© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS re:Invent 2019 的新安全积木
卢朝阳
AWS 云安全专业解决方案架构师2020年4月2日
AWS re:Invent 2019安全主题概览
总数
Level200
Level300
Level400
363
主题
监视应用程序异常行为
使用CloudFront
保护您的网站和基础架
构
在 AWS 上自动化安全性
上手使用AWS 标识
如何实现多账户安全性和合规性
借助 Snort
和 AWS 安全服务实现智能自动化
保护 Web 应用程序防范常见攻
击向量
理解 Landing
zone journey
保护无服务器应用程序和消息传递服务中
的数据
使用 AWS
Control
Tower
安全漏洞的识别和修复
打造最佳安全层
使用 AWS
Amplify 进行深度身份验证:Web 和 React
Native
深入研究AWS
CloudHSM
在 AWS 上实现您的身份,安全性和合规性目标
AWS Direct
Connect 的加密选项
4D 访问管理 Nitro 架构的安全性优势
推测和泄漏:定时侧通道和多租户计算
满足 IT 合规性要求的实用
模式
检测语音欺诈并通过语音生物识别技术对客户进行身份
验证
如何在受控环境中使用
Amazon EMR
进行分析
AWS 身份:权限边界和委
派
使用 Systems
Manager
Session
Manager 消除堡垒主机
无服务器应用程序的细粒度访问控
制
在云中构建安全的 API
AWS Identity:将 Cognito 用于无服务器消费者 Apps
在 Amazon EKS
上运行高安全性工作负载
借助 AWS
Fargate 打造高度安全的工作
负载
使用 Amazon
CloudFront,AWS WAF 和
Lambda @ Edge
阻止垃圾邮件发送者
使用 AWS IoT
构建安全的连接产品
使用 AWS IoT
云服务管理大型 IoT 车队的
安全性
从边缘到云设计安全的 IoT
解决方案
如何准备和响应您的
AWS 环境中的安全事件
最小特权之旅:IAM for
Financial
Services
适用于全栈安全实践的最佳
实践
适用于受管制行业的 Amazon
WorkSpaces
使用 Systems
Manager
Session
Manager 消除堡垒主机
Amazon
GuardDuty
简介
IoT 安全入门 AWS 云安全的基础
保护您的Amazon
Elasticsearch
Service 域
在 Amazon
RDS 和 Aurora
上部署 CIA 安全三合一模型
使用 Amplify
Framework 进行用户身份验证的完整指南
可行的访问控制:知道谁可以访问您的AWS 资源
在 iOS 应用中实现身份验证和授权流
使用 AWS KMS
进行数据保护,访问控制和审计
使用 AWS
Security Hub
遵从法规和安全要求
分解 Oauth
流程
确保Amazon VPC
安全的最佳实践
大规模治理:AWS Control
Tower,AWS
Organizations
等
金融服务中的设计隐私
使用 AWS
Amplify 进行深度身份验证:Web 和 React
Native
使用 IAM 和AWS
CloudFormat
ion 自动化安全管理
在金融服务中启用安全的 ML 部署
金融服务中的设计隐私
检测和防止数据泄露的最佳实践
60,000多名与会者、3,000多个技术会议、75多个服务启动
变更和配置管理
采取纵深防御方法构建 Web
应用程序
无服务器应用程序的细粒度访问控
制
在 AWS 上构建和保护金融服务数
据湖
AWS Identity:将 Cognito 用于无服务器消费者 Apps
管理:Amazon
GuardDuty
和 AWS
Security Hub
保护 检测 响应自动化
调查恢复识别
AWS Systems
Manager
AWS Config
AWS
Lambda
Amazon
CloudWatch
Amazon
Inspector
Amazon
Macie
Amazon
GuardDuty
AWS
Security Hub
AWS IoT
Device
Defender
KMSIAM
AWS
