AWS Security, Identity, and Compliance category icon 安全性、身分識別與法規遵循 - Amazon Web Services 概述
Amazon CognitoAmazon DetectiveAmazon GuardDutyAmazon InspectorAmazon MacieAmazon Security LakeAmazon Verified PermissionsAWS ArtifactAWS Audit ManagerAWS Certificate ManagerAWS CloudHSMAWS Directory ServiceAWS Firewall ManagerAWS Identity and Access ManagementAWS Key Management ServiceAWS Network FirewallAWS Resource Access ManagerAWS Secrets ManagerAWS Security HubAWS ShieldAWS IAM Identity CenterAWS WAFAWS WAF 驗證碼

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Security, Identity, and Compliance category icon 安全性、身分識別與法規遵循

Amazon Cognito

Amazon Cognito 可讓您快速輕鬆地將使用者註冊、登入和存取控制新增至 Web 和行動應用程式。使用 Amazon Cognito,您可以擴展到數百萬名使用者,並透過 SAML 2.0 身分識別解決方案或使用您自己的身分系統,支援與蘋果、Facebook、Twitter 或 Amazon 等社交身分供應商進行登入。

此外,Amazon Cognito 可讓您將資料本機儲存在使用者裝置上,讓您的應用程式即使裝置離線也能正常運作。然後,您可以跨用戶的設備同步數據,以便無論他們使用哪種設備,他們的應用程序體驗都保持一致。

透過 Amazon Cognito,您能夠專心建立絕佳的應用程式體驗,不用擔心如何建置、保護和擴展解決方案,即可有效處理使用者管理、身分驗證與跨裝置同步作業。

Amazon Detective

Amazon Detective tor 可讓您輕鬆分析、調查並快速識別潛在安全問題或可疑活動的根本原因。Amazon Detective ess 會自動從您的 AWS 資源收集日誌資料,並使用機器學習、統計分析和圖論來建立連結的資料集,讓您輕鬆地進行更快、更有效率的安全調查。Amazon Detective ess 進一步簡化了組織中所有現有和 future 帳戶的安全操作和調查帳戶管理,最多可使 AWS Organizations 用 1,200 個 AWS 帳戶。

AWS Amazon GuardDuty、Amazon Macie 以及合作夥伴安全產品等安全服務可用於識別潛在的安全問題或發現結果。 AWS Security Hub這些服務對於在 AWS 部署中可能存在未經授權存取或可疑行為的時間和地點提醒您非常有幫助。不過,有時候會有安全性發現項目,您希望對導致發現項目的事件執行更深入的調查,以修正根本原因。對於安全分析師而言,確定安全性發現的根本原因可能是一個複雜的過程,這些程序通常涉及收集和合併來自許多資料來源的記錄,使用擷取、轉換和載入 (ETL) 工具,以及自訂指令碼來組織資料。

Amazon Detective ess 可讓您的安全團隊輕鬆調查並快速找出發現的根本原因,從而簡化此程序。Detective 可以分析來自多個資料來源的數兆個事件, AWS CloudTrail例如 Amazon Virtual Private Cloud (VPC) 流程日誌和 Amazon。 GuardDutyDetective 使用這些事件來自動建立一個統一的互動式檢視,檢視您的資源、使用者,以及它們之間隨著時間的推移互動。透過此統一檢視,您可以在一個位置視覺化所有詳細資料和內容,以識別發現項目的基本原因、深入研究相關的歷史活動,以及快速判斷根本原因。

您可以開始使用 Amazon Detective 在短短的點擊幾下 AWS Management Console。不需要部署任何軟體,也不需要啟用和維護資料來源。您可以免費試用 Detective,免費試用 30 天,新帳戶可免費試用。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可持續監控惡意活動和異常行為 AWS 帳戶,以保護存放在 Amazon 簡單儲存服務 (Amazon S3) 中的工作負載、Kubernetes 叢集和資料。此 GuardDuty服務會監控異常 API 呼叫、未經授權的部署和洩漏的認證等活動,這些憑證可能會偵察或遭到入侵。

