AWS 将云安全性视为头等大事。作为 AWS 客户,您将从专为满足大多数风险敏感型组织的要求而打造的数据中心和网络架构中受益。
AWS 云不仅提供平台助您实现扩展和创新,还能维持安全的环境。您只需为使用的服务付费,这意味着您可以获得所需安全性,没有前期费用,且成本比本地环境中的成本更低。
| 服务 | 产品类型 | 说明 |
|---|---|---|
| AWS Artifact | 合规性报告 | AWS Artifact 门户允许按需访问 AWS 安全性与合规性文档(亦称审计项目)。 |
| AWS Certificate Manager | SSL/TLS 证书 | AWS Certificate Manager 是一项服务,可帮助您轻松地预置、管理和部署安全套接字层/传输层安全性 (SSL/TLS) 证书。 |
| AWS CloudHSM | 密钥存储和管理 | AWS CloudHSM 服务通过在 AWS 云中使用专用的“硬件安全模块”(HSM) 设备,帮助您满足数据安全方面的企业、合同和监管合规性的要求。 |
| Amazon Cognito | 用户注册和登录 | 借助 Amazon Cognito,您可以快速轻松地为 Web 和移动应用程序添加用户注册/登录和访问控制功能。 |
| AWS Directory Service | 目录 | 适用于 Microsoft Active Directory 的 AWS Directory Service(企业版)又称为 AWS Microsoft AD,可为您提供目录感知型工作负载和 AWS 资源,以便让您在 AWS 云中使用托管的 Active Directory。 |
| AWS Firewall Manager | WAF 管理 | AWS Firewall Manager 是一项安全管理服务,可让您更轻松地跨账户和应用程序集中配置和管理 AWS WAF 规则。 |
| Amazon GuardDuty | 威胁检测 | Amazon GuardDuty 是一种托管型威胁检测服务,为您提供更准确、更轻松的方式来持续监控和保护您的 AWS 账户和工作负载。 |
| AWS Identity and Access Management (IAM) | 访问控制 | 使用 AWS Identity and Access Management (IAM) 控制用户对 AWS 服务的访问权限。创建和管理用户和群组,并授予或拒绝各种权限。 |
| Amazon Inspector | 安全评估 | Amazon Inspector 是一项自动安全评估服务,有助于提高在 AWS 上部署的应用程序的安全性与合规性。 |
| AWS Key Management Service | 密钥存储和管理 | AWS Key Management Service (KMS) 是一项托管服务,可让您轻松创建和控制用于加密数据的加密密钥。 |
| Amazon Macie | 敏感数据分类 | Amazon Macie 是一种支持机器学习的安全服务,用于发现、分类和保护敏感数据。 |
| AWS Secrets Manager | 密钥管理 | AWS Secrets Manager 使您能够轻松地在整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。 |
| AWS Security Hub | 安全性控制台 | AWS Security Hub 可让您全面查看 AWS 账户中的高优先级安全警报与合规性状态。 |
| AWS Shield | DDoS 保护 | AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的 Web 应用程序。 |
| AWS Single Sign-On | 单点登录 (SSO) | AWS Single Sign-On (SSO) 是一项云 SSO 服务,可以轻松地集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。 |
| AWS WAF | Web 应用程序防火墙 | AWS WAF 是一款 Web 应用程序防火墙,可帮助保护您的 Web 应用程序免受常见 Web 漏洞的攻击,这些漏洞会影响应用程序可用性、损害安全性或消耗过多的资源。 |
AWS Artifact 门户允许按需访问 AWS 安全性与合规性文档(亦称审计项目)。例如,审计项目包括服务组织控制 (SOC) 报告、支付卡行业 (PCI) 报告以及验证 AWS 安全控制的实施和运行效果的不同地域和合规行业的资格鉴定机构签发的认证。
您可以证明您的 AWS 基础设施和服务安全且合规,具体方法是从 AWS Artifact 下载审计项目并将其提交给您的审计师或监管人员。
有关更多信息,请访问 AWS Artifact 产品页面 »
AWS Certificate Manager 是一项服务,可帮助您轻松地预置、管理和部署用于 AWS 服务的安全套接字层/传输层安全性 (SSL/TLS) 证书。SSL/TLS 证书用于保护网络通信的安全并确立网站在 Internet 上的身份。使用 AWS Certificate Manager,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。利用 AWS Certificate Manager,您可以快速请求证书,在 AWS 资源(如 Elastic Load Balancer 或 Amazon CloudFront 分配)上部署该证书,并让 AWS Certificate Manager 处理证书更新事宜。通过 AWS Certificate Manager 预置的 SSL/TLS 证书可免费使用。您只需为您创建的用于运行应用程序的 AWS 资源付费。
