一、背景
Aurora Serverless V2是近期在AWS中国区新发布的特性,之前在海外AWS全球区域已经是经过了1年多的用户考验,是在特定场景下具有显著成本节约的产品。
Continue reading “使用Aurora Serverless V2优化成本场景分析”Author: pcman
将API Gateway的Rest接口日志输出到CloudWatch Log Groups
一、API Gateway没有成功生成日志现象
在API Gateway上,新配置好的一个接口,打开日志功能后,发现并未生效,日志没有输出到CloudWatch的Log Groups中。现象如下。
Continue reading “将API Gateway的Rest接口日志输出到CloudWatch Log Groups”CloudFront签名上手:使用CloudFront做S3存储桶的私有内容分发
本文的效果演示Demo视频参考这里。
一、背景
1、传统企业与内容分发
以往,私有内容分发一直是数字原生的互联网行业的技术需求,广泛用于经过会员体系验证的版权内容分发,包括但不限于视频播放、音频播放、游戏下载、软件分发等。
如今,随着传统企业的数字化转型越来越普遍,大量企业内部应用技术栈全面互联网化,许多企业的应用系统已经突破了传统的VPN内网概念,转而在互联网上运行。企业日常运营产生各种流程文档、数据文件、日志等需要被分发给员工和第三方合作伙伴。这种场景下如何能有保护地企业私有内容的安全分发,就成为了企业数字化转型的安全关键。
Continue reading “CloudFront签名上手:使用CloudFront做S3存储桶的私有内容分发”使用WAF检查Referer Header对外部引用进行干预
一、背景
在CloudFront的控制台上,提供了一个TOP Refer的报表,这个报表用于显示本站的用户来源是来自哪个原始网站。这个机制是如何工作的呢?
假设如下的场景:
- 主网站名为 https://www.abc.com/index.html
- 图片的域名为 https://image.abc.com/image01.png
当客户端浏览器打开主网站时候,浏览器会向图片域名image.abc.com服务器的发送一个图片访问请求,并包含一个特殊的HTTP Header名为Referer。Referer Header的内容就是之前所在页面的域名,即www.abc.com。因此,图片服务器只需要检查Referer域名,即可获知引用此图片的原始网址。Referer Header可以被WEB应用服务器获取,并在应用层代码做判断。更高效的办法,是从客户访问前端的CloudFront和WAF上进行干预,来判断是否是合法的引用。
需要注意的是:检查Referer并不能完全阻断所谓的“盗链”和非法链接,因为攻击者可以简单去构造Referer Header来模拟一个正常请求。所以实施Referer检查的意义是可以避免图片等素材被其他网址的浏览器简单引用,可减少由此产生的外部流量等问题。如果需要100%的阻止外部访问且必须所有资源都经过身份验证,请参考CloudFront Signature签名功能。
下边介绍如何通过WAF检查Referer Header。
Continue reading “使用WAF检查Referer Header对外部引用进行干预”将CloudFront对S3源站的访问授权从原有的OAI切换为最新的OAC
一、背景
CloudFront对S3源站保护功能之前采用源访问身份Origin Access Identity(简称OAI)机制。由于OAI的权限管理颗粒度较粗,且不支持需要AWS Signature V4签名的POST方法,不支持SSE-KMS集成等。由于这一系列的局限,2022年起被新的源访问控制功能Origin Access Control (OAC)所取代。
本文讲述如何切换配置。需要注意的是,对生产环境修改配置可能导致访问失效,请务必提前做好技术储备和测试,生产环境谨慎调整。
Continue reading “将CloudFront对S3源站的访问授权从原有的OAI切换为最新的OAC”CloudFront签名Signed-URL和Signed-Cookie演示
如视频。(有解说,请调整音量)
Continue reading “CloudFront签名Signed-URL和Signed-Cookie演示”保护API Gateway安全三部曲
保护API Gateway安全的几个主要手段:
1、使用WAF限制API Gateway访问者IP地址
2、使用IAM身份认证
3、使用Mutual TLS(mTLS)双向证书验证
AWS新用户请额外参考:
为API Gateway使用自定义域名和mTLS双向证书认证
一、背景
通常使用的HTTPS接口采用的是服务器端Transport Layer Security(以下简称TLS)认证。TLS认证默认是由服务器提供证书,服务器端证书经过全球数家证书颁发机构和顶级CA签署认证的证书,来标识服务器自己的真实、正确的身份。在亚马逊云科技的云平台上,这一服务器端证书通常由ACM生成并管理,配置到Amazon CloudFront、Amazon ELB、Amazon API Gateway(以下简称API Gateway)等服务上。