只要在整個組織中按幾下滑鼠 AWS Management Console ,即可輕鬆管理整個組織 AWS Organizations,Amazon 就 GuardDuty 能立即開始分析您 AWS 帳戶中數十億個事件,找出未經授權使用的跡象。 GuardDuty 透過整合式威脅情報摘要和機器學習異常偵測來識別可疑的攻擊者,以偵測帳戶和工作負載活動中的異常情況。當偵測到潛在的未經授權使用時,服務會向主 GuardDuty 控台、Amazon E CloudWatch vents 和 AWS Security Hub. 這使得發現結果可行,並且易於集成到現有的事件管理和工作流程系統中。透過直接從 GuardDuty 主控台使用 Amazon Detective ess,即可輕鬆完成進一步調查以確定發現項目的根本原因。

Amazon 具 GuardDuty 有成本效益且易於操作。它不需要您部署和維護軟體或安全性基礎架構,這表示可以快速啟用,而不會對現有應用程式和容器工作負載造成負面影響。無需預付費用 GuardDuty,也不需要部署軟體,也不需要啟用威脅情報饋送。此外, GuardDuty透過套用智慧篩選器並僅分析與威脅偵測相關的一部分日誌來優化成本,而新的 Amazon GuardDuty 帳戶則可免費使用 30 天。

Amazon Inspector

Amazon Inspector 是全新的自動化弱點管理服務,可持續掃描 AWS 工作負載中的軟體弱點和意外的網路暴露。只要在和中按幾下滑鼠 AWS Management Console AWS Organizations,就可以在組織中的所有帳戶中使用 Amazon Inspector。一旦啟動,Amazon Inspector 會自動探索執行中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體以及任何規模存放在亞馬遜彈性容器登錄 (Amazon ECR) 中的容器映像,並立即開始評估它們是否存在已知漏洞。

Amazon Inspector 有過亞 Amazon Inspector 經典的許多改進。例如,新的 Amazon Inspector 透過將常見弱點和暴露 (CVE) 資訊與網路存取和可利用性等因素相關聯,計算每個發現項目的高度情境化風險評分。此分數用於排定最嚴重弱點的優先順序,以改善補救回應效率。此外,Amazon Inspector 現在使用廣泛部署的 AWS Systems Manager 代理程式 (SSM 代理程式),無需部署和維護獨立代理程式來執行 Amazon EC2 執行個體評估。對於容器工作負載,Amazon Inspector 現在已與 Amazon Elastic Container Registry (Amazon ECR) 整合,以支援容器映像的智慧型、具成本效益且持續的弱點評估。所有發現項目都會彙總在 Amazon Inspector 主控台中,路由至 Amazon 並透過 Amazon 推送 AWS Security Hub, EventBridge 以自動化工作流程,例如票務。

Amazon Inspector 的所有新帳戶都有資格獲得 15 天的免費試用期,以評估服務並估算其成本。在試用期間,所有推送到 Amazon ECR 的合格 Amazon EC2 執行個體和容器映像都會持續掃描,而且不收取任何費用。

Amazon Macie

Amazon Macie 是全受管的資料安全和資料隱私權服務,使用庫存評估、機器學習和模式比對來探索 Amazon S3 環境中的敏感資料和可存取性。Macie 支援可擴充的隨需和自動化敏感資料探索工作,可自動追蹤值區的變更,並只評估一段時間內的新物件或修改物件。使用 Macie,您可以檢測許多國家和地區的大量敏感數據類型列表,包括多種類型的財務數據,個人健康信息(PHI)和個人身份信息(PII)以及自定義類型。Macie 也會持續評估您的 Amazon S3 環境,為您的所有帳戶提供 S3 資源摘要和安全評估。您可以依中繼資料變數 (例如儲存貯體名稱、標籤和加密狀態或公共可存取性等安全控制) 來搜尋、篩選和排序 S3 儲存貯體。對於任何未加密的存儲桶,可公開訪問的存儲桶或與您定義的存儲桶以 AWS 帳戶 外共享的存儲桶 AWS Organizations,都可以收到提醒您採取行動。

