中国站 live - 2019-aws-reinvent-recap.s3.cn-north-1

中国站 L I V E

© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS re:Invent 2019 的新安全积木

卢朝阳

AWS 云安全专业解决方案架构师2020年4月2日

日程

一．AWS 安全积木概述

二．AWS 安全积木更新

三．AWS 安全积木新增

四．AWS Marketplace 安全积木列表

AWS re:Invent 2019安全主题概览

总数

Level200

Level300

Level400

363

主题

监视应用程序异常行为

使用CloudFront

保护您的网站和基础架

构

在 AWS 上自动化安全性

上手使用AWS 标识

如何实现多账户安全性和合规性

借助 Snort

和 AWS 安全服务实现智能自动化

保护 Web 应用程序防范常见攻

击向量

理解 Landing

zone journey

保护无服务器应用程序和消息传递服务中

的数据

使用 AWS

Control

Tower

安全漏洞的识别和修复

打造最佳安全层

使用 AWS

Amplify 进行深度身份验证：Web 和 React

Native

深入研究AWS

CloudHSM

在 AWS 上实现您的身份，安全性和合规性目标

AWS Direct

Connect 的加密选项

4D 访问管理 Nitro 架构的安全性优势

推测和泄漏：定时侧通道和多租户计算

满足 IT 合规性要求的实用

模式

检测语音欺诈并通过语音生物识别技术对客户进行身份

验证

如何在受控环境中使用

Amazon EMR

进行分析

AWS 身份：权限边界和委

派

使用 Systems

Manager

Session

Manager 消除堡垒主机

无服务器应用程序的细粒度访问控

制

在云中构建安全的 API

AWS Identity：将 Cognito 用于无服务器消费者 Apps

在 Amazon EKS

上运行高安全性工作负载

借助 AWS

Fargate 打造高度安全的工作

负载

使用 Amazon

CloudFront，AWS WAF 和

Lambda @ Edge

阻止垃圾邮件发送者

使用 AWS IoT

构建安全的连接产品

使用 AWS IoT

云服务管理大型 IoT 车队的

安全性

从边缘到云设计安全的 IoT

解决方案

如何准备和响应您的

AWS 环境中的安全事件

最小特权之旅：IAM for

Financial

Services

适用于全栈安全实践的最佳

实践

适用于受管制行业的 Amazon

WorkSpaces

使用 Systems

Manager

Session

Manager 消除堡垒主机

Amazon

GuardDuty

简介

IoT 安全入门 AWS 云安全的基础

保护您的Amazon

Elasticsearch

Service 域

在 Amazon

RDS 和 Aurora

上部署 CIA 安全三合一模型

使用 Amplify

Framework 进行用户身份验证的完整指南

可行的访问控制：知道谁可以访问您的AWS 资源

在 iOS 应用中实现身份验证和授权流

使用 AWS KMS

进行数据保护，访问控制和审计

使用 AWS

Security Hub

遵从法规和安全要求

分解 Oauth

流程

确保Amazon VPC

安全的最佳实践

大规模治理：AWS Control

Tower，AWS

Organizations

等

金融服务中的设计隐私

使用 AWS

Amplify 进行深度身份验证：Web 和 React

Native

使用 IAM 和AWS

CloudFormat

ion 自动化安全管理

在金融服务中启用安全的 ML 部署

金融服务中的设计隐私

检测和防止数据泄露的最佳实践

60,000多名与会者、3,000多个技术会议、75多个服务启动

变更和配置管理

采取纵深防御方法构建 Web

应用程序

无服务器应用程序的细粒度访问控

制

在 AWS 上构建和保护金融服务数

据湖

AWS Identity：将 Cognito 用于无服务器消费者 Apps

管理：Amazon

GuardDuty

和 AWS

Security Hub

AWS 的规模带来的安全能力

所有服务支持服务器端加密

100%符合 GDPR 要求

230个安全、合规和重要功能

保护检测响应自动化

调查恢复识别

AWS Systems

Manager

AWS Config

AWS

Lambda

Amazon

CloudWatch

Amazon

Inspector

Amazon

Macie

Amazon

GuardDuty

AWS

Security Hub

AWS IoT

Device

Defender

KMSIAM

AWS

