS 账户关联在一起,您可以汇总威胁检测,而不必针对每个账户逐一操作。此外,您无需从多个账户收集、分析和关联大量 AWS 数据。这样一来,您可以重点关注如何快速响应、如何保护组织安全,并继续在 AWS 中扩展和创新。
Amazon GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术。其检测算法由 AWS 安全团队进行维护和不断改进。主要检测类别包括:
侦察 — 表明攻击者在进行侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
实例盗用 — 表明存在实例盗用的活动,例如加密货币挖矿、后门命令和控制 (C&C) 活动、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
账户盗用 — 表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施以及来自已知恶意 IP 地址的 API 调用。
存储桶入侵 – 指示存储桶入侵的活动,例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问,以及用户为在 S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件(例如 GetObject、ListObjects、DeleteObject),以检测您所有 Amazon S3 存储桶中的可疑活动。
Amazon GuardDuty 提供三种严重性级别(低、中和高),以帮助客户确定他们对潜在威胁的响应顺序。“低”严重性级别表示已在损坏您的资源之前被阻止的可疑或恶意活动。“中”严重性级别表示存在可疑活动。例如大量流量返回到隐藏在 Tor 网络后的远程主机,或者活动偏离了通常观察到的行为。“高”安全性级别表示涉及的资源(例如,EC2 实例或一组 IAM 用户凭证)已损坏,并正被用于未经授权的用途。
Amazon GuardDuty 提供 HTTPS API、CLI 工具和 Amazon CloudWatch Events,以支持对安全检测结果的自动安全响应。例如,您可以通过将 CloudWatch Events 用作事件源来触发 AWS Lambda 函数,以自动化响应工作流程。
Amazon GuardDuty 旨在根据 AWS 账户、工作负载和 Amazon S3 中存储的数据的总体活动级别自动管理资源利用率。GuardDuty 仅在需要时增加检测容量,并在不需要容量时降低利用率。您就拥有了一个经济高效的架构,确保您在最大限度地降低开支的同时具备您需要的安全处理能力。使用 GuardDuty 时,您只需为您使用的检测容量付费。无论规模大小,GuardDuty 都能为您提供大规模安全性。
只需在 AWS 管理控制台中单击一下或通过一个 API 调用,您就可以为单个账户启用 Amazon GuardDuty。只需在控制台上单击几下,您就可以为多个账户启用 GuardDuty。Amazon GuardDuty 通过与 AWS Organizations 集成以及 GuardDuty 内的原生功能支持多个账户。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。
除了检测威胁之外,您还可以使用 Amazon GuardDuty 轻松设置自动响应威胁的方式,从而缩短修复和恢复时间。GuardDuty 可以利用 Amazon CloudWatch Events 和 AWS Lambda 执行自动化的修复操作。GuardDuty 安全发现结果对实施安全措施具有参考性和可操作性。这些发现结果包括受影响资源的详细信息和攻击者的信息,如 IP 地址和地理位置。
AWS Certificate Manager丨公有 SSL/TLS 证书免费用
使用 AWS Certificate Manager,您无需为用于 ACM 集成服务的公有或私有 SSL/TLS 证书支付任何费用。
免费使用 20 余种核心云服务产品,长达 12 个月
数据保护丨AWS Certificate Manager
AWS Certificate Manager 是一项服务,可帮助您轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性 (SSL/TLS) 证书,以便用于 AWS 服务和您的内部互联资源。SSL/TLS 证书用于保护网络通信的安全,并确认网站在 Internet 上的身份以及资源在私有网络上的身份。使用 AWS Certificate Manager,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。
工作原理
ACM 私有 CA 的任何新账户均可免费试用该服务 30 天,但仅限运行在该账户和区域中创建的第一个私有 CA。在试用期内,您需要为颁发的证书付费。开始免费试用 ACM 私有 CA »
SSL 及其后继者 TLS 是用于对网络通信进行加密并确立网站在 Internet 上的身份的行业标准协议。SSL/TLS 使用 SSL/TLS 证书对身份验证和传输过程中的敏感数据进行加密,以确立您的网站的身份,并保护浏览器和应用程序与您的网站之间的连接安全。AWS Certificate Manager 提供了预置和管理这些证书的简单方式,让您可以将网站或应用程序配置为使用 SSL/TLS 协议。
私有证书用于识别和保护私有网络(例如服务器、移动和物联网设备,以及应用程序)上的关联资源之间的通信。AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 是一种托管的私有 CA 服务,可让您以安全方式轻松管理私有证书的生命周期。ACM Private CA 为您提供高度可用的私有 CA 服务,而无需前期投资和操作私有 CA 所需的持续维护费用。ACM 私有 CA 将 ACM 的证书管理功能扩展到私有证书,从而使您能够集中创建和管理公有证书和私有证书。通过为开发人员提供 API,ACM 私有 CA 允许他们以编程方式更敏捷地创建和部署私有证书。您也可以针对需要自定义证书生命周期或资源名称的应用程序,灵活创建私有证书。详细了解 ACM 私有证书颁发机构。
通过让您轻松启用 SSL/TLS,AWS Certificate Manager 可以帮助您的企业或组织满足有关传输数据加密的法规和合规性要求。有关合规性的具体信息,请参阅 AWS 云合规性网站。
AWS Certificate Manager 可以帮助您解决维护 SSL/TLS 证书时面临的各种难题(包括证书续订),使您不必担心证书过期。