在多帳戶設定中,單一 Macie 管理員帳戶可以管理所有成員帳戶,包括建立和管理跨帳戶的敏感資料探索工作。 AWS Organizations安全性和敏感資料探索發現項目會彙總在 Macie 管理員帳戶中,並傳送至 Amazon CloudWatch 事件和 AWS Security Hub。現在,使用一個帳戶,您可以與事件管理,工作流程和票務系統集成,或者使用 Macie 發現結果與 AWS Step Functions 自動修復操作。您可以免費使用新帳戶提供給 S3 儲存貯體庫存和儲存貯體層級評估的 30 天試用版,快速開始使用 Macie。儲存貯體評估的 30 天試用版不包含敏感資料探索。

Amazon Security Lake

Amazon Security Lake 將來自 AWS 環境、SaaS 供應商、內部部署和雲端來源的安全性資料集中到儲存在您的專用資料湖中。 AWS 帳戶 Security Lake 可自動收集和管理各個帳戶的安全性資料, AWS 區域 讓您可以使用偏好的分析工具,同時保有安全性資料的控制權和擁有權。透過 Security Lake,您還可以改善工作負載、應用程式和資料的保護。

Security Lake 會自動從整合式服務和協力廠商 AWS 服務收集與安全性相關的記錄檔和事件資料。它還可以通過可自定義的保留設置幫助您管理數據的生命週期。資料湖由 Amazon S3 儲存貯體提供支援,您可以保留資料的擁有權。安全湖將擷取的資料轉換為 Apache Parquet 格式,以及稱為開放網路安全結構描述架構 (OCSF) 的標準開放原始碼結構描述。透過 OCSF 支援,Security Lake 可將來自各種企業安全性資料來源的安全性資料標準化 AWS 並結合。

其他 AWS 服務和第三方服務可以訂閱儲存在 Security Lake 中的資料,以進行事件回應和安全性資料分析。

Amazon Verified Permissions

Amazon 驗證許可是可擴展的精細許可管理和授權服務,適用於您已建立的自訂應用程式。驗證權限可讓您的開發人員透過外部化授權並集中原則管理和管理,以更快速地建置安全的應用程式。

已驗證的權限使用 Cedar (開放原始碼原則語言和 SDK) 為應用程式使用者定義精細的權限。您的授權模型是使用主參與者類型、資源類型和有效動作來定義,以控制哪些人可以針對指定應用程式前後關聯中的哪些資源採取哪些動作。系統會稽核原則變更,以便您可以查看變更的人員以及何時進行變更。

AWS Artifact

AWS Artifact是您最重要的法規遵循相關資訊的核心資源。它提供隨選存取 AWS 安全性和合規性報告,以及特定的線上合約。提供的報告 AWS Artifact 包括我們的服務組織控制 (SOC) 報告、支付卡產業 (PCI) 報告,以及來自各地區和法規遵循垂直領域的認證機構的認證,用於驗證 AWS 安全控制的實施和營運效率。中提供的協議 AWS Artifact 包括「商業夥伴增補合約」(BAA) 和「保密協定」(NDA)。

AWS Audit Manager

AWS Audit Manager協助您持續稽核您的 AWS 使用情況,以簡化評估風險以及遵守法規與產業標準的方式。Audit Manager 會自動執行證據收集,以減少稽核經常發生的「全力投入」手動工作,並讓您能夠隨著業務成長而在雲端擴展稽核能力。有了 Audit Manager,您就可以輕鬆評估您的策略、程序和活動 (也稱為控制項) 是否有效運作。當需要進行稽核時,可 AWS Audit Manager 協助您管理控制項的利害關係人審查,並讓您以更少的手動方式建立可稽核準備的報告。

