AWS 安全与合规性AWS 介绍
AWS Shield
– 能够免费获得DDOS的保护,但是7 X 24支持就需要服务费高级版
AWS WAF
– 能够根据设定的规则过滤掉请求
AWS KMS ( Key Management Service )
– AWS KMS是AWS提供的一项密钥管理服务,用于创建、存储和管理加密密钥,帮助保护您在AWS中存储和传输的敏感数据
– EBS / S3 Buckets / Redshift DB / RDS DB / EFS Drives 可以手动启动加密
– Cloud Trails Logs / S3 Glacier / Storage Gateway 默认在AWS服务当中加密
– KMS 有3个种类
1. CloudHMS
– 这个是用户使用自己的硬件自己保存好密钥
2. Customer Managed CMK
– 密钥放在aws设备中,但是必须用户自行管理
3. AWS Managed CMK
– 密钥放在aws设备中,aws帮用户创建和管理
AWS Certificate Manager ( ACM )
– AWS 提供的证书管理服务,包括了私网和公网的SSL
– 凡是使用ALB的服务都能直接使用这个免费的SSL服务
AWS Secrets Manager
– 密码管理器,能够设定X天之后就结合使用Lambda刷新密码
– 能够结合数据库的密码来刷新(MySQL, Postgre, Aurora)
– 使用这服务的密码是加密在KMS的
AWS Guard Duty
– 使用机器学习来分析日志,检测可能的恶意活动和安全威胁
– 结合EventBridge 把收到的消息 往SNS发送通知,或使用Lambda进行自定义
AWS Inspector
– 使用SSM Agent扫描和评估安全漏洞
– Lamda的代码 或 ECR内的镜像都会扫描
– 一单有安全问题的话就会报去Security Hub,和推送至EventBridge做自动化的部署。
AWS Artifact
– 能够查看AWS获得的所有iso 或是pci等等的认证
AWS Config
– 能够跟踪服务器配置的的更改记录
– 能够设定安全的compliance rule 来查看服务器有没有达到要求
– 这个和CloudTrail很类似,但是CloudTrail是记录户口在调用API的操作AWS记录,而这个是记录服务器配置的更改记录
AWS Macie
– 可以自动识别和保护您在AWS云中存储的敏感数据。当您在AWS S3或数据存储中上传数据时,AWS Macie会利用机器学习和人工智能技术来扫描和分析这些数据,以确定其中是否包含敏感信息,如个人身份信息、信用卡号码、社会安全号码等。
AWS Security Hub
– 结合 Config / GuardDuty / Inspector / Macie / IAM Access Analyzer / 等等的安全产品,统一一个面板提供观察,而且也能够结合多个AWS户口一并管理
AWS Detective
– 通常使用了Security Hub能够找出漏洞,但是不知道具体什么原因导致的,所以需要使用这个服务来找出具体原因
– 这服务是用了机器学习,分析VPC Flow Logs / CloudTrail Log / GuardDuty 发现具体原因的
AWS Abuse
– 如果发现有人滥用AWS的基础设施进行攻击的话,可以email给AWS处理
AWS Root User Privileges (主账号权限)
– 以下的功能只能够主账号做
– 更改户口设定 、 查看一些invoice、关闭aws户口、更改 AWS Support Plan、申请成为一个卖家在marketplace卖出自己的reserved instance
AWS IAM Access Analyzer
– 可能我们设置了很多个户口不同的权限,有时也是会搞乱,所以需要使用这个服务检视已开放的权限,和设立权限的边界