使用 AWS Nitro Enclaves 实现机密数据处理 - 隔离环境中的加密与认证
在 Nitro Enclaves 的隔离环境中处理机密数据,通过与 KMS 的集成和证明机制控制加密密钥的访问。
安全
关于 IAM 身份验证、数据加密、WAF、合规应对、零信任等 AWS 安全的对比文章
用 AWS Signer 实现代码签名 - Lambda 函数与容器镜像的可信性保证
对 Lambda 函数和容器镜像应用代码签名,在 CI/CD 流水线中强制签名验证。还介绍通过签名撤销应对入侵。
使用 AWS Private CA 构建私有 PKI - 证书自动签发与轮换
构建私有证书颁发机构,为内部服务间的 mTLS 自动签发证书。介绍证书生命周期管理与 CRL 设计。
通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密
通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。
通过 AWS IAM Identity Center 实现单点登录 - 多账户访问管理
实现多账户环境的单点登录,通过权限集控制各账户的访问级别。介绍与外部 IdP 的集成和 ABAC 的活用。
使用 Amazon Macie 自动发现 S3 敏感数据 - PII 检测与数据安全态势管理
解析 Macie 的 S3 存储桶敏感数据检测、自定义数据标识符、Security Hub 集成。
使用 AWS Artifact 获取合规报告 - 审计应对与合同管理
按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。
用 AWS Shield 防御 DDoS 攻击 - Standard 与 Advanced 的选择
整理 Standard 的免费 L3/L4 防御与 Advanced 的 L7 应对/SRT 支持的区别。介绍成本保护和主动参与的活用。
通过 Amazon Detective 调查安全事件 - 基于图分析的根本原因定位
解说通过 Detective 调查 GuardDuty 发现结果、实体画像和行为图的活用。
用 Amazon Security Lake 构建安全数据湖 - OCSF 格式的统一分析
解析 Security Lake 对 CloudTrail、VPC 流日志、Route 53 日志的自动汇聚、OCSF 标准化、与订阅者的集成。
Amazon Macie 自动发现敏感数据 - S3 存储桶的 PII 扫描与数据保护
解析 Amazon Macie 自动发现 S3 存储桶中的敏感数据(PII、金融信息、凭证)及基于发现结果的数据保护策略。
使用 Amazon Cognito 实现用户认证 - User Pool 与 Identity Pool 的设计
详解 Cognito User Pool 的用户认证、Identity Pool 的 AWS 资源访问以及社交登录的集成。
AWS Payment Cryptography 的 HSM 架构 - 深入解析 PCI DSS 合规的支付加密基础
AWS Payment Cryptography 是面向支付行业的托管 HSM 服务,以 Serverless 方式提供 PCI DSS 合规的加密和令牌化。本文深入解析 PIN 块生成、DUKPT 密钥管理以及与 CloudHSM 的使用区分等支付加密的技术机制。
使用 Amazon Verified Permissions 实现精细授权 - 基于 Cedar 策略的访问控制
使用 Cedar 策略语言将授权逻辑从应用程序代码中外部化,通过 Cognito 集成实现基于令牌的授权判定。
Amazon GuardDuty 实现威胁检测 - 基于 ML 的异常检测与事件响应
解析 GuardDuty 的威胁检测机制、检测结果分类,以及通过 Security Hub 集成实现事件响应的方法。
用 AWS Security Hub 集中管理安全态势 - 检测结果的汇聚与自动响应
将 GuardDuty/Inspector/Macie 的检测结果以 ASFF 格式汇聚,通过安全标准自动评估量化分数。还介绍 EventBridge 联动的自动修复。
使用 AWS Payment Cryptography 实现云端支付处理 - 加密密钥管理与 PIN 验证
解析 Payment Cryptography 的支付用加密密钥管理、PIN 块加密/解密及 PCI DSS 合规。
通过 AWS Directory Service 构建托管 Active Directory - 混合环境的 ID 管理
构建 AWS Managed Microsoft AD 并设计与本地 AD 的信任关系。介绍通过与 WorkSpaces、RDS、FSx 集成实现的混合 ID 管理。
AWS Network Firewall 实现 VPC 流量控制 - 有状态规则与域名过滤
通过有状态/无状态规则和域名过滤控制 VPC 流量。介绍 Suricata 兼容规则和托管规则的应用方法。
AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息
从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。
IAM 策略评估逻辑完全解析 - 隐式 Deny 优先于显式 Allow 的机制
逐步解析 IAM 在允许或拒绝请求时的评估流程,涵盖隐式 Deny、显式 Allow、显式 Deny 的优先级,以及 SCP、权限边界、会话策略的交叉判定。
机密计算 - 使用 AWS Nitro Enclaves 隔离保护处理中的数据
详解使用 AWS Nitro Enclaves 进行机密数据的隔离处理。介绍加密证明、KMS 集成以及 PII 处理和加密密钥管理的用例。
使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析
基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。
审计自动化 - 使用 AWS Audit Manager 持续收集合规证据
详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。