AWS Audit Manager 預先建置的架構可將您的 AWS 資源對應至業界標準或法規的要求,例如 CIS AWS 基準測試、一般資料保護規範 (GDPR) 和支付卡產業資料安全標準 (PCI DSS),協助將雲端服務中的證據轉換為易於稽核的報告。您也可以針對您獨特的業務需求,完全自訂架構及其控制項。Audit Manager 會根據您選取的架構啟動評估,持續從您的 AWS 帳號和資源收集並組織相關證據,例如資源組態快照、使用者活動和符合性檢查結果。

您可以在中快速開始使用 AWS Management Console。只要選取預先建置的架構即可啟動評估,並開始自動收集和整理證據。

AWS Certificate Manager

AWS Certificate Manager是一項服務,可讓您輕鬆佈建、管理和部署安全通訊端層/傳輸層安全性 (SSL/TLS) 認證,以便與服務和內部連線資源搭配使用。 AWS SSL/TLS 認證用於保護網路通訊的安全,並透過網際網路建立網站的身分,以及私人網路上的資源。 AWS Certificate Manager 省去購買、上傳和續約 SSL/TLS 認證的耗時手動程序。

您可以使用 AWS Certificate Manager快速申請憑證、將憑證部署在 ACM 整合的 AWS 資源上,例如 Elastic Load Balancing、Amazon CloudFront 分發和 API Gateway 上的 API,以及 AWS Certificate Manager 處理憑證續約。它也可讓您為內部資源建立私有憑證,並集中管理憑證生命週期。透過佈建與 ACM 整合服務搭配使 AWS Certificate Manager 用的公用和私有憑證是免費的。您只需為執行應用程式所建立的 AWS 資源付費。

使用時 AWS Private Certificate Authority,您每月支付私有憑證授權單位 (CA) 的運作費用,以及發行的私有憑證。您擁有高可用性的私有 CA 服務,而不需要支付操作自己私有 CA 的前期投資和持續維護成本。

AWS CloudHSM

AWS CloudHSM是一個雲端硬體安全模組 (HSM),可讓您輕鬆地在 AWS 雲端. 透過 AWS CloudHSM,您可以使用專用的 FIPS 140-2 第 3 級驗證 HSM 來管理自己的加密金鑰。 AWS CloudHSM 提供您使用業界標準 API (例如 PKCS #11、Java 加密延伸模組 (JCE) 和 Microsoft 加密 (CNG) 程式庫與應用程式整合的彈性。

AWS CloudHSM 符合標準,可讓您將所有金鑰匯出至大多數其他市售 HSM (視您的組態而定)。這是一項全受管服務,可為您自動執行耗時的管理工作,例如硬體佈建、軟體修補、高可用性和備份。 AWS CloudHSM 還可讓您透過隨需新增和移除 HSM 容量來快速擴展,而無需前期成本。

AWS Directory Service

AWS Directory Service對於 Microsoft 活動目錄,也稱為 AWS Managed Microsoft AD,可讓您的目錄感知工作負載和 AWS 資源在. AWS 雲端 AWS Managed Microsoft AD 是建立在實際的 Microsoft 活動目錄,不需要您同步或複製數據從您現有的活動目錄到雲。您可以使用標準的 Active Directory 系統管理工具,並利用內建的 Active Directory 功能,例如群組原則和單一登入 (SSO)。有了 AWS Managed Microsoft AD,您可以輕鬆地將 Amazon EC2Amazon RDS for SQL Server 執行個體加入網域,並將 AWS 企業 IT 應用程式 (例如 Amazon) WorkSpaces 與活動目錄使用者和群組一起使用。

AWS Firewall Manager

AWS Firewall Manager是一項安全性管理服務,可讓您集中設定和管理中帳戶和應用程式的防火牆規則AWS Organizations。建立新應用程式時,Firewall Manager 可透過強制執行一組通用的安全規則,輕鬆將新的應用程式和資源納入法規遵循。現在,您可以使用單一服務來建置防火牆規則、建立安全性原則,並以一致、階層式的方式在整個基礎結構中強制執行這些規則,從中央系統管理員帳戶。

