[转]AWS 安全、身份和合规性
AWS Security, Identity, and Compliance category icon 安全、身份和合规性 - 亚马逊 Web Services 概述 (amazon.com)
安全、身份和合规性
主题
- Amazon Cognito
- Amazon Detective
- Amazon GuardDuty
- Amazon Inspector
- Amazon Macie
- Amazon Security Lake
- Amazon Verified Permissions
- AWS Artifact
- AWS Audit Manager
- AWS Certificate Manager
- AWS CloudHSM
- AWS Directory Service
- AWS Firewall Manager
- AWS Identity and Access Management
- AWS Key Management Service
- AWS Network Firewall
- AWS Resource Access Manager
- AWS Secrets Manager
- AWS Security Hub
- AWS Shield
- AWS IAM Identity Center
- AWS WAF
- AWS WAF 验证码
Amazon Cognito
Amazon Cognito 允许您快速、轻松地将用户注册、登录和访问控制添加到您的网络和移动应用程序。借助 Amazon Cognito,您可以扩展到数百万用户,并支持使用社交身份提供商(例如苹果、Facebook、Twitter 或亚马逊)进行登录,使用 SAML 2.0 身份解决方案或使用自己的身份系统进行登录。
此外,Amazon Cognito 还允许您在用户设备上本地保存数据,即使设备处于离线状态,您的应用程序也能正常运行。然后,您可以跨用户的设备同步数据,这样无论他们使用何种设备,他们的应用程序体验都保持一致。
借助 Amazon Cognito,您可以专注于创建出色的应用程序体验,而不必担心构建、保护和扩展解决方案来处理用户管理、身份验证和跨设备同步。
Amazon Detective
Amazon Detective 可以轻松分析、调查和快速识别潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据,并使用机器学习、统计分析和图论来构建一组关联的数据,使您能够轻松地进行更快、更高效的安全调查。Amazon Detective 进一步简化了账户管理,用于对组织中所有现有和未来账户进行 AWS Organizations 安全操作和调查,最多可容纳 1,200 个 AWS 账户。
AWS Amazon GuardDuty、Amazon Macie 等安全服务以及合作伙伴安全产品可用于识别潜在的安全问题或发现。 AWS Security Hub这些服务非常有助于在 AWS 部署中可能出现未经授权的访问或可疑行为的时间和地点向您发出警报。但是,有时您希望对导致发现的事件进行更深入的调查,以纠正根本原因。对于安全分析人员来说,确定安全发现的根本原因可能是一个复杂的过程,通常涉及从多个数据源收集和合并日志,使用提取、转换和加载 (ETL) 工具以及自定义脚本来组织数据。
Amazon Detective 使您的安全团队能够轻松调查并快速找到发现的根本原因,从而简化了这一过程。Detective 可以分析来自多个数据源的数万亿个事件,例如亚马逊虚拟私有云 (VPC)、 AWS CloudTrail Flow Logs 和亚马逊。 GuardDutyDetective 使用这些事件自动创建统一的交互式视图,显示您的资源、用户以及他们之间随着时间的推移而发生的互动。有了这个统一的视图,你可以在一个地方可视化所有细节和背景,以确定发现的根本原因,深入研究相关的历史活动,并快速确定根本原因。
只需点击几下,你就可以开始使用 Amazon Detective AWS Management Console了。无需部署软件,也无需启用和维护数据源。您可以免费试用 Detective,新账户可免费试用 30 天。