Single
Sign-On
Snapshot Archive
AWS
CloudTrail
Amazon
CloudWatch
Amazon
VPC
AWS WAF
AWS Shield AWS Secrets
Manager
AWS
Firewall
Manager
AWS 安全服务产品和概述
AWS
Organizations
Personal Health
Dashboard
Amazon
Route 53
AWS
Direct
Connect
AWS Transit
Gateway
Amazon VPC
PrivateLink
AWS Step
Functions
Amazon
Cloud
Directory
AWS
CloudHSM
AWS
Certificate
Manager
AWS Control
Tower
AWS Service
Catalog
AWS Well-
Architected
Tool
AWS
Trusted
Advisor
Resource
Access
manager
AWS
Directory
Service
Amazon
Cognito
Amazon S3
Glacier
AWS
Security Hub
AWS Systems
Manager AWS CloudFormation
AWS
OpsWorks
Amazon
Detective
AWS WAF
是云 Web 应用程序防火墙
特征 新的 AWS WAF AWS WAF 经典版
AWS 托管规则组 ✓
AWS Marketplace 卖方规则组 ✓ ✓
每个 Web ACL 的规则数 1,500 10
每个 Web ACL 的规则组数 1,500 2
托管规则不收取任何额外费用
U P D A T E S
AWS WAF-举例
一种云 Web 应用程序防火墙
基于速率的规则的使用案例
1. 客户想将超出配置的阈值速率(在每个连续 5 分钟的周期内可在 Web 请求中配置)的 IP 地址列入黑名单
2. 客户想知道哪些 IP 地址因超出配置的阈值速率而被列入黑名单
3. 客户想已添加到黑名单的 IP 地址在不再违反配置的阈值速率时自动从黑名单中删除
4. 客户想基于速率的规则将某些高流量源 IP 范围列入黑名单
5. 客户想基于速率的缓解限制为网站的特定 URL 或来自特定引用站点(或用户代理)的流量
6. 客户想基于速率的规则和字符串匹配条件,通过请求段是“URI”,限制对网站登录页面的请求
7. 客户想指定一个速率限制,如每 5 分钟 15000 个请求,将这条基于速率的规则添加到 Web ACL,即可按 IP 地址限制对您的登录页面的请求,并且不会影响站点的其余部分
8. 客户想配置 CloudFront,在请求受阻止时显示自定义的错误页面
新:AWS WAF 新增了一个日志字段 terminatingRuleMatchDetails,该字段可帮助您确定请求中被 SQLi 或 XSS 检测规则视为可疑的区域,一新的日志字段可帮助客户排查误报情况,以便快速确定要列入白名单的问题区域,该字段还可帮助客户找出请求中易受到攻击的区域。
Amazon Secrets Manager
新功能:
1、自动轮换密钥2、支持 VPC 端点策略3、符合 SOC、PCI、HIPPA 和 ISO 的要求
一种轮换、管理和检索数据库凭证、API 密钥的服务
AWS KMS
是一项托管式服务区域服务
新功能
1、支持创建和使用非对称 CMK 和数据密钥对的功能2、安全性和合规性通过 SOC 1/2/3、PCI 、HIPAA、FIPS 140-2 2 等认证3、指定 CMK 以用作签名密钥对或加密密钥对
U P D A T E S
AWS Security Hub
新功能:
1、安全中心现在支持与 AWS Firewall Manager 的集成2、安全中心现在支持与 Amazon Detective 集成3、安全中心现在支持与 IAM Access Analyzer 集成4、安全中心现在支持与 Palo Alto Networks Demisto,Rapid7 InsightConnect
和 Splunk Phantom 的集成。区域服务
支持多AWS账户
是一项集中管理安全告警和自动执行安全合规服务
U P D A T E S
AWS IAM Access Analyzer
免费提供!
N E W !
