方案介绍 该解决方案是依赖于开源软件并结合 AWS 其他安全服务，提供一种开箱即用并且满足常用的 18 种行业安全合规的框架的，并且能够周期性的自动检测AWS 相关资源的解决方案。解决方案会扫描您的AWS账户以检查潜在漏洞，过度宽松的身份和访问管理（IAM）权限以及违反最佳实践的行为。并发送非合规的详细告警信息到 Security Hub, 用于帮到用户及时的识别和发现AWS 风险设置，以确保您拥有一个安全的环境并采取适当的保护措施。 为什么采用该解决方案 用户角度 对于许多机构来说，合规性负担正在增加，但是IT机构用于合规性的预算却未能跟上增长的步伐。被迫以更少的资源完成更多的工作，越来越多的安全负责人认识到自动化是必然趋势，以便 …

背景 安全运营团队依靠收集日志和使用搜索工具来发现需要关注的潜在事件，这些事件可能代表未经授权的活动或无意的更改。但是，仅仅分析收集的数据和手动处理信息不足以应对从复杂架构流出的大量信息。单凭分析和报告无法及时分配合适的资源来处理事件。 构建成熟的安全运营团队的最佳实践是将安全事件和结果的流程深度集成到通知和工作流系统中，例如票证系统、错误/问题系统或其他安全信息和事件管理 (SIEM) 系统。这样，工作流可以摆脱电子邮件和静态报告，让您能够路由、上报和管理事件或调查结果。许多组织也在逐步将安全警报集成到他们的聊天/协作和开发人员工作效率平台中。对于正在踏上自动化之旅的组织，一个由 API 驱动的低延迟票证系统能够在规划“首要自动化 …

OpenSCAP 系统漏洞扫描及加固解决方案 为什么需要漏洞扫描 需要周期性的对EC2进行漏洞扫描，并需要打补丁。 操作系统多, Linux (Amzn2 Linux, Centos, Redhat, Ubuntu, Windows..) 多种合规性框架，例如PCI-DSS， GDPR等。 Inspector 中国没有GA。 需要开源-白盒规则，并且规则可扩充。 方案低成本。 什么是SCAP SCAP 的全称是Security Content Automation Protocol, 翻译过来就是安全内容自动化协议，它其实是一套由美国国家标准与技术研究院（NIST）提出来的信息安全评估标准体系及维护的一系列规范。 SCAP （安 …

自动化高可靠Openswan on AWS - IPsec VPN 解决方案 - v2 背景 VPN种类 一类是工作于客户端到服务端(Remote Access)的模式，像OpenVPN，SSL VPN，L2TP，PPTP这些都是需要客户端主动发起连接，拨到Server端在两者之间建立一个逻辑上的隧道 (tunnel)进行通信。这种方式一般适用于个人到总部场景。服务器是无法主动发起连接到客户端。 另外一种就是站点到站点（Site-to-Site）的模式，像OpenSwan，StrongSwan， Raccoon 等软件，这种情况下两端会各有一个设备负责来建立两个站点之间安全通信的隧道，任何需要到对端的通信都会触发设备来建立安全隧道 …

背景 AWS Cognito User Pool是AWS做为身份池的托管服务，在许多AWS Solutions或是用户创建的WEB/移动端应用都被广泛的使用。通过该服务可以快速建立一个身份池并与AWS的其他服务集成，并用来做身份认证和授权。一个常用的场景是API Gateway可以集成Cognito User Pool进行用户身份认证与授权，方便对API进行保护。另一个常用的场景是结合Cognito Identity Pool来在Web或移动端安全地获取AWS临时密钥，进而访问其他AWS服务。 解决方案概览 2014 年，AWS IAM 使用 OpenID Connect (OIDC) 增加了对联合身份的支持。此功能允许您通过支持的 …

Fortinet Fortiweb WAF for AWS 解决方案 AWS China 官方页面 链接 https://www.amazonaws.cn/solutions/waf-using-fortiweb/ 部署指南 https://s3.cn-north-1.amazonaws.com.cn/aws-dam-prod/china/Solutions/WAF_using_Fortiweb/Deployment_With_Fortiweb_WAF_DeploymentGuide.pdf 背景 本部署指南详细描述了如何在云上使用 AWS CloudFormation 模板部署 Fortinet FortiWeb …

原始链接见： https://aws.amazon.com/cn/blogs/china/how-to-use-amazon-macie-for-security-data-automatic-classification-and-user-behavior-monitoring/ 当我们在Amazon S3中存储大量内容时，识别和分类其中潜在敏感数据可能会有点像在一个非常大的干草堆中找绣花针针，整个的过程是非常低效。那么能否有一种工具可以在数据加入到S3后就自动的识别敏感信息并自动进行分类？ 同时在我们日常的工作中，访问数据的时间间隔及物理位置相对的固定。如果发生异常的事件，例如原来某个用户一天访问一到两个文件，但如果突然在某天访 …