Amazon GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可持续监控恶意活动和异常行为,以保护您的工作负载 AWS 账户、Kubernetes 集群和存储在亚马逊简单存储服务 (Amazon S3) Simple S3 中的数据。该 GuardDuty服务会监控诸如异常 API 调用、未经授权的部署以及表明可能存在账户侦察或泄露的凭据之类的活动。
AWS Organizations Amazon 只需点击几下即可启用, AWS Management Console 并在其支持下在整个组织范围内轻松进行管理, GuardDuty 可以立即开始分析您 AWS 账户中的数十亿个事件,以寻找未经授权使用的迹象。 GuardDuty 通过集成的威胁情报源和机器学习异常检测来识别可疑攻击者,以检测账户和工作负载活动中的异常。当检测到潜在的未经授权的使用时,该服务会向 GuardDuty 控制台、Amazon Ev CloudWatch ents 和 AWS Security Hub。这使得调查结果具有可操作性,并且易于集成到现有的事件管理和工作流程系统中。通过直接从 GuardDuty 控制台使用 Amazon Detective,可以轻松完成进一步调查以确定发现的根本原因。
GuardDuty Amazon 具有成本效益且易于操作。它不需要您部署和维护软件或安全基础架构,这意味着它可以快速启用,而不会对现有应用程序和容器工作负载产生负面影响。无需预付成本 GuardDuty,无需部署软件,也无需启用威胁情报源。此外,通过应用智能筛选器并仅分析与威胁检测相关的部分日志来 GuardDuty优化成本,并且新的Amazon GuardDuty 账户可免费使用30天。
Amazon Inspector
Amazon Inspector 是一项新的自动漏洞管理服务,可持续扫描 AWS 工作负载中是否存在软件漏洞和意外网络泄露。只需在 AWS Management Console 和中点击几下 AWS Organizations,即可在组织中的所有账户中使用 Amazon Inspector。启动后,Amazon Inspector 会自动发现任何规模的亚马逊弹性计算云 (Amazon EC2) 实例和驻留在亚马逊弹性容器注册表 (Amazon ECR) Elastic Registry 中的容器映像,并立即开始评估它们是否存在已知漏洞。
与亚马逊 Inspector Classic 相比,Amazon Inspector 例如,新的 Amazon Inspector 通过将常见漏洞和风险敞口 (CVE) 信息与网络访问和可利用性等因素关联起来,计算出每项发现的高度情境化的风险评分。该分数用于对最严重的漏洞进行优先排序,以提高修复响应效率。此外,Amazon Inspec AWS Systems Manager tor 现在使用广泛部署的代理(SSM 代理),您无需部署和维护独立代理来运行 Amazon EC2 实例评估。对于容器工作负载,Amazon Inspector 现已与 Amazon Elastic Container Registry (Amazon ECR) 集成,以支持对容器映像进行智能、经济高效且持续的漏洞评估。所有调查结果都汇总在 Amazon Inspector 控制台中 AWS Security Hub,发送到亚马逊并通过亚马逊推送, EventBridge 以实现工单等工作流程的自动化。
所有新使用 Amazon Inspector 的账户都有资格获得 15 天的免费试用,以评估该服务并估算其成本。在试用期间,所有符合条件的 Amazon EC2 实例和推送到 Amazon ECR 的容器镜像都将免费持续扫描。
Amazon Macie
Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它使用库存评估、机器学习和模式匹配来发现 Amazon S3 环境中的敏感数据和可访问性。Macie 支持可扩展的按需和自动敏感数据发现任务,这些任务会自动跟踪存储桶的更改,并且只会随着时间的推移评估新的或修改的对象。使用 Macie,您可以检测许多国家和地区的大量且不断增长的敏感数据类型,包括多种类型的财务数据、个人健康信息 (PHI) 和个人身份信息 (PII) 以及自定义类型。Macie 还会持续评估您的 Amazon S3 环境,为您的所有账户提供 S3 资源摘要和安全评估。您可以按元数据变量(例如存储桶名称、标签以及加密状态或公共可访问性等安全控件)搜索、筛选和排序 S3 存储桶。对于任何未加密的存储桶、可公开访问的存储分区或与您在中定义的存储分区 AWS 账户 之外共享的存储桶 AWS Organizations,您可以收到提醒您采取行动。
