AMS 中的数据保护 - AMS 高级用户指南
Amazon MacieGuardDuty亚马逊 Route 53 解析器 DNS 防火墙AWS Certificate Manager (ACM) 证书AMS 中的数据加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMS 中的数据保护

AMS 利用亚马逊 GuardDuty、Amazon Macie(可选)等原生 AWS 服务以及其他内部专有工具和流程,持续监控您的托管账户。警报触发后,AMS 将负责对警报的初始分类和响应。我们的响应流程基于 NIST 标准。AMS 定期与您一起使用安全事件响应模拟来测试其响应流程,使您的工作流程与现有客户安全响应计划保持一致。

当 AMS 检测到您的安全策略有任何违规行为或迫在眉睫的 AWS 违规威胁时,我们会收集信息,包括受影响的资源和任何与配置相关的更改。AMS 提供 24/7/365 follow-the-sun 支持,由专门的操作员积极审查和调查所有托管账户的监控仪表板、事件队列和服务请求。AMS 会与我们的安全专家一起调查调查结果,分析活动并通过您账户中列出的安全升级联系人通知您。

根据我们的调查结果,AMS 会主动与您互动。如果您认为该活动未经授权或可疑,AMS 会与您合作,调查和补救或遏制问题。由 GuardDuty 此生成的某些调查结果类型要求您先确认影响,然后AMS才能采取任何行动。例如, GuardDuty 查找结果类型 UnauthorizedAccess:IAMUser/ConsoleLogin表示您的一个用户从不寻常的位置登录;AMS 会通知您并要求您查看调查结果以确认这种行为是否合法。

Amazon Macie

AWS Managed Services 建议您使用 Macie 来检测大量而全面的敏感数据,例如个人健康信息 (PHI)、个人身份信息 (PII) 和财务数据。

可以将 Macie 配置为在任何 Amazon S3 存储桶上定期运行,从而随着时间的推移自动评估存储桶内任何新的或修改过的对象。生成安全调查结果后,AMS 将通知您并根据需要与您合作进行补救。

有关更多信息,请参阅分析 Amazon Macie 调查结果

亚马逊 Macie 安全

Macie 是一项人工 intelligence/AI 驱动的安全服务,可通过自动发现、分类和保护存储在 AWS 中的敏感数据来帮助您防止数据丢失。Macie 使用机器学习来识别敏感数据,例如个人身份信息 (PII) 或知识产权,分配业务价值,并提供对这些数据的存储位置以及组织中如何使用这些数据的可见性。Macie 会持续监控数据访问活动中是否存在异常情况,并在检测到未经授权的访问或无意中数据泄露的风险时发出警报。Macie 服务支持 Amazon S3 和 AWS CloudTrail 数据源。

AMS 会持续监控来自 Macie 的警报,如果收到警报,则会迅速采取措施保护您的资源和帐户。将 Macie 添加到 AMS 支持的服务列表后,我们现在还负责根据您的指示在您的所有账户中启用和配置 Macie。您可以在 AWS 控制台或支持的集成中查看 Macie 警报和我们的操作。在账户注册期间,您可以指定用于存储 PII 的账户。对于所有具有 PII 的新账户,我们建议使用 Macie。对于已有 PII 的账户,请联系我们,我们将在您的账户中将其启用。因此,您可以获得额外的保护层,并在由 AMS 管理的 AWS 环境中享受 Macie 的所有好处。

AMS Macie FAQs

  • 当所有 AMS 账户都已启用趋势科技并 GuardDuty 启用后,为什么还需要 Macie?

    Macie 可帮助您对拥有的数据、数据对业务的价值以及与访问这些数据相关的行为进行分类,从而保护您在 Amazon S3 中的数据。Amaz GuardDuty on 通过帮助识别威胁行为者侦察、实例问题和有问题的账户活动等威胁,为您的 AWS 账户、工作负载和数据提供广泛的保护。这两项服务都包含用户行为分析、机器学习和异常检测,以检测各自类别的威胁。趋势科技并不专注于识别 PII 及其威胁。

  • 如何在我的 AMS 账户中开启 Macie?

    如果您已在自己的账户中 PII/PHI 存储或计划将其存储,请联系您的 CSDM 或提出服务请求,为您由 AMS 管理的新账户或现有账户启用 Macie。

  • 在我的 AMS 账户中启用 Macie 会产生哪些成本影响?