Single

Sign-On

Snapshot Archive

AWS

CloudTrail

Amazon

CloudWatch

Amazon

VPC

AWS WAF

AWS Shield AWS Secrets

Manager

AWS

Firewall

Manager

AWS 安全服务产品和概述

AWS

Organizations

Personal Health

Dashboard

Amazon

Route 53

AWS

Direct

Connect

AWS Transit

Gateway

Amazon VPC

PrivateLink

AWS Step

Functions

Amazon

Cloud

Directory

AWS

CloudHSM

AWS

Certificate

Manager

AWS Control

Tower

AWS Service

Catalog

AWS Well-

Architected

Tool

AWS

Trusted

Advisor

Resource

Access

manager

AWS

Directory

Service

Amazon

Cognito

Amazon S3

Glacier

AWS

Security Hub

AWS Systems

Manager AWS CloudFormation

AWS

OpsWorks

Amazon

Detective

AWS 基础安全服务

基础安全服务

基础：2020 年客户安全团队需要花时间的十大策略

基础：2020 年客户安全团队需要实施安全自动化的前五件事

工单IAM 策略日志记录威胁检测警报

AWS 5个安全服务的更新

AWS WAF

是云 Web 应用程序防火墙

特征新的 AWS WAF AWS WAF 经典版

AWS 托管规则组 ✓

AWS Marketplace 卖方规则组 ✓ ✓

每个 Web ACL 的规则数 1,500 10

每个 Web ACL 的规则组数 1,500 2

托管规则不收取任何额外费用

U P D A T E S

AWS WAF-Demo

一种云 Web 应用程序防火墙

AWS WAF-举例

一种云 Web 应用程序防火墙

基于速率的规则的使用案例

1. 客户想将超出配置的阈值速率（在每个连续 5 分钟的周期内可在 Web 请求中配置）的 IP 地址列入黑名单

2. 客户想知道哪些 IP 地址因超出配置的阈值速率而被列入黑名单

3. 客户想已添加到黑名单的 IP 地址在不再违反配置的阈值速率时自动从黑名单中删除

4. 客户想基于速率的规则将某些高流量源 IP 范围列入黑名单

5. 客户想基于速率的缓解限制为网站的特定 URL 或来自特定引用站点（或用户代理）的流量

6. 客户想基于速率的规则和字符串匹配条件，通过请求段是“URI”，限制对网站登录页面的请求

7. 客户想指定一个速率限制，如每 5 分钟 15000 个请求，将这条基于速率的规则添加到 Web ACL，即可按 IP 地址限制对您的登录页面的请求，并且不会影响站点的其余部分

8. 客户想配置 CloudFront，在请求受阻止时显示自定义的错误页面

新：AWS WAF 新增了一个日志字段 terminatingRuleMatchDetails，该字段可帮助您确定请求中被 SQLi 或 XSS 检测规则视为可疑的区域，一新的日志字段可帮助客户排查误报情况，以便快速确定要列入白名单的问题区域，该字段还可帮助客户找出请求中易受到攻击的区域。

Amazon GuardDuty

一种智能威胁检测服务

U P D A T E S

Amazon Secrets Manager

新功能：

1、自动轮换密钥2、支持 VPC 端点策略3、符合 SOC、PCI、HIPPA 和 ISO 的要求

一种轮换、管理和检索数据库凭证、API 密钥的服务

AWS KMS

是一项托管式服务区域服务

新功能

1、支持创建和使用非对称 CMK 和数据密钥对的功能2、安全性和合规性通过 SOC 1/2/3、PCI 、HIPAA、FIPS 140-2 2 等认证3、指定 CMK 以用作签名密钥对或加密密钥对

U P D A T E S

AWS Security Hub

新功能：

1、安全中心现在支持与 AWS Firewall Manager 的集成2、安全中心现在支持与 Amazon Detective 集成3、安全中心现在支持与 IAM Access Analyzer 集成4、安全中心现在支持与 Palo Alto Networks Demisto，Rapid7 InsightConnect

和 Splunk Phantom 的集成。区域服务

支持多AWS账户

是一项集中管理安全告警和自动执行安全合规服务

U P D A T E S

新增三项 AWS 安全功能和服务

Amazon Detective

AWS IAM Access Analyzer

AWS Nitro Enclaves


免费提供！

N E W !