有关更多信息,请访问 AWS Certificate Manager 产品页面 »
AWS CloudHSM 服务通过在 AWS 云中使用专用的“硬件安全模块”(HSM) 设备,帮助您满足数据安全方面的企业、合同和监管合规性的要求。凭借 CloudHSM,您可以控制加密密钥和由 HSM 执行的加密操作。
有关更多信息,请访问 AWS CloudHSM 产品页面 »
借助 Amazon Cognito,您可以快速轻松地为 Web 和移动应用程序添加用户注册/登录和访问控制功能。Cognito 可将用户规模扩展到数百万,并支持使用社交身份提供商(如 Facebook、Google 和 Amazon)进行登录。用户还可以通过 SAML 2.0 使用企业身份提供商进行登录。
有关更多信息,请访问 Amazon Cognito 产品页面 »
适用于 Microsoft Active Directory 的 AWS Directory Service(企业版)又称为 AWS Microsoft AD,可为您提供目录感知型工作负载和 AWS 资源,以便让您在 AWS 云中使用托管的 Active Directory。Microsoft AD 服务构建于实际的 Microsoft Active Directory 之上,因此您无需将现有 Active Directory 中的数据同步或复制到云中。您可以使用标准的 Active Directory 管理工具,并利用各种内置的 Active Directory 功能,例如组策略、信任关系和单点登录。借助 Microsoft AD,您可以轻松将 Amazon EC2 和 Amazon RDS for SQL Server 实例加入到域中,并使用 Amazon WorkSpaces 等 AWS 企业 IT 应用程序以及 Active Directory 用户和组。
有关更多信息,请访问 AWS Directory Service 产品页面 »
AWS Firewall Manager 是一项安全管理服务,可让您更轻松地跨账户和应用程序集中配置和管理 AWS WAF 规则。使用 Firewall Manager,您可以轻松跨 AWS Organizations 中的账户针对 Application Load Balancer 和 Amazon CloudFront 分配推行 AWS WAF 规则。在创建新应用程序时,您还可以借助 Firewall Manager 轻松地让新应用程序和资源从一开始就遵循一套通用的安全规则。现在您可以使用单一服务来构建防火墙规则、创建安全策略,并在整个 Application Load Balancer 和 Amazon CloudFront 基础设施中以一致、分层的方式执行这些规则和策略。
有关更多信息,请访问 AWS Firewall Manager 产品页面 »
Amazon GuardDuty 是一种托管型威胁检测服务,为您提供更准确、更轻松的方式来持续监控和保护您的 AWS 账户和工作负载。只需单击几下,GuardDuty 便可立即开始分析来自多个 AWS 日志源的数十亿事件。它使用威胁情报源(例如恶意 IP 和域名列表)和机器学习来更准确地检测威胁。例如,GuardDuty 可以检测到遭恶意软件利用或被用于挖掘比特币的受攻击 EC2 实例。它可以检测攻击者是通过已知应用程序漏洞探查您的 Web 服务器,还是从不常见的位置访问您的 AWS 资源。此外,它还可以检查您的 AWS 账户是否存在受攻击迹象,例如未经授权的基础设施部署或不常见的 API 调用。当发现威胁时,GuardDuty 会向您发送详细的安全提醒,以便您采取措施应对威胁。借助 GuardDuty,您可以通过易于使用的、按使用量付费的云安全服务,获取智能威胁检测功能和可利用的提醒。
有关更多信息,请访问 Amazon GuardDuty 产品页面 »
AWS Identity and Access Management (IAM) 是一项针对 AWS 云资源的访问管理服务。借助 AWS IAM,您能够安全地控制用户对 AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 AWS 用户和组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。
有关更多信息,请访问 AWS IAM 产品页面 »
Amazon Inspector 是一项自动安全评估服务,有助于提高在 AWS 上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的漏洞以及相较于最佳实践的偏差。执行评估后,Amazon Inspector 会生成按严重程度确定优先级的安全检测详细列表。
为了帮助您快速入门,Amazon Inspector 纳入了知识库,包含数百条规则,可映射至常见的最佳安全实践以及漏洞定义。内置规则的示例包括检查当前启用的远程根登录或已安装的易受攻击的软件版本。AWS 安全研究员会定期更新这些规则。
有关更多信息,请访问 Amazon Inspector 产品页面 »
AWS Key Management Service (KMS) 是一项使用硬件安全模块 (HSM) 保护密钥安全的托管服务,可帮助您轻松创建和控制用于加密数据的加密密钥。AWS Key Management Service 可与许多其他 AWS 服务集成,以帮助您保护用这些服务存储的数据。AWS Key Management Service 还能与 AWS CloudTrail 集成,从而为您提供所有密钥的使用记录,帮助您满足监管和合规性要求。
