Category: Security

一、背景

计算机信息系统等级保护（俗称等保）的要求之一是应用服务器具有病毒防护手段，并定期升级病毒特征库。这个防护场景通常被称为Endpoint Detection and Response（EDR），也可简称终端防护。EDR一般是采用侵入性的防护方式。所谓侵入性意味着需要在EC2虚拟机内植入专门的Agent才可以进行安全防护。在亚马逊云科技上，可通过Marketplace方式订阅多个第三方厂家的EDR，也可以线下采购。

商用的EDR方案有完整的检测、识别、发现、预防、干预、强化、集中管控等一整套管理功能，不过相对带来的问题是成本较高。在一些非严格等保的场合，如果只是要求实现病毒扫描和防护能力，那么可使用本文介绍的ClamAV方案进行替代。

Continue reading “在EC2 Linux操作系统上部署ClamAV并开启实时防护、集中日志采集和统一告警”

一、背景

Route53支持对特定VPC内发起的DNS请求进行记录，由此可以记录VPC内应用对外访问的请求信息。仅限域名，通过IP直接访问的不会记录。

本文介绍如何开启Route53的DNS日志，然后将其输出到CloudWatch的日志组的这样一个简单场景。在生产环境中，日志信息还可以输出到Kinesis或者OpenSearch，以便于各种分析。如果是低频分析，审计用途为主，也可以将日志输出到S3存储桶。

请注意：Query logging功能是记录日志的审计能力，不是实时阻断。如果您需要实施阻断，那么应该考虑Route53 DNS Firewall（2022年10月AWS中国区也上线了此功能），或者使用Network Firewall（简称NFW），或者使用网络流量深度检测的终极解决方案Gateway Load Balancer（简称GWLB）。因此基于以上的信息，可选择一个合适的方案。

本文以中国区为例进行配置，配置将默认VPC的日志输出到CloudWatch日志组。

Continue reading “使用Route53 Log Query记录VPC内的DNS请求”

HIPAA 是《健康保险流通与责任法案》。 制定 HIPAA 是为了提高医疗保健系统的效率和有效性，并建立美国联邦安全标准来保护受保护的健康信息 (PHI) 的安全和隐私。

HIPAA is the Health Insurance Portability and Accountability Act. HIPAA was enacted to improve the efficiency and effectiveness of the health care system and establishes federal security standards to protect the security and privacy of Protected Health Information (PHI).

Continue reading “HIPAA 定义的PHI”

一、背景

在某些环境内，需要为某个系统生成一个临时访问授权，例如某应用允许用户发起对S3存储桶的特定目录的写入操作，而且有超时时间，过期后失效。此时，可使用STS服务临时生成AK/SK密钥，然后将临时AK/SK作为应用程序上传时候调用的角色即可。

本文编写参考了这篇博客，并针对AWS中国区的IAM策略添加了aws-cn标签。

Continue reading “使用STS服务和STS Tag标签、通过AssumeRole方式为应用生成临时授权”

使用sts服务assume为一个角色的时候，提示超过Session时间限制：

An error occurred (ValidationError) when calling the AssumeRole operation: The requested DurationSeconds exceeds the MaxSessionDuration set for this role

Continue reading “使用STS服务Assume为一个Role角色时候提示超过最大session时间的限制”