Category: Security

Security, Antivirus, WAF, Guardduty, and etc.

使用STS服务和STS Tag标签、通过AssumeRole方式为应用生成临时授权

一、背景

在某些环境内,需要为某个系统生成一个临时访问授权,例如某应用允许用户发起对S3存储桶的特定目录的写入操作,而且有超时时间,过期后失效。此时,可使用STS服务临时生成AK/SK密钥,然后将临时AK/SK作为应用程序上传时候调用的角色即可。

本文编写参考了这篇博客,并针对AWS中国区的IAM策略添加了aws-cn标签。

Continue reading “使用STS服务和STS Tag标签、通过AssumeRole方式为应用生成临时授权”

AWS Network Firewall (NFW) Demo

AWS Network Firewall 是一项新推出的 AWS 托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务,它随着网络流量而自动缩放,因此无需担心基础设施的部署和管理问题。AWS Network Firewall 适用于要检查和筛选 Amazon VPC 进出流量或 Amazon VPC 之间流量的客户。 

AWS官网
Continue reading “AWS Network Firewall (NFW) Demo”

GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode

在使用GWLB+TGW方案时候,运行应用系统的VPC(可叫做Spoke VPC或叫做Application VPC)访问其他VPC时候出现了同AZ可访问,跨AZ无法访问。经调查是Transit Gateway Appliance Mode默认是关闭模式,没有打开。

Continue reading “GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode”

使用AWS WAF进行Captcha人机验证

一、背景

2021年的re-Invent大会发布了AWS WAF验证码功能即Captcha。Captcha是Completely Automated Public Turing test to tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试)的首字母缩写,通常用于区分机器人和人类访客,以防止 Web 抓取、凭证填充和垃圾邮件等恶意活动。

Continue reading “使用AWS WAF进行Captcha人机验证”

创建对所有AWS服务有只读权限的IAM User用户

在日常使用IAM User的过程中,要配置对各服务的查询权限,需要逐个添加每个服务对应的IAM Readonly Policy。

当需要配置几十个服务的时候,逐个添加很麻烦。此时可以查找名为“ReadOnlyAccess”的策略挂载到用户,即可为所有服务赋权。

Continue reading “创建对所有AWS服务有只读权限的IAM User用户”

在AWS中国区域启用WAF防护Log4J漏洞

一、背景

2021年12月爆出的高危漏洞 CVE-2021-44228 和CVE-2021-45045漏洞,彻底的防护措施是升级Log4J版本到官方指定版本,临时措施是通过WAF进行一定程度的防护。建议升级到Log4J 2.17版本才可以满足安全要求。

使用WAF防护的前提:

  • 中国区域和海外区域,已经使用EC2、ECS容器服务、EKS容器服务,且使用ALB作为发布点,此场景可使用WAF防护
  • 海外区域,没有使用ALB发布但是使用Cloudfront CDN加速,则可使用基于Cloudfront的WAF防护
  • 中国区域和海外区域的WAF都不支持直接对一个EC2的80、443、8080端口进行防护
  • 不支持NLB网络负载均衡器,NLB后可嵌套接入ALB(此为2021年新发布新特性)

如果您已经配置过WAF并启用了,请参考这里的changelog确认后续更新。如果还没有启用WAF,请参考如下Step-by-step配置说明如下。

Continue reading “在AWS中国区域启用WAF防护Log4J漏洞”