在多账户配置中,一个 Macie 管理员账户可以管理所有成员账户,包括跨账户创建和管理敏感数据发现任务。 AWS Organizations安全和敏感数据发现结果汇总到 Macie 管理员账户中,并发送到 Amazon Event CloudWatch s 和 AWS Security Hub。现在,只需一个帐户,您就可以与事件管理、工作流程和票务系统集成,或者将 Macie 的调查结果与一起 AWS Step Functions 自动执行补救措施。您可以使用 30 天免费试用 S3 存储桶清单和存储桶级别评估的新账户快速开始使用 Macie。存储桶评估的 30 天试用版中不包括敏感数据发现。
Amazon Security Lake
Amazon Security Lake 将来自本地 AWS 环境、SaaS 提供商和云源的安全数据集中到专门构建的数据湖中,并存储在您的数据湖中。 AWS 账户 Security Lake 可自动收集和管理跨账户的安全数据, AWS 区域 因此您可以使用首选的分析工具,同时保留对安全数据的控制权和所有权。借助 Security Lake,您还可以改善对工作负载、应用程序和数据的保护。
Security Lake 可自动从集成 AWS 服务和第三方服务中收集与安全相关的日志和事件数据。它还可以通过可自定义的保留设置帮助您管理数据的生命周期。数据湖由 Amazon S3 存储桶提供支持,您保留对数据的所有权。Security Lake 会将摄取的数据转换为 Apache Parquet 格式和名为开放网络安全架构框架 (OCSF) 的标准开源架构。在 OCSF 的支持下,Security Lake 可以标准化 AWS 并合并来自各种企业安全数据源的安全数据。
其他 AWS 服务和第三方服务可以订阅存储在 Security Lake 中的数据,用于事件响应和安全数据分析。
Amazon Verified Permissions
Amazon V erified Permissions 是一项可扩展、精细的权限管理和授权服务,适用于您构建的自定义应用程序。Verified Permissions 通过将授权外部化和集中策略管理,使开发人员能够更快地构建安全的应用程序。
Verified Permissions 使用 Cedar(一种开源策略语言和 SDK)为应用程序用户定义细粒度的权限。您的授权模型是使用主体类型、资源类型和有效操作来定义的,以控制谁可以在给定的应用程序上下文中对哪些资源采取哪些操作。我们会对政策变更进行审计,以便您可以看到谁在何时进行了更改。
AWS Artifact
AWS Artifact是您获取对您重要的合规相关信息的首选中心资源。它允许按需访问 AWS 安全与合规报告以及精选在线协议。中提供的报告 AWS Artifact 包括我们的服务组织控制 (SOC) 报告、支付卡行业 (PCI) 报告,以及来自不同地区和合规垂直领域的认证机构的认证,这些认证机构可以验证安全控制的实施和运营有效性。 AWS 中提供的协议 AWS Artifact 包括商业伙伴附录 (BAA) 和保密协议 (NDA)。
AWS Audit Manager
AWS Audit Manager帮助您持续审计 AWS 使用情况,以简化评估风险以及对法规和行业标准的合规性的方式。Audit Manager 可自动收集证据,以减少审计中经常发生的 “全力以赴” 的手动工作,并使您能够随着业务的增长在云端扩展审计能力。使用 Audit Manager,可以轻松评估您的策略、程序和活动(也称为控制)是否有效运行。当需要进行审计时, AWS Audit Manager 可以帮助您管理利益相关者对控制措施的审查,并使您能够以更少的手动工作来生成可供审计的报告。
通过将您的 AWS 资源与行业标准或法规(例如CIS AWS Foundations Benchmark、《通用数据保护条例》(GDPR) 和支付卡行业数据安全标准 (PCI DSS))的要求对应起来, AWS Audit Manager 预先构建的框架有助于将云服务的证据转化为便于审计员使用的报告。您还可以根据自己的独特业务需求完全自定义框架及其控件。根据您选择的框架,Audit Manager 会启动一项评估,持续收集和整理来自您的 AWS 账户和资源的相关证据,例如资源配置快照、用户活动和合规性检查结果。