AWS Identity and Access Management

AWS Identity and Access Management(IAM) 可讓您安全地控制使用 AWS 者、群組和角色對 AWS 服務和資源的存取。您可以使用 IAM 建立和管理具有許可的精細存取控制、指定誰可以存取哪些服務和資源,以及在哪些情況下。IAM 允許您執行以下操作:

  • 您可以在 AWS IAM Identity Center(IAM 身分中心) 中管理員工使用者和工作負載的 AWS 許可。IAM 身分中心可讓您管理多個 AWS 帳戶的使用者存取權限。只需點擊幾下,您就可以啟用高可用性服務,輕鬆管理多帳戶訪問以及AWS Organizations集中管理所有帳戶的權限。身分識別中心包含許多商業應用程式的內建 SAML 整合,例如 Salesforce、盒子和 Microsoft Office 365。此外,您可以建立安全性宣告標記語言 (SAML) 2.0 整合,並將單一登入存取權延伸至任何已啟用 SAML 的應用程式。您的使用者只要使用他們設定的認證登入使用者入口網站,或使用現有的公司認證,即可從單一位置存取所有指派的帳戶和應用程式。

  • 管理單一帳戶 IAM 許可:您可以使用許可指定對 AWS 資源的存取權。依預設,您的 IAM 實體 (使用者、群組和角色) 從沒有權限開始。您可以透過附加 IAM 政策 (指定存取類型、可執行的動作以及可執行動作的資源) 來授與這些身分識別許可。您也可以指定必須設定為允許或拒絕存取的條件。

  • 管理單一帳戶 IAM 角色:IAM 角色可讓您將存取權委派給通常無法存取組織 AWS 資源的使用者或服務。IAM 使用者或 AWS 服務可以擔任角色來取得用於進行 AWS API 呼叫的臨時安全登入資料。您不必共用長期認證或為每個身分定義權限。

AWS Key Management Service

AWS Key Management Service(AWS KMS) 可讓您輕鬆建立和管理加密金鑰,並控制其在各種 AWS 服務和應用程式中的使用。 AWS KMS 使用硬體安全模組 (HSM) 在 FIPS 140-2 加密模組驗證程式下保護和驗證您的金 AWS KMS 鑰。 AWS KMS 與整合, AWS CloudTrail 為您提供所有關鍵使用記錄,以協助滿足您的法規和合規需求。

AWS Network Firewall

AWS Network Firewall 受管服務可讓您輕鬆地部署所有 Amazon 虛擬私有雲端 (VPC) 的必要網路保護。只需按幾下滑鼠即可設定服務,並隨著網路流量自動調整規模,因此您不必擔心部署和管理任何基礎結構。AWS Network Firewall 彈性規則引擎可讓您定義防火牆規則,讓您對網路流量進行更精細的控制,例如封鎖輸出伺服器訊息區 (SMB) 請求以防止惡意活動傳播。您也可以匯入已使用一般開放原始碼規則格式撰寫的規則,以及啟用與合 AWS 作夥伴提供的受管理智慧摘要的整合。 AWS Network Firewall 與共同運作,以 AWS Firewall Manager 便您可以根據 AWS Network Firewall 規則建立原則,然後將這些原則集中套用至 VPC 和帳戶。

AWS Network Firewall 包含的功能可提供防範常見網路威脅的功能。可設定 AWS Network Firewall 狀態防火牆可以整合來自流量流程的內容 (例如追蹤連線和通訊協定識別),以強制執行諸如防止 VPC 使用未經授權的通訊協定存取網域等原則。入 AWS Network Firewall 侵預防系統 (IPS) 提供主動式流量檢測,讓您可以使用特徵碼型偵測來識別和封鎖弱點攻擊。 AWS Network Firewall 還提供 Web 過濾功能,可以阻止流量傳輸到已知錯誤 URL 並監控完整網域名稱。