使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换
详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。
证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书
介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。
AWS Secrets Manager 的密钥管理 - 自动轮换与应用集成
通过 Lambda 函数自动轮换 RDS/Aurora 密码,使用 SDK 缓存库从应用无缝获取。还介绍与 Parameter Store 的选择。
Active Directory 集成 - 通过 AWS Directory Service 将本地 ID 基础设施扩展到云端
解说使用 AWS Directory Service 实现 Active Directory 的云集成。介绍 AWS Managed Microsoft AD、AD Connector、Simple AD 的选择以及与 WorkSpaces、RDS、FSx 的联动。
硬件安全模块 - 通过 AWS CloudHSM 实现加密密钥的专有管理
解析如何使用 AWS CloudHSM 进行加密密钥的专有管理。介绍与 KMS 的选型对比、FIPS 140-2 Level 3 合规、TLS 卸载、Oracle TDE 集成等高级用例。
DDoS 防护 - 通过 AWS Shield 实现多层防御的设计与运维
解说通过 AWS Shield Standard 和 Shield Advanced 实现的 DDoS 防御。实践性地介绍与 CloudFront、Route 53、ALB 的集成、与 WAF 的组合以及成本保护功能。
通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署
介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。
Amazon Inspector 自动漏洞扫描 - EC2、Lambda、ECR 的持续安全评估
自动扫描 EC2 实例、ECR 容器镜像和 Lambda 函数的漏洞,通过基于 CVE 的风险评分确定优先级。解析通过 Systems Manager 代理集成实现无代理扫描的方法。
零信任网络访问 - 使用 AWS Verified Access 实现无 VPN 的安全访问
解析使用 AWS Verified Access 实现无 VPN 的零信任访问。介绍身份提供商集成、设备信任、基于策略的访问控制以及与传统 VPN 的比较。
AWS WAF 的 Bot Control 与欺诈防护 - 机器人对策与账户接管防护的实现
使用 Bot Control 检测爬虫和自动化工具,使用 ATP 防止凭证填充攻击。同时介绍挑战和 CAPTCHA 的用户体验设计。
AWS Secrets Manager 的多区域策略 - 复制与跨账户共享
通过多区域复制实现灾难恢复,通过跨账户访问从安全账户构建集中管理的方法。
使用 AWS Verified Access 实现零信任访问 - 无需 VPN 的应用程序连接
消除 VPN,每次验证用户身份和设备安全状态,实现零信任访问。介绍通过 Cedar 策略实现精细控制的方法。
AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践
解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。
KMS 的加密密钥存储在哪里 - 信封加密与 HSM 的工作机制
解析 KMS 主密钥存储在 FIPS 140-2 认证 HSM 内的机制、通过信封加密双重保护数据密钥的设计、密钥轮换的内部运作。
用户认证的实现 - 使用 Cognito 构建安全的认证基础设施
解析利用 Amazon Cognito 设计和实现用户认证基础设施的方法,介绍用户池、ID 池以及外部身份提供商集成的认证流程构建方式。
身份与访问管理设计 - 通过 IAM 实现零信任安全
解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。
CloudTrail 看到一切 - API 调用记录机制与取证调查实践
详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。
EC2 元数据 169.254.169.254 的真面目 - 链路本地地址与 IMDSv2 的设计
解析 EC2 实例元数据服务端点 169.254.169.254 为何是链路本地地址、被 SSRF 攻击利用的历史,以及 IMDSv2 基于令牌认证诞生的经过。
AWS 签名版本 4 (SigV4) 是如何工作的 - API 认证的密码学机制
从密码学角度解析 AWS API 认证使用的 SigV4 签名过程的 4 个步骤 (创建规范请求、构建签名字符串、派生签名密钥、计算签名),还介绍 SigV4A 和预签名 URL 的机制。
数据隐私保护 - 通过 Amazon Macie 和 GuardDuty 实现敏感数据自动发现与威胁防御
解说结合 Amazon Macie 的 S3 敏感数据自动发现与 Amazon GuardDuty 的威胁情报实现数据隐私保护的实践方法。介绍从个人信息识别到实时威胁检测的全面安全对策。
漏洞评估与威胁检测 - 使用 Amazon Inspector 和 GuardDuty 实现持续安全监控
解析利用 Amazon Inspector 和 Amazon GuardDuty 进行漏洞评估和威胁检测的设计与运维方法。
安全调查与威胁分析 - 用 Amazon Detective 实现高效事件响应
解析利用 Amazon Detective 进行安全事件调查和威胁分析的方法。介绍与 GuardDuty 联动的从检测到调查的工作流,以及基于图的分析定位根本原因的方法。
安全态势管理 - 用 AWS Security Hub 实现统一安全监控基础设施
解析 AWS Security Hub 的统一安全监控与 GuardDuty 联动的威胁检测自动化。介绍安全最佳实践合规状况的可视化和多账户环境的安全治理。