为了进一步增强安全性,TLS协议建立连接时候,服务器可以要求客户端也提供自己X.509格式的证书用于验明身份。由于服务器和客户端双方都需要提供证书,这种认证方式被称为 mutual Transport Layer Security (以下简称mTLS),也称为双向TLS。
Continue reading “为API Gateway使用自定义域名和mTLS双向证书认证”为Amazon API Gateway启用IAM身份验证
一、背景
新创建的Amazon API Gateway (以下简称API Gateway)的Regional级别的接口是可以通过互联网进行公开调用的。在API为应用内部调用的场景下,需要设置身份验证。主要的身份验证手段有:IAM身份验证、Lambda转发器验证(Backend可使用数据库)、OAuth/JWT认证。此外,在API Gateway上使用mTLS,配置双向证书,也可以显著提升安全性。
本文介绍如何开启IAM身份验证。
Continue reading “为Amazon API Gateway启用IAM身份验证”在IAM新版界面(2022)上创建AKSK的步骤说明(老用户请跳过本篇基础内容)
由于IAM控制台界面改版,因此最新才接触AWS的用户可能无法找到管理AWSCLI、SDK使用的Access Key和Secret Key位置。特整理此文章。老用户可直接跳过本篇文章。
1、创建用户
在IAM界面上点击左侧菜单Users,然后点击右侧创建用户按钮进入向导。
使用Amazon WAF对Amazon API Gateway的接口做IP地址白名单保护
一、背景
Amazon API Gateway(以下简称)是AWS的托管的API网关服务。许多企业需要将自身应用的数据接口暴露给第三方合作伙伴,但使用专线成本较高,或者因面向多个互联网服务交互,因此将接口暴露在互联网上。为提升接口安全性,可采用为API Gateway设置来源IP地址限制的办法,提升安全。API Gateway支持设置Resource Policy,通过资源策略中填写IP Condition来限制可以访问的IP访问,包括白名单允许,或者显式拒绝。
使用API Gateway自带的策略控制IP地址有一些局限,因为资源策略是随着API Gateway的部署Stages下发生效的,因此有时候仅需要IP地址的策略变更,但是为了让其生效,需要对整个接口开发的版本和Stages阶段创建新的版本,并进行流量切换。如此过程对整个应用开发和运行体系的影响较大。那么有什么办法实施Out-of-band方式(带外)的IP策略管控呢?这里就可以用到Amazon WAF。
在EC2 Linux操作系统上部署ClamAV并开启实时防护、集中日志采集和统一告警
一、背景
计算机信息系统等级保护(俗称等保)的要求之一是应用服务器具有病毒防护手段,并定期升级病毒特征库。这个防护场景通常被称为Endpoint Detection and Response(EDR),也可简称终端防护。EDR一般是采用侵入性的防护方式。所谓侵入性意味着需要在EC2虚拟机内植入专门的Agent才可以进行安全防护。在亚马逊云科技上,可通过Marketplace方式订阅多个第三方厂家的EDR,也可以线下采购。
商用的EDR方案有完整的检测、识别、发现、预防、干预、强化、集中管控等一整套管理功能,不过相对带来的问题是成本较高。在一些非严格等保的场合,如果只是要求实现病毒扫描和防护能力,那么可使用本文介绍的ClamAV方案进行替代。
Continue reading “在EC2 Linux操作系统上部署ClamAV并开启实时防护、集中日志采集和统一告警”针对CloudWatch Log Groups通过Metric filter设置alarm告警
优化S3存储成本:S3智能分层配合S3 Glacier即时检索获得成本节约
一、背景
S3 Glacier Instant Retrieval(S3 GIR)存储类型是2021年re-Invent新发布的存储类型,原有的异步方式取回数据的Glacier存储类型则改名为S3 Glacier Flexible Retrieval。新发布的S3 Glacier Instant Retrieval的存储费用与S3 Glacier Flexible Retrieval相近,在此基础上提供了立刻可取的性能,适合每年访问2-3次数据场景下的海量数据存储。
使用NICE DCV管理带有GPU的Ubuntu桌面
注:半年前写的,之前忘记发布,这次更新上来
一、背景
1、NICE DCV简介
NICE DCV是一个高性能的远程显示管理协议,允许用户安全的将云上远程桌面和应用以流式方式通过网络传输到客户端。在Amazon EC2上安装NICE DCV,客户可以运行支持GPU的图形应用程序或HPC程序,替代昂贵的图形工作站。NICE DCV流式传输协议也被用在多个服务,包括Amazon Appstream 2.0,AWS Nimble Studio,以及AWS RoboMaker。
NICE DCV可以使用单机模式从客户端直接连接到EC2;也可以使用NICE DCV Connection Gateway,NICE DCV Session Session Manager Broker和NICE DCV Session Manager Agent进行多机会话管理。本文描述使用NICE DCV直接连接到EC2单机模式部署。
Continue reading “使用NICE DCV管理带有GPU的Ubuntu桌面”