    AMS 的 Macie 定价与亚马逊弹性计算云 (Amazon EC2) 等其他服务类似。您需要根据使用量为 Amazon Macie 付费,并根据您的使用情况支付 AMS 升级。 SLAsMacie 费用基于使用情况,参见 Amazon Macie 定价,该定价 AWS CloudTrail 基于事件和亚马逊 S3 存储空间进行衡量。请注意,Macie 的费用往往会从启用后的第二个月起趋于平缓,因为它根据添加到 Amazon S3 存储桶的增量数据收费。

要了解有关 Macie 的更多信息,请参阅亚马逊 Macie。

GuardDuty

GuardDuty 是一项持续的安全监控服务,它使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习来识别您的 AWS 环境中意外且可能未经授权的恶意活动。这可能包括权限升级、使用暴露的凭据或与恶意 IP 地址或域的通信等问题。 GuardDuty 还可以监控 Amazon Web Services 账户访问行为是否存在泄露迹象,例如未经授权的基础设施部署(例如部署在从未使用过的区域中的实例)或异常的 API 调用(例如更改密码策略以降低密码强度)。有关更多信息,请参阅《GuardDuty 用户指南》

要查看和分析您的 GuardDuty 发现,请按以下步骤操作。

  1. 打开 GuardDuty 管理控制台

  2. 选择 “调查结果”,然后选择特定的调查结果以查看详细信息。每个发现的详细信息因发现类型、所涉及的资源和活动性质而异。

有关可用查找字段的更多信息,请参阅GuardDuty 查找结果详细信息

GuardDuty 安全

Amazon GuardDuty 提供威胁检测功能,使您能够持续监控和保护您的 AWS 账户和工作负载。Amazon GuardDuty 会分析从您的账户生成的连续元数据流以及 AWS CloudTrail 事件、Amazon VPC 流日志和域名系统 (DNS) 日志中发现的网络活动。它还使用集成的威胁情报(例如已知的恶意 IP 地址、异常检测和机器学习)来更准确地识别威胁。 GuardDuty 是一项受监控的 AMS 服务。要了解有关 Amazon GuardDuty 监控的更多信息,请参阅GuardDuty 监控。要了解更多信息 GuardDuty,请参阅 Amazon GuardDuty

默认情况下,所有新的 AMS 账户均已 GuardDuty 启用。AMS GuardDuty 在账户注册期间进行配置。您可以随时提交更改请求以修改设置。 GuardDuty AMS 的定价方式与亚马逊弹性计算云 (Amazon EC2) 等其他服务类似。您 GuardDuty 根据使用量付费,并根据您的使用情况进行AMS提升. SLAs GuardDuty 费用基于使用量(亚马逊 GuardDuty 定价),根据您的 Amazon VPC 流日志 AWS CloudTrail 的事件和流量进行衡量。

GuardDuty 在 AMS 中,启用了以下主要检测类别:

  • 侦测--暗示威胁行为者侦测的活动,例如异常 API 活动、VPC 内部端口扫描、登录请求失败的异常模式或来自已知不良 IP 的未屏蔽端口探测。

  • 实例问题--有问题的实例活动,例如加密货币挖矿、使用域生成算法 (DGA) 的恶意软件、出站拒绝服务活动、网络流量异常大、网络协议异常、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时亚马逊 EC2 凭证以及使用 DNS 进行数据泄露。

  • 账户活动--表明账户活动的常见模式包括来自异常地理位置或匿名代理的 API 调用、尝试禁用 AWS CloudTrail 日志记录、异常启动实例或基础设施、在异常的 AWS 区域部署基础设施,以及来自已知恶意 IP 地址的 API 调用。

AMS GuardDuty 在您的托管账户中使用来持续监控调查结果和提醒,如果收到警报,AMS 运营部门会采取积极措施保护您的资源和账户。 GuardDuty 您可以在 AWS 控制台或支持的集成中查看 GuardDuty 发现结果和我们的操作。

