方案介绍 该解决方案是依赖于开源软件并结合 AWS 其他安全服务，提供一种开箱即用并且满足常用的 18 种行业安全合规的框架的，并且能够周期性的自动检测AWS 相关资源的解决方案。解决方案会扫描您的AWS账户以检查潜在漏洞，过度宽松的身份和访问管理（IAM）权限以及违反最佳实践的行为。并发送非合规的详细告警信息到 Security Hub, 用于帮到用户及时的识别和发现AWS 风险设置，以确保您拥有一个安全的环境并采取适当的保护措施。 为什么采用该解决方案 用户角度 对于许多机构来说，合规性负担正在增加，但是IT机构用于合规性的预算却未能跟上增长的步伐。被迫以更少的资源完成更多的工作，越来越多的安全负责人认识到自动化是必然趋势，以便 …

背景 安全运营团队依靠收集日志和使用搜索工具来发现需要关注的潜在事件，这些事件可能代表未经授权的活动或无意的更改。但是，仅仅分析收集的数据和手动处理信息不足以应对从复杂架构流出的大量信息。单凭分析和报告无法及时分配合适的资源来处理事件。 构建成熟的安全运营团队的最佳实践是将安全事件和结果的流程深度集成到通知和工作流系统中，例如票证系统、错误/问题系统或其他安全信息和事件管理 (SIEM) 系统。这样，工作流可以摆脱电子邮件和静态报告，让您能够路由、上报和管理事件或调查结果。许多组织也在逐步将安全警报集成到他们的聊天/协作和开发人员工作效率平台中。对于正在踏上自动化之旅的组织，一个由 API 驱动的低延迟票证系统能够在规划“首要自动化 …

OpenSCAP 系统漏洞扫描及加固解决方案 为什么需要漏洞扫描 需要周期性的对EC2进行漏洞扫描，并需要打补丁。 操作系统多, Linux (Amzn2 Linux, Centos, Redhat, Ubuntu, Windows..) 多种合规性框架，例如PCI-DSS， GDPR等。 Inspector 中国没有GA。 需要开源-白盒规则，并且规则可扩充。 方案低成本。 什么是SCAP SCAP 的全称是Security Content Automation Protocol, 翻译过来就是安全内容自动化协议，它其实是一套由美国国家标准与技术研究院（NIST）提出来的信息安全评估标准体系及维护的一系列规范。 SCAP （安 …

自动化高可靠Openswan on AWS - IPsec VPN 解决方案 - v2 背景 VPN种类 一类是工作于客户端到服务端(Remote Access)的模式，像OpenVPN，SSL VPN，L2TP，PPTP这些都是需要客户端主动发起连接，拨到Server端在两者之间建立一个逻辑上的隧道 (tunnel)进行通信。这种方式一般适用于个人到总部场景。服务器是无法主动发起连接到客户端。 另外一种就是站点到站点（Site-to-Site）的模式，像OpenSwan，StrongSwan， Raccoon 等软件，这种情况下两端会各有一个设备负责来建立两个站点之间安全通信的隧道，任何需要到对端的通信都会触发设备来建立安全隧道 …

更详细的Workshop 请见 https://catalog.us-east-1.prod.workshops.aws/workshops/fd42edbb-d80d-4340-9e4b-f928e1e0794a 什么是AWS Transit Gateway AWS Transit Gateway 是一项服务，使客户能够将其Amazon Virtual Private Cloud（VPC）和其内部部署网络连接到高度可用的网关。 AWS Transit Gateway提供更轻松的连接，更好的可见性，更多控制和按需带宽。 AWS Transit Gateway 通过中央枢纽连接 VPC 和本地网络。这简化了您的网络，并且结束了复杂的对 …

GDPR 背景 2018年5月25日，GDPR将正式生效，并取代当前的数据保护指令（DPD）。该规范比指令更有力，因为它不需要由每个成员国单独采用。相反，自生效之日起，所有成员国的法规将立即适用于法律。此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。但是，GDPR的合规要求是相当高的，需要大多数企业投入大量的人力、财力才能得以实现。 欧盟议会于2016年4月通过了GDPR新规，用于取代1995年发布的过时的数据保护指令（DPD）。新的指令完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司必须存储安全和管理个人数据的方 …

背景 随着企业数字化转型脚步的加快和云技术的发展和进步，越来越多的企业将自身拥有的传统IT服务模式，转变为基于虚拟化技术建立的云模式。 目前，采用云计算已经成为企业IT实践的新常态。自2006年AWS提出第一个云计算服务以来，历经十几年的发展，云计算技术愈加完善，并且逐步增加了对行业的支持，为企业带来了诸多便利。在业务敏捷、成本优化、运营收益、敏捷运维、合规性等方面，体现了巨大优势。在生命科学行业，如何将云的优势转化为企业的竞争优势，成为了管理者和决策者值得思考的议题。 对于制药企业来说，本地储存庞大且持续增长的用户档案和信息会产生巨大的花费。而现在人口的急速扩张和平均寿命的增加扩大了制药企业储存数据的成本负担。迁移到云端意味着制药 …

背景 AWS Cognito User Pool是AWS做为身份池的托管服务，在许多AWS Solutions或是用户创建的WEB/移动端应用都被广泛的使用。通过该服务可以快速建立一个身份池并与AWS的其他服务集成，并用来做身份认证和授权。一个常用的场景是API Gateway可以集成Cognito User Pool进行用户身份认证与授权，方便对API进行保护。另一个常用的场景是结合Cognito Identity Pool来在Web或移动端安全地获取AWS临时密钥，进而访问其他AWS服务。 解决方案概览 2014 年，AWS IAM 使用 OpenID Connect (OIDC) 增加了对联合身份的支持。此功能允许您通过支持的 …

Fortinet Fortiweb WAF for AWS 解决方案 AWS China 官方页面 链接 https://www.amazonaws.cn/solutions/waf-using-fortiweb/ 部署指南 https://s3.cn-north-1.amazonaws.com.cn/aws-dam-prod/china/Solutions/WAF_using_Fortiweb/Deployment_With_Fortiweb_WAF_DeploymentGuide.pdf 背景 本部署指南详细描述了如何在云上使用 AWS CloudFormation 模板部署 Fortinet FortiWeb …

什么是 PCI DSS 支付卡行业安全标准是 PCI 安全标准协会 (PCI SSC) 制定的用来保护持卡人数据安全的技术与作业要求，适用于所有涉及储存、 处理或传输持卡人数据的组织。PCI 安全标准协会负责管理支付卡行业安全标准，该标准由其创始成员美国运通 (American Express)、发现金融服务 (Discover Financial Services)、JCB 国际、万事达 (MasterCard Worldwide) 和 Visa 国际所共同制定， 并以五种不同的方案面世，包括:Visa 卡信息安全计划、Master 卡站点持卡人数据保护、American Express 卡持卡人数据安 全作业政 …

原始链接见： https://aws.amazon.com/cn/blogs/china/how-to-use-amazon-macie-for-security-data-automatic-classification-and-user-behavior-monitoring/ 当我们在Amazon S3中存储大量内容时，识别和分类其中潜在敏感数据可能会有点像在一个非常大的干草堆中找绣花针针，整个的过程是非常低效。那么能否有一种工具可以在数据加入到S3后就自动的识别敏感信息并自动进行分类？ 同时在我们日常的工作中，访问数据的时间间隔及物理位置相对的固定。如果发生异常的事件，例如原来某个用户一天访问一到两个文件，但如果突然在某天访 …