有关更多信息,请访问 AWS Key Management Service (KMS) 产品页面 »
Amazon Macie 是一项利用机器学习技术自动发现、分类和保护 AWS 中的敏感数据的安全服务。Amazon Macie 可识别个人身份信息 (PII) 或知识产权等敏感数据,并为您提供控制面板和警报,帮助您了解这些数据是如何被访问或移动的。这一完全托管的服务可持续监控数据访问活动异常,并在检测到未经授权的访问风险或意外数据泄漏时发出详细警报。Amazon Macie 现在可用于保护 Amazon S3 中存储的数据,今年晚些时候我们将推出对更多 AWS 数据存储的支持。
有关更多信息,请访问 Amazon Macie 产品页面 »
AWS Secrets Manager 可以帮助您保护访问应用程序、服务和 IT 资源所需的密钥。该服务使您能够轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。用户和应用程序通过调用 Secrets Manager API 来检索密钥,无需对纯文本的敏感信息进行硬编码。Secrets Manager 通过适用于 Amazon RDS for MySQL、PostgreSQL 和 Amazon Aurora 的内置集成实现密钥轮换。此外,该服务还可以扩展到其他类型的密钥,包括 API 密钥和 OAuth 令牌。此外,Secrets Manager 使您能够使用精细权限来访问机密信息,并集中审核对 AWS 云、第三方服务和本地资源的密钥轮换。
有关更多信息,请访问 AWS Secrets Manager 产品页面 »
AWS Security Hub 可让您全面查看 AWS 账户中的高优先级安全警报与合规性状态。您可以任意使用一系列强大的安全工具,从防火墙和端点保护到漏洞和合规性扫描程序。但是,这通常会让您的团队在这些工具之间来回切换,每天处理数百甚至数千个安全警报。借助 Security Hub,您现在可以设置单个位置,对来自多个 AWS 服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。您的检测结果可在具有可操作图形和表格的集成控制面板上进行直观汇总。您还可以使用自动合规性检查(基于您的组织遵守的 AWS 最佳实践和行业标准),持续监控您的环境。只须在管理控制台中单击几次,就可启动 AWS Security Hub,一旦启用,Security Hub 将开始对检测结果进行聚合与设置优先级。
有关更多信息,请访问 AWS Security Hub 产品页面 »
AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的 Web 应用程序。AWS Shield 可以提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级,分别为 Standard 和 Advanced。
所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。
有关更多信息,请访问 AWS Shield 产品页面 »
AWS Single Sign-On (SSO) 是一项云 SSO 服务,可以轻松地集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。用户可以利用现有的企业凭证登录用户门户,从同一位置访问所有已分配的账户和应用程序。利用 AWS SSO,您可以在 AWS Organizations 中轻松地集中管理您的所有账户的 SSO 访问和用户权限。另外,使用 AWS SSO 应用程序配置向导,您可以创建安全断言标记语言 (SAML) 2.0 集成,并将 SSO 访问扩展到所有启用了 SAML 的应用程序。AWS SSO 还包括与许多业务应用程序(例如 Salesforce、Box 和 Office 365)的内置 SAML 集成。只需轻点几次,您就可以启用高度可用的 SSO 服务,不会产生亲自运营 SSO 基础设施所需的前期投资和日常维护成本。
有关更多信息,请访问 AWS Single Sign-On 产品页面 »
AWS WAF 是一款 Web 应用程序防火墙,可帮助保护您的 Web 应用程序免受常见 Web 漏洞的攻击,这些漏洞会影响应用程序可用性、损害安全性或消耗过多的资源。AWS WAF 让您可以自行定义 Web 安全规则,从而控制哪些流量可以或不得访问您的 Web 应用程序。您可以使用 AWS WAF 创建阻挡诸如 SQL 注入或跨站脚本等常见攻击模式的自定义规则,同时还能创建专为您的特定应用程序量身定做的规则。新的规则可在数分钟之内完成部署,让您能够快速响应变幻莫测的流量模式。此外,AWS WAF 还包含有功能全面的 API,让您能够自动化创建、部署并维护 Web 安全规则。
有关更多信息,请访问 AWS WAF 产品页面 »
各种规模的组织纷纷将他们的工作负载迁移到 AWS,因为它提供了一个敏捷、可扩展且安全的云基础设施。这些工作负载往往具有独特的安全需要,而这就是我们的安全合作伙伴可以为 AWS 客户提供的。AWS 的安全采用共担责任制,通过不同的方式适用于不同的客户。它要求合作伙伴和 AWS 与客户密切合作,以获得理想的结果。
以下主要安全合作伙伴可以帮助您部署为 AWS 专门构建的、自动化且可扩展的安全解决方案,这些解决方案可以随着基础设施的扩展而扩展。