您可以 AWS Network Firewall 透過造訪 Amazon VPC 主控台建立或匯入防火牆規則、將它們分組到政策中,然後將它們套用到要保護的 VPC,輕鬆開始使用。 AWS Network Firewall 定價是根據部署的防火牆數量和檢查的流量而定。沒有前期承諾,您只需按實際用量付費。

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) 協助您在 AWS 帳戶、AWS Organizations 中的組織或組織單位 (OU) 內安全地共用資源,以及支援的資源類型與 IAM 角色和 IAM 使用者共用資源。您可以用 AWS RAM 來共用傳輸閘道、子網路、 AWS License Manager 授權組態、Amazon Route 53 Resolver 規則以及更多資源類型。

許多組織使用多個帳戶來建立管理或帳單隔離,並限制錯誤的影響。使用時 AWS RAM,您不需要在多個 AWS 帳戶中建立重複的資源。這樣可以減少管理您擁有的每個帳戶中資源的營運額外負荷。相反地,在多帳號環境中,您可以建立一次資源,並透過建立資源共用 AWS RAM 來跨帳號共用該資源。建立資源共用時,您可以選取要共用的資源,針對每個資源類型選擇 AWS RAM 受管理的權限,然後指定要存取資源的人員。 AWS RAM 為您提供,不收取額外費用。

AWS Secrets Manager

AWS Secrets Manager協助您保護存取應用程式、服務和 IT 資源所需的機密。此服務可讓您輕鬆輪換、管理和擷取資料庫登入資料、API 金鑰和其他機密的整個生命週期。使用者和應用程式透過呼叫 Secrets Manager API 擷取密碼,無需以純文字格式對敏感資訊進行硬式編碼。Secrets Manager 提供秘密輪換與 Amazon RDS 內置集成, Amazon Redshift, 和 Amazon DocumentDB. 該服務也可擴展到其他類型的密鑰,包括 API 密鑰和 OAuth 令牌。此外,Secrets Manager 可讓您使用精細的權限來控制密碼的存取 AWS 雲端,並針對第三方服務和內部部署中的資源集中稽核密碼輪換。

AWS Security Hub

AWS Security Hub是一種雲端安全狀態管理服務,可針對您的 AWS 資源執行自動化、持續的安全性最佳實務檢查。Security Hub 會以標準化格式彙總來自各種 AWS 服務和合作夥伴產品的安全性警示 (即發現項目),讓您可以更輕鬆地採取行動。為了在中保持安全狀態的完整視圖 AWS,您需要整合多個工具和服務,包括來自 Amazon 的威脅偵測 GuardDuty、來自 Amazon Inspector 的漏洞、Amazon Macie 的敏感資料分類、來自的資源組態問題以及 AWS Partner Network 產品。 AWS Config Security Hub 透過由 AWS Config 規則提供支援的自動化安全性最佳實務檢查,以及與數十種 AWS 服務和合作夥伴產品的自動整合,簡化您瞭解和改善安全狀態的方式。

Security Hub 可讓您透過所有 AWS 帳戶的整合安全評分來瞭解您的整體安全性狀態,並透過AWS 基礎安全性最佳做法 (FSBP) 標準和其他合規性架構自動評估 AWS 帳戶資源的安全性。它還可以透過安全性尋找格式 (ASFF),將數十種 AWS 安全服務和 APN 產品的所有AWS 安全發現彙總到單一位置和格式,並透過自動化回應和修復支援縮短您的平均修復時間 (MTTR)。Security Hub out-of-the-box 整合了售票、聊天、安全資訊和事件管理 (SIEM)、安全協調自動化與回應 (SOAR)、威脅調查、治理風險與合規 (GRC) 和事件管理工具,為您的使用者提供完整的安全作業工作流程。

開始使用 Security Hub 只需按幾下,即可開始彙總發現項目並使用我們的 30 天免費試用版進行安全性檢查。 AWS Management Console 您可以將 Security Hub 與整合,以 AWS Organizations 便在組織中的所有帳戶中自動啟用服務。