您可以在. 中快速入门 AWS Management Console。只需选择一个预先构建的框架即可启动评估,然后开始自动收集和整理证据。
AWS Certificate Manager
AWS Certificate Manager是一项服务,可让您轻松配置、管理和部署安全套接字层/传输层安全 (SSL/TLS) 证书,以用于服务和内部连接的资源。 AWS SSL/TLS 证书用于保护网络通信,确定互联网上的网站以及私有网络上的资源的身份。 AWS Certificate Manager 省去了购买、上传和续订 SSL/TLS 证书的耗时手动流程。
借助 AWS Certificate Manager,您可以快速申请证书,将其部署到集成 ACM 的 AWS 资源上,例如 Elastic Load Balancing、Amazon CloudFront 分配和 API Gateway 上的 API,然后让我们来 AWS Certificate Manager 处理证书续订。它还使您能够为内部资源创建私有证书,并集中管理证书生命周期。通过预配置的 AWS Certificate Manager 用于集成 ACM 的服务的公有和私有证书是免费的。您只需为为运行应用程序而创建的 AWS 资源付费。
使用 AWS Private Certificate Authority,您可以按月为私有证书颁发机构 (CA) 的运营和所颁发的私有证书付费。您可以获得高度可用的私有 CA 服务,而无需支付运营自己的私有 CA 的前期投资和持续维护成本。
AWS CloudHSM
AWS CloudHSM是一个基于云的硬件安全模块 (HSM),可让您轻松地在上生成和使用自己的加密密钥。 AWS Cloud使用 AWS CloudHSM,您可以使用专用 FIPS 140-2 3 级验证的 HSM 来管理自己的加密密钥。 AWS CloudHSM 允许你灵活地使用行业标准 API 与应用程序集成,例如 PKCS #11、Java 密码学扩展 (JCE) 和微软 CryptonG (CNG) 库。
AWS CloudHSM 符合标准,允许您根据自己的配置将所有密钥导出到大多数其他市售的 HSM。它是一项完全托管的服务,可为您自动执行耗时的管理任务,例如硬件配置、软件修补、高可用性和备份。 AWS CloudHSM 还使您能够通过按需添加和移除 HSM 容量来快速扩展,而无需支付前期成本。
AWS Directory Service
AWS Directory Servicefor Microsoft Active Directory(也称为 AWS Managed Microsoft AD)使您的目录感知工作负载和 AWS 资源能够使用中的托管 Active Directory。 AWS Cloud AWS Managed Microsoft AD 基于实际的 Microsoft Active Directory 构建,不需要你将现有 Active Directory 中的数据同步或复制到云端。您可以使用标准的 Active Directory 管理工具,并利用内置的 Active Directory 功能,例如组策略和单点登录 (SSO)。使用 AWS Managed Microsoft AD,您可以轻松地将 Amazon EC2 和 Amaz on RDS for SQL Server 实例加入域,并将 AWS 企业 IT 应用程序(例如亚马逊) WorkSpaces与 Active Directory 用户和群组一起使用。
AWS Firewall Manager
AWS Firewall Manager是一项安全管理服务,允许您在中的账户和应用程序中集中配置和管理防火墙规则AWS Organizations。随着新应用程序的创建,Firewall Manager 通过强制执行一组通用的安全规则,可以轻松地使新的应用程序和资源合规。现在,您只需一个中央管理员帐户即可通过单一服务来构建防火墙规则、创建安全策略并以一致的分层方式在整个基础架构中实施这些规则。
AWS Identity and Access Management
AWS Identity and Access Management(IAM) 使您能够安全地控制 AWS 用户、群组和角色对 AWS 服务和资源的访问权限。使用 IAM,您可以创建和管理具有权限的精细访问控制,指定谁可以在哪些条件下访问哪些服务和资源。IAM 允许您执行以下操作:
-
您可以在 AWS IAM Identity Center(IAM 身份中心)中管理员工用户和工作负载的 AWS 权限。IAM 身份中心允许您管理多个 AWS 账户的用户访问权限。只需点击几下,您就可以启用高度可用的服务,轻松地AWS Organizations集中管理多账户访问权限和所有账户的权限。IAM Identity Center 包括与许多业务应用程序的内置 SAML 集成,例如 Salesforce、Box 和微软 Office 365。此外,您可以创建安全断言标记语言 (SAML) 2.0 集成,并将单点登录访问权限扩展到任何支持 SAML 的应用程序。您的用户只需使用他们配置的凭据登录用户门户,或者使用他们现有的公司凭据即可从一个地方访问所有分配的账户和应用程序。
-
管理单账户 IAM 权限:您可以使用权限指定对 AWS 资源的访问权限。默认情况下,您的 IAM 实体(用户、群组和角色)一开始没有权限。通过附加 IAM 策略,可以为这些身份授予权限,该策略指定访问类型、可以执行的操作以及可以对其执行操作的资源。您还可以指定必须设置的条件才能允许或拒绝访问。
-
管理单账户 IAM 角色:IAM 角色允许您向通常无法访问组织 AWS 资源的用户或服务委派访问权限。IAM 用户或 AWS 服务可以扮演角色以获取用于进行 AWS API 调用的临时安全证书。您不必共享长期证书,也不必为每个身份定义权限。
AWS Key Management Service
AWS Key Management Service(AWS KMS) 使您可以轻松创建和管理加密密钥,并控制其在各种 AWS 服务和应用程序中的使用。 AWS KMS 在 FIPS 140-2 加密模块验证计划下,使用硬件安全模块 (HSM) 来保护和验证您的 AWS KMS 密钥。 AWS KMS 与集成 AWS CloudTrail ,为您提供所有密钥使用情况的日志,以帮助满足您的监管和合规需求。
AWS Network Firewall
AWS Network Firewall 是一项托管服务,可助您更轻松地为所有 Amazon Virtual Private Cloud(Amazon VPC)部署必要的网络保护。只需点击几下即可设置该服务,并可根据您的网络流量自动扩展,因此您不必担心部署和管理任何基础架构。AWS Network Firewall 灵活规则引擎允许您定义防火墙规则,从而精细控制网络流量,例如阻止出站服务器消息块 (SMB) 请求以防止恶意活动的传播。您还可以导入已经以常用开源规则格式编写的规则,并启用与 AWS 合作伙伴提供的托管情报源的集成。 AWS Network Firewall 与配合使用 AWS Firewall Manager ,因此您可以根据 AWS Network Firewall 规则制定策略,然后将这些策略集中应用到您的 VPC 和账户。
AWS Network Firewall 包括针对常见网络威胁提供保护的功能。 AWS Network Firewall 状态防火墙可以整合来自流量流的上下文(例如跟踪连接和协议识别),以强制执行策略,例如防止您的 VPC 使用未经授权的协议访问域。入 AWS Network Firewall 侵防御系统 (IPS) 提供主动流量检查,因此您可以使用基于签名的检测来识别和阻止漏洞利用。 AWS Network Firewall 还提供 Web 过滤功能,可以阻止流向已知不良 URL 的流量并监控完全限定的域名。
您可以 AWS Network Firewall 通过访问 Amazon VPC 控制台来创建或导入您的防火墙规则,将它们分组到策略中,然后将其应用于要保护的 VPC,这很容易上手。 AWS Network Firewall 定价基于部署的防火墙数量和检查的流量。没有预付款,您只需为实际用量付费。
AWS Resource Access Manager
AWS Resource Access Manager(AWS RAM) 可帮助您安全地在各个 AWS 账户、您的组织或 AWS Organizations 中的组织单位 (OU) 内共享资源,以及与 IAM 角色和 IAM 用户共享支持的资源类型。您可以使用 AWS RAM 共享中转网关、子网、 AWS License Manager 许可配置、Amazon Route 53 Resolver 规则以及更多资源类型。