如果您的资源策略允许公共或跨帐户访问,则 IAM 的一项新功能可生成全面的调查结果
访问
您可以快速识别具有过多权限的资源,而无需深入了解策略识别
存档发现的结果以进行预期的访问,或通过更新策略来解决发现的问题,以保护您的资源免遭意外访问
保护
一种自动化推理工具
提供更高级别的安全保证
AWS IAM Access Analyzer
IAM
角色S3
存储桶Lambda
Functions
KMS
密钥SQS
队列
Who has access
to what
Who has access
to what
基于资源的政策
谁访问过什么
使客户可以更轻松地审核和了解保护其资源的策略
一种自动化推理工具
提供更高级别的安全保证
AWS IAM Access Analyzer
使用自动推理(一种数学逻辑和推理形式)来确定资源策略允许的所有可能的访问路径
持续监视并自动分析任何新的或更新的资源策略,以帮助您了解潜在的安全隐患
在几秒钟内分析成千上万条用于公共或跨帐户访问的策略
一种自动化推理工具
提供更高级别的安全保证
AWS IAM Access Analyzer for S3
一种自动化推理工具
提供更高级别的安全保证
如果您的资源策略是授权允许公共或跨帐户访问,通过 Access
Analyzer S3 能够生成全面的访问结果
在整个 AWS 组织中不断地识别具有过于广泛权限的资源
通过更新策略来解决发现的问题,以防止资源在发生意外访问之前被非授权访问,或者将发现问题存档以进行预期访问
Amazon Detective
新功能:
1、第一阶段:分类检测结果—快速确定是误报还是准报
2、第二阶段:事故深入调查—快速确定根本原因及其严重程度
3、第三阶段:主动分析威胁—资源相关联活动的可视化
Amazon Detective 安全行为流程
角色
用户IP 地址
存储桶
查询
策略列表触发器
启动
假定
是一个安全问题根本原因分析服务
不会跨 Region
Amazon Nitro Enclaves
主要特性:
隔离,硬化且高度受限的环境没有持久存储没有管理员或操作员访问实例与 enclave之间的通信是通过安全的本地通道进行的
是一种在 EC2 中创建隔离的计算环境的服务
N E W !
Nitro 构造块将继续在 Amazon EC2 及更高版本中应用
主要作用:
机密性:加密功能\无源通信设计
完整性:Nitro 控制器\主板安全启动过程,持续验证系统完整性
可用性:可完全更新系统,不会导致 VM 停机或 I/O 中断
通过创建隔离的计算环境保护高敏感度数据
保护和安全处理其Amazon EC2
实例中的高度敏感数据
M5安全的本地通道
Nitro Enclave
灵活的资源分配
Amazon Nitro Enclaves需求:云上各行各业都需要处理高度敏感的数据
EC2实例 A Enclave A EC2实例 B
一个实例内的的隔离 同一主机中 EC2 实例之间的隔离
包含信用卡号的加密文件
EC2 Host1000-10100-10101
Nitro Enclaves
额外的隔离
安全的本地通道
令牌转换器应用 APP
abc123412049ega
令牌
是一种在 EC2中创建隔离的计算环境的服务
保护和安全处理其 Amazon EC2
实例中的高度敏感数据
使用场景
AWS Marketplace简化软件预置
•按需部署软件•39 大类别的 7,000 多个产品•1,500 多家ISVs
•大于 26 万活跃客户•超过百万的订阅*
•每月启动超过 8.5 亿小时的 Amazon EC2
•可在 20 个区域部署•安全产品订阅量突破10 万*
* 数据截至2019年11月27日,订阅量量截至2019年5月3日,安全产品订阅量截至2019年6月4日
一句话:
• AWS WAF 支持托管规则 V2 更灵活和免费使用
• GuardDuty 支持 S3 的威胁检测
• KMS 支持非对称密钥加密和签名
• Secrets manager 支持 VPC Endpoint 策略
• Security Hub 支持客户自建安全中心,支持 Detective、 Access Analyzer 等集成
• IAM Access Analyzer 自动化推理工具,提供更高级别非授权访问安全保障
• Detective 通过机器学习,统计分析和可视化图使客户安全调查更快,更轻松
• Nitro Enclaves 创建一个独立的计算环境来处理高度敏感的数据