GuardDuty 在您的帐户中与趋势科技趋势科技服务器深度安全防护系统管理中心配合使用。趋势科技趋势科技服务器深度安全防护系统管理中心提供基于主机的入侵检测/入侵防护服务。趋势科技 Web 信誉服务 GuardDuty 在检测主机何时尝试与已知构成威胁的主机或 Web 服务通信的能力方面存在一些重叠之处。但是, GuardDuty 提供了其他威胁检测类别,并通过监视网络流量来实现这一点,这种方法是对趋势科技基于主机的检测的补充。基于网络的威胁检测允许在主机出现问题行为时控制失败,从而提高安全性。AMS 建议 GuardDuty 在您的所有 AMS 账户中使用。

要了解有关趋势科技的更多信息,请参阅趋势科技趋势科技服务器深度安全防护系统帮助中心;请注意,非亚马逊链接可能会更改,恕不另行通知。

GuardDuty 监控

GuardDuty 通过生成安全调查结果,AMS 可以捕获并发出警报,从而告知您 AWS 环境的状态。

Amazon 通过分析和处理 VPC 流日志、 AWS CloudTrail 事件日志和域名系统日志来 GuardDuty 监控您的 AWS 环境的安全。您可以通过配置 GuardDuty 为同时使用自己的自定义、可信 IP 列表和威胁列表来扩展此监控范围。

  • 可信 IP 列表由您允许与 AWS 基础设施和应用程序进行安全通信的 IP 地址组成。 GuardDuty 不会生成可信 IP 列表上的 IP 地址的查找结果。在任何给定时间,每个区域的每个 AWS 账户只能上传一个可信 IP 列表。

  • 威胁列表由已知的恶意 IP 地址组成。 GuardDuty 根据威胁列表生成调查结果。在任何给定时间,每个区域的每个 AWS 账户最多可以上传六份威胁清单。

要实施 GuardDuty,请使用 AMS CT 部署 | 监控和通知 | GuardDuty IP 集 | 创建 (ct-08avsj2e9mc7g) 创建一组经批准的 IP 地址。你也可以使用 AMS CT 部署 | 监控和通知 | GuardDuty 威胁情报集 | 创建(ct-25v6r7t8gvkq5)来创建一组被拒绝的 IP 地址。

有关 AMS 监控的服务的列表,请参阅AMS 监控系统监控什么?

亚马逊 Route 53 解析器 DNS 防火墙

Amazon Route 53 Resolver 以递归方式响应来自公共记录 AWS 资源、亚马逊 VPC 特定的 DNS 名称和 Amazon Route 53 私有托管区域的 DNS 查询,默认情况下全部可用。 VPCs使用 Route 53 Resolver DNS Firewall,您可以筛选和管理 Virtual Private Cloud (VPC) 的出站 DNS 流量。为此,您需要在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以相应地调整 DNS Firewall 的行为。有关更多信息,请参阅使用 DNS 防火墙过滤出站 DNS 流量

要查看和管理 Route 53 解析器 DNS 防火墙配置,请按以下步骤操作:

  1. 登录 AWS Management Console 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. DNS 防火墙下,选择规则组

  3. 查看、编辑或删除现有配置,或创建新的规则组。有关更多信息,请参阅 Route 53 解析器 DNS 防火墙的工作原理

Amazon Route 53 解析器 DNS 防火墙监控和安全

Amazon Route 53 DNS 防火墙使用规则关联、规则操作和规则评估优先级的概念。域列表是您在规则组内的 DNS Firewall 规则中使用的一组可重复使用的域规范。当您关联规则组与 VPC 时,DNS Firewall 会将您的 DNS 查询与规则中使用的域列表进行比较。如果 DNS Firewall 找到匹配项,则它会根据匹配规则的操作处理 DNS 查询。有关规则组和规则的更多信息,请参阅 DNS 防火墙规则组和规则

域列表分为两大类:

  • 托管域名列表, AWS 可为您创建和维护。

  • 您自己的域名列表,由您创建和维护。

根据规则组的关联优先级指数对其进行评估。

默认情况下,AMS 部署的基准配置由以下规则和规则组组成:

  • 一个名为的规则组DefaultSecurityMonitoringRule。对于每个已启用的现有 VPC,规则组在创建时具有最高的关联优先级 AWS 区域。

  • 规则组中一个优先级为 DefaultSecurityMonitoringRule 1DefaultSecurityMonitoringRule规则,使用带有操作 A LE RT 的AWSManagedDomainsAggregateThreatList托管域列表。