如果您的资源策略允许公共或跨帐户访问，则 IAM 的一项新功能可生成全面的调查结果

访问

您可以快速识别具有过多权限的资源，而无需深入了解策略识别

存档发现的结果以进行预期的访问，或通过更新策略来解决发现的问题，以保护您的资源免遭意外访问

保护

一种自动化推理工具

提供更高级别的安全保证


IAM

角色S3

存储桶Lambda

Functions

KMS

密钥SQS

队列

Who has access

to what

Who has access

to what

基于资源的政策

谁访问过什么

使客户可以更轻松地审核和了解保护其资源的策略




使用自动推理（一种数学逻辑和推理形式）来确定资源策略允许的所有可能的访问路径

持续监视并自动分析任何新的或更新的资源策略，以帮助您了解潜在的安全隐患

在几秒钟内分析成千上万条用于公共或跨帐户访问的策略



AWS IAM Access Analyzer for S3



如果您的资源策略是授权允许公共或跨帐户访问，通过 Access

Analyzer S3 能够生成全面的访问结果

在整个 AWS 组织中不断地识别具有过于广泛权限的资源

通过更新策略来解决发现的问题，以防止资源在发生意外访问之前被非授权访问，或者将发现问题存档以进行预期访问

Amazon Detective

是一种安全问题根本原因分析服务

不会跨 Region

Amazon Detective

新功能：

1、第一阶段：分类检测结果—快速确定是误报还是准报

2、第二阶段：事故深入调查—快速确定根本原因及其严重程度

3、第三阶段：主动分析威胁—资源相关联活动的可视化

Amazon Detective 安全行为流程

角色

用户IP 地址

存储桶

查询

策略列表触发器

启动

假定

是一个安全问题根本原因分析服务

不会跨 Region

Amazon Detective

是一个安全问题根本原因分析服务

不会跨 Region

Amazon Nitro Enclaves

主要特性：

隔离，硬化且高度受限的环境没有持久存储没有管理员或操作员访问实例与 enclave之间的通信是通过安全的本地通道进行的

是一种在 EC2 中创建隔离的计算环境的服务

N E W !

Nitro 构造块将继续在 Amazon EC2 及更高版本中应用

主要作用：

机密性：加密功能\无源通信设计

完整性：Nitro 控制器\主板安全启动过程,持续验证系统完整性

可用性：可完全更新系统，不会导致 VM 停机或 I/O 中断

通过创建隔离的计算环境保护高敏感度数据

保护和安全处理其Amazon EC2

实例中的高度敏感数据

M5安全的本地通道

Nitro Enclave

灵活的资源分配

Amazon Nitro Enclaves需求：云上各行各业都需要处理高度敏感的数据

EC2实例 A Enclave A EC2实例 B

一个实例内的的隔离同一主机中 EC2 实例之间的隔离

包含信用卡号的加密文件

EC2 Host1000-10100-10101

Nitro Enclaves

额外的隔离

安全的本地通道

令牌转换器应用 APP

abc123412049ega

令牌

是一种在 EC2中创建隔离的计算环境的服务

保护和安全处理其 Amazon EC2

实例中的高度敏感数据

使用场景

AWS Marketplace简化软件预置

•按需部署软件•39 大类别的 7,000 多个产品•1,500 多家ISVs

•大于 26 万活跃客户•超过百万的订阅*

•每月启动超过 8.5 亿小时的 Amazon EC2

•可在 20 个区域部署•安全产品订阅量突破10 万*

* 数据截至2019年11月27日，订阅量量截至2019年5月3日，安全产品订阅量截至2019年6月4日

AWS Marketplace China 产品及供应商概览

一句话：

• AWS WAF 支持托管规则 V2 更灵活和免费使用

• GuardDuty 支持 S3 的威胁检测

• KMS 支持非对称密钥加密和签名

• Secrets manager 支持 VPC Endpoint 策略

• Security Hub 支持客户自建安全中心，支持 Detective、 Access Analyzer 等集成

• IAM Access Analyzer 自动化推理工具，提供更高级别非授权访问安全保障

• Detective 通过机器学习，统计分析和可视化图使客户安全调查更快，更轻松

• Nitro Enclaves 创建一个独立的计算环境来处理高度敏感的数据

2020 –期待的安全团队的目标

知道谁可以访问什么

细化权限

自动化

Thank you!


中国站 live - 2019-aws-reinvent-recap.s3.cn-north-1

Documents