许多组织使用多个账户来建立管理或账单隔离,并限制错误的影响。使用 AWS RAM,您无需在多个 AWS 账户中创建重复的资源。这减少了管理您拥有的每个账户中的资源的运营开销。相反,在您的多账户环境中,您只需创建一次资源,即可通过创建资源共享 AWS RAM 来跨账户共享该资源。创建资源共享时,您可以选择要共享的资源,为每种资源类型选择 AWS RAM 托管权限,并指定您想让谁访问这些资源。 AWS RAM 无需支付额外费用即可使用。
AWS Secrets Manager
AWS Secrets Manager 可帮助您保护访问您的应用程序、服务和 IT 资源所需的密钥。该服务使您能够在数据库凭证、API 密钥和其他密钥的整个生命周期中轻松轮换、管理和检索它们。用户和应用程序通过调用 toSecrets Manager API 来检索机密,无需以纯文本格式对敏感信息进行硬编码。Secrets Manager 使用 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 的内置集成提供密钥轮换。该服务还可以扩展到其他类型的机密,包括 API 密钥和 OAuth 令牌。此外,Secrets Manager 使您能够使用细粒度的权限控制对机密的访问权限 AWS Cloud,并集中审核第三方服务和本地资源的密钥轮换。
AWS Security Hub
AWS Security Hub是一项云安全态势管理服务,可对您的 AWS 资源执行自动、持续的安全最佳实践检查。Security Hub 以标准格式汇总来自各种 AWS 服务和合作伙伴产品的安全警报(即调查结果),以便您可以更轻松地对其采取行动。为了全面了解您的安全状况 AWS,您需要集成多种工具和服务,包括来自亚马逊的威胁检测、Amazon Inspector 的漏洞 GuardDuty、Amazon Macie 的敏感数据分类、 AWS Config AWS Partner Network 来自的资源配置问题和产品。Security Hub 通过由 AWS Config 规则支持的自动安全最佳实践检查以及与数十种 AWS 服务和合作伙伴产品的自动集成,简化了您了解和改善安全态势的方式。
Security Hub 使您能够通过所有 AWS 账户的综合安全评分来了解自己的整体安全状况,并通过AWS 基础安全最佳实践 (FSBP) 标准和其他合规框架自动评估 AWS 账户资源的安全。它还通过安全调查格式 (ASFF) 将来自数十种 AWS 安全服务和 APN 产品的所有AWS 安全发现汇总到一个位置和格式中,并通过自动响应和补救支持缩短平均修复时间 (MTTR)。Security Hub out-of-the-box 集成了票务、聊天、安全信息和事件管理 (SIEM)、安全编排自动化和响应 (SOAR)、威胁调查、治理风险与合规 (GRC) 以及事件管理工具,可为您的用户提供完整的安全操作工作流程。
开始使用 Security Hub 只需点击几下, AWS Management Console 即可开始使用我们的 30 天免费试用版汇总发现结果并进行安全检查。您可以将 Security Hub 与集成, AWS Organizations 以便在组织中的所有账户中自动启用该服务。
AWS Shield
AWS Shield是一项托管分布式拒绝服务 (DDoS) 保护服务,可保护运行的 Web 应用程序。 AWS AWS Shield 为您提供始终在线的检测和自动内联缓解措施,可最大限度地减少应用程序停机时间和延迟,因此无需参与即可从 DDoS 保护中 AWS Support 受益。有两个等级 AWS Shield:标准和高级。
所有 AWS 客户均可享受 AWS Shield 标准版的自动保护,无需支付额外费用。 AWS Shield Standard 抵御针对您的网站或应用程序的最常见、最常见的网络和传输层 DDoS 攻击。当您 AWS Shield Standard 与 Amazon CloudFront 和 Amaz on Route 53 配合使用时,您将获得针对所有已知基础设施(第 3 层和第 4 层)攻击的全面可用性保护。
