Continue reading “AWS Network Firewall (NFW) Demo”AWS Network Firewall 是一项新推出的 AWS 托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务,它随着网络流量而自动缩放,因此无需担心基础设施的部署和管理问题。AWS Network Firewall 适用于要检查和筛选 Amazon VPC 进出流量或 Amazon VPC 之间流量的客户。
AWS官网
Category: Security
Security, Antivirus, WAF, Guardduty, and etc.
GWLB+Checkpoint系列视频汇总
GWLB系列附录2: Checkpoint SmartConsole部署和策略下发
GWLB系列附录1: 部署Checkpoint防火墙
视频有配音,请注意音量。
Continue reading “GWLB系列附录1: 部署Checkpoint防火墙”GWLB系列4: 使用GWLB搭配云上Checkpoint防火墙
视频有解说,请注意音量。
Continue reading “GWLB系列4: 使用GWLB搭配云上Checkpoint防火墙”AWS Client VPN Demo
GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode
在使用GWLB+TGW方案时候,运行应用系统的VPC(可叫做Spoke VPC或叫做Application VPC)访问其他VPC时候出现了同AZ可访问,跨AZ无法访问。经调查是Transit Gateway Appliance Mode默认是关闭模式,没有打开。
Continue reading “GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode”GWLB系列2: GWLB Quickstart Demo
视频有配音注意调整音量。
Continue reading “GWLB系列2: GWLB Quickstart Demo”GWLB系列1: 使用GWLB做多VPC集中式东西和南北流量检测DEMO
使用AWS WAF进行Captcha人机验证
一、背景
2021年的re-Invent大会发布了AWS WAF验证码功能即Captcha。Captcha是Completely Automated Public Turing test to tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试)的首字母缩写,通常用于区分机器人和人类访客,以防止 Web 抓取、凭证填充和垃圾邮件等恶意活动。
Continue reading “使用AWS WAF进行Captcha人机验证”创建对所有AWS服务有只读权限的IAM User用户
在日常使用IAM User的过程中,要配置对各服务的查询权限,需要逐个添加每个服务对应的IAM Readonly Policy。
当需要配置几十个服务的时候,逐个添加很麻烦。此时可以查找名为“ReadOnlyAccess”的策略挂载到用户,即可为所有服务赋权。
Continue reading “创建对所有AWS服务有只读权限的IAM User用户”在AWS中国区域启用WAF防护Log4J漏洞
一、背景
2021年12月爆出的高危漏洞 CVE-2021-44228 和CVE-2021-45045漏洞,彻底的防护措施是升级Log4J版本到官方指定版本,临时措施是通过WAF进行一定程度的防护。建议升级到Log4J 2.17版本才可以满足安全要求。
使用WAF防护的前提:
- 中国区域和海外区域,已经使用EC2、ECS容器服务、EKS容器服务,且使用ALB作为发布点,此场景可使用WAF防护
- 海外区域,没有使用ALB发布但是使用Cloudfront CDN加速,则可使用基于Cloudfront的WAF防护
- 中国区域和海外区域的WAF都不支持直接对一个EC2的80、443、8080端口进行防护
- 不支持NLB网络负载均衡器,NLB后可嵌套接入ALB(此为2021年新发布新特性)
如果您已经配置过WAF并启用了,请参考这里的changelog确认后续更新。如果还没有启用WAF,请参考如下Step-by-step配置说明如下。
Continue reading “在AWS中国区域启用WAF防护Log4J漏洞”使用IAM创建日常Admin账户并设置留底账户
一、背景
当系统规模不大时候,通常一个AWS Account(账户ID是12位数字)只有几个高权限管理员负责云平台运维,此时可能大家共享同一个登录用户名,由此带来审计不便,且存在安全风险。
由此,可考虑将根账户(root账户)或者一个最高权限的IAM用户作为留底账户保护起来,并额外创建几个新的管理员账号下发给团队。同时,新创建的管理员账号对留底账号和其他管理员账号没有修改权限,以避免各自串通和干扰,确保各自的独立性。
Continue reading “使用IAM创建日常Admin账户并设置留底账户”为Aurora MySQL启用审计日志(Audit Log)
一、背景
在数据库RDS创建界面中,点击Addional额外设置之后可以展开日志设置,有四个选项,分别是:
Select the log types to publish to Amazon CloudWatch Logs:
- Audit log
- Error log
- General log
- Slow query log
这几个选项打开后,Cloudwatch会输出General log和Error log,可以看到失败的登录记录,但是无法看到Audit log,也就是无法看到每一条SQL查询、更新级别的日志。
这是由于,RDS日志需要额外打开选项。
Continue reading “为Aurora MySQL启用审计日志(Audit Log)”使用Session Manager登录EC2
本文更新于2023年8月,更新了EC2创建向导中选择IAM Role选项位置的截图为2023年新UI截图。目前AWS海外区和中国区的EC2创建向导界面均为本版本界面。
本文针对Amazon Linux、Redhat Enterprise Linux、Ubuntu等已经内置了SSM Agent的AMI镜像,对于Debian等没有预装SSM Agent的AMI,可参考本文对Debian进行配置。
一、Session Manager简介
Session Manager是System Manager(以下简称SSM)里边的管理套件其中的一个组件。它是一项Region级别的区域性服务。使用Session Manager在特定系统上可以快速免密钥登录EC2。
Continue reading “使用Session Manager登录EC2”