如果您已有配置,则部署基准配置的优先级将低于现有配置。您的现有配置是默认配置。如果您的现有配置没有提供有关如何处理查询解析的更高优先级的指令,则可以使用 AMS 基准配置作为包罗万象的配置。要更改或移除基准配置,请执行以下操作之一:

如果您的账户在开发者模式或直接更改模式下运行,则可以自己进行更改。

AWS Certificate Manager (ACM) 证书

AMS 有一个 CT、部署 | 高级堆栈组件 | ACM 证书以及其他 SANs | Create (ct-3l14e139i5p50),你可以用它来提交 AWS Certifice Manager 证书申请,还有最多五个额外的主题备用名称 (SAN)(例如 example.com、example.net 和 example.org)。有关详细信息,请参阅什么是 AWS Certificate Manager?ACM 证书特征

注意

此超时设置不仅与运行有关,还涉及您通过电子邮件验证对 ACM 证书的验证。未经您的验证,RFC 就会失败。

AMS 中的数据加密

AMS 使用多种 AWS 服务进行数据加密,尤其是亚马逊简单存储服务、 AWS Key Management Service (AWS KMS)、亚马逊 Elastic Block Store、Amazon Relational Database Service Amazon Redshift Amazon ElastiCache AWS Lambda、、、、和亚马逊 OpenSearch 服务。

Amazon S3

Amazon S3 提供了多种对象加密选项,用于保护传输中的数据和静态数据。服务器端加密在将对象保存到数据中心的磁盘上之前加密对象,然后在下载对象时对数据进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密对象的方式就没有区别。有关更多信息,请参阅 Amazon S3 中的数据保护

Amazon EBS

使用 Amazon EBS 加密,您无需构建、维护和保护自己的密钥管理基础设施。Amazon EBS 加密在创建加密卷和快照时使用 AWS KMS 密钥。加密操作发生在托管 Amazon EC2 实例的服务器上。这样做是为了确保实例 data-at-rest与其连接的 Amazon EBS 存储 data-in-transit之间的安全性。您可以同时将加密卷和未加密卷附加到实例。有关更多信息,请参阅 Amazon EBS 加密

Amazon RDS

Amazon RDS 可以加密您的 Amazon RDS 数据库实例。静态加密的数据包括数据库实例的底层存储、其自动备份、只读副本和快照。Amazon RDS 加密的数据库实例使用行业标准的 AES-256 加密算法对托管 Amazon RDS 数据库实例的服务器上的数据进行加密。在加密数据后,Amazon RDS 将以透明方式处理访问的身份验证和数据的解密,并且对性能产生的影响最小。您无需修改数据库客户端应用程序来使用加密。有关更多信息,请参阅加密 Amazon RDS 资源

Amazon Simple Queue Service

除了默认的 Amazon SQS 托管服务器端加密 (SSE) 选项外,Amazon SQS 托管 SSE (SSE-SQS) 还允许您创建自定义托管服务器端加密,该加密使用亚马逊 SQS 托管的加密密钥来保护通过消息队列发送的敏感数据。服务器端加密(SSE)允许您采用加密队列的方式传输敏感数据。SSE 使用 Amazon SQS 托管的加密密钥 (SSE-SQS) 或在 (SSE-KMS) 中管理的密钥来保护队列中的消息内容。 AWS KMS 有关使用管理 SSE 的信息 AWS Management Console,请参阅静态加密

静态数据加密

OpenSearch 服务域提供静态数据加密,这是一项有助于防止未经授权访问您的数据的安全功能。该功能使用 AWS Key Management Service (AWS KMS) 来存储和管理您的加密密钥,并使用 256 位密钥的高级加密标准算法 (AES-256) 来执行加密。有关更多信息,请参阅 Amazon OpenSearch 服务的静态数据加密

密钥管理

AWS KMS 是一项托管服务,可让您轻松创建和控制客户主密钥 (CMKs),即用于加密数据的加密密钥。 AWS KMS CMKs 受经过 FIPS 140-2 加密模块验证计划验证的硬件安全模块 (HSMs) 保护,中国(北京)和中国(宁夏)地区除外。有关更多信息,请参阅什么是 AWS Key Management Service?