要获得更高级别的保护,抵御针对在亚马逊弹性计算云 (Amazon EC2)、Elastic Load Balancing (ELB) CloudFront、亚马逊和亚马逊 Route 53 资源上运行的应用程序的攻击,你可以订阅。 AWS Shield Advanced除了标准版附带的网络和传输层保护外, AWS Shield Advanced 还提供了针对大型复杂的 DDoS 攻击的额外检测和缓解措施、近乎实时的攻击可见性以及与 AWS WAF Web 应用程序防火墙的集成。 AWS Shield Advanced 还允许您全天候访问 AWS DDoS 响应小组 (DRT),并保护您的亚马逊弹性计算云 (Amazon EC2)、Elastic Load Balancing (ELB)、亚马逊和亚马逊 Route 53 费用免受与 DDoS 相关的峰值。 CloudFront
AWS Shield 高级版可在全球所有亚马逊 CloudFront 和亚马逊 Route 53 边缘站点上使用。通过在应用程序前部署 Amazon CloudFront ,您可以保护在世界任何地方托管的 Web 应用程序。您的源服务器可以是亚马逊 S3、亚马逊弹性计算云 (Amazon EC2)、Elastic Load Balancing (ELB),也可以是外部的自定义服务器。 AWS您还可以直接在 Elastic IP 或 Elastic Load Balancing (ELB) 上启用 AWS Shield 高级 AWS 区域:北弗吉尼亚州、俄亥俄州、俄勒冈州、北加州、蒙特利尔、圣保罗、爱尔兰、法兰克福、伦敦、巴黎、斯德哥尔摩、新加坡、东京、悉尼、首尔、孟买、米兰和开普敦。
AWS IAM Identity Center
AWS IAM Identity Center(SSO) 是一项云 SSO 服务,可轻松集中管理对多个 AWS 账户和业务应用程序的 SSO 访问权限。只需点击几下,您就可以启用高度可用的 SSO 服务,而无需支付运营自己的 SSO 基础架构的前期投资和持续维护成本。借助 IAM Identity Center,您可以轻松地AWS Organizations集中管理所有账户的 SSO 访问权限和用户权限。IAM Identity Center 还包括与许多业务应用程序的内置 SAML 集成,例如 Salesforce、Box 和微软 Office 365。此外,通过使用 IAM Identity Center 应用程序配置向导,您可以创建安全断言标记语言 (SAML) 2.0 集成,并将 SSO 访问权限扩展到任何支持 SAML 的应用程序。您的用户只需使用他们在 IAM Identity Center 中配置的证书登录用户门户,或者使用他们现有的企业证书即可从一个地方访问所有分配的账户和应用程序。
AWS WAF
AWS WAF是一个 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免受可能影响可用性、危及安全性或消耗过多资源的常见 Web 漏洞和机器人的侵害。 AWS WAF 允许您创建控制机器人流量和阻止常见攻击模式(例如 SQL 注入或跨站点脚本)的安全规则,从而控制流量如何到达您的应用程序。您还可以自定义过滤掉特定流量模式的规则。您可以使用托管规则快速入门 AWS WAF,这是一组由 AWS 或 AWS Marketplace 卖家管理的预先配置的规则,用于解决诸如 OWASP 十大安全风险和消耗过剩资源、歪曲指标或可能导致停机的自动机器人之类的问题。随着新问题的出现,这些规则会定期更新。 AWS WAF 包括一个功能齐全的 API,您可以使用它来自动创建、部署和维护安全规则。
AWS WAF 验证码
AWS WAF Captcha 要求用户在网络请求被允许访问受保护的资源之前成功完成挑战,从而帮助阻止不需要的机器人流量。 AWS WAF 您可以配置 AWS WAF 规则,要求针对机器人经常瞄准的特定资源(例如登录、搜索和表单提交)解决 WAF 验证码挑战。您还可以根据从 AWS 托管式规则中生成的速率、属性或标签(例如 AWS WAF Bot Control 或 Amazon IP 信誉列表)要求对可疑请求进行 WAF 验证码挑战。WAF 验证码挑战对人类来说很简单,同时还能有效对抗机器人。WAF 验证码包括音频版本,旨在满足 Web 内容可访问性指南 (WCAG) 的可访问性要求。
posted on 2024-06-02 08:23 freeliver54 阅读(30) 评论(0) 编辑 收藏 举报