AWS Shield

AWS Shield是一項託管的分佈式拒絕服務(DDoS)保護服務,可保護在上 AWS運行的 Web 應用程序。 AWS Shield 為您提供永遠在線的偵測和自動內嵌緩解措施,可將應用程式停機時間和延遲降至最低,因此無需參與即可受益 AWS Support 於 DDoS 保護。有兩個層級 AWS Shield:標準和進階。

所有 AWS 客戶都可以從 AWS Shield 標準版的自動保護中受益,無需額外付費。 AWS Shield Standard 抵禦針對您網站或應用程式的常見、經常發生的網路和傳輸層 DDoS 攻擊。當您 AWS Shield Standard 搭配 Amazon CloudFront 和 Amazon Route 53 使用時,您將獲得全面的可用性保護,以防止所有已知的基礎設施 (第 3 層和第 4 層) 攻擊。

如需針對在 Amazon 彈性運算雲端 (Amazon EC2)、Elastic Load Balancing (ELB)、亞馬遜和 Amazon Route 53 資源上執行之應用程式的攻擊提供更高層級的保護,您可以 AWS Shield Advanced訂閱。 CloudFront除了標準版隨附的網路和傳輸層保護外, AWS Shield Advanced 還提供額外的偵測和緩解功能,以抵禦大型複雜的 DDoS 攻擊、近乎即時的攻擊能見度,以及與 AWS WAF Web 應用程式防火牆整合。 AWS Shield Advanced 此外,您還可以全天候存取 AWS DDoS 回應團隊 (DRT),並在您的 Amazon 彈性運算雲端 (Amazon EC2)、Elastic Load Balancing (ELB)、Amazon 和亞馬遜路線 53 收費中針對 DDoS 相關尖峰提供保護。 CloudFront

AWS Shield 進階版可在全球所有 Amazon CloudFront 和 Amazon Route 53 節點使用。您可以在應用程式前部署 Amazon CloudFront ,保護在世界任何地方託管的 Web 應用程式。您的原始伺服器可以是 Amazon S3、亞馬遜彈性運算雲端 (Amazon EC2)、Elastic Load Balancing (ELB) 或以外的 AWS自訂伺服器。您也可以直接在下列的彈性 IP 或 Elastic Load Balancing (ELB) 上啟用 AWS Shield 進階 AWS 區域:維吉尼亞北部、俄亥俄州、俄勒岡、北加州、蒙特利爾、聖保羅、愛爾蘭、法蘭克福、倫敦、巴黎、斯德哥爾摩、新加坡、東京、雪梨、首爾、孟買、米蘭和開普敦。

AWS IAM Identity Center

AWS IAM Identity Center(SSO) 是一種雲端 SSO 服務,可讓您輕鬆集中管理多個 AWS 帳戶和商業應用程式的 SSO 存取。只要按幾下滑鼠,您就能啟用高可用性 SSO 服務,而不必支付操作自己 SSO 基礎架構的前期投資和持續的維護成本。透過 IAM 身分中心,您可以輕鬆AWS Organizations集中管理所有帳戶的 SSO 存取和使用者許可。身分識別中心也包含許多商業應用程式的內建 SAML 整合,例如 Salesforce、盒子和 Microsoft Office 365。此外,透過使用 IAM 身分中心應用程式設定精靈,您可以建立安全聲明標記語言 (SAML) 2.0 整合,並將 SSO 存取延伸至任何已啟用 SAML 的應用程式。您的使用者只要使用他們在 IAM Identity Center 中設定的登入資料登入使用者入口網站,或使用現有的公司登入資料,即可從單一位置存取所有指派的帳戶和應用程式。

AWS WAF

AWS WAF是一種 Web 應用程式防護牆,可協助保護您的 Web 應用程式或 API 免受可能影響可用性、危害安全性或耗用過多資源的常見 Web 入侵程式和機器人。 AWS WAF 讓您能夠建立安全規則來控制機器人流量並封鎖常見攻擊模式 (例如 SQL 插入或跨網站指令碼),讓您控制流量到達應用程式的方式。您也可以自訂篩選出特定流量模式的規則。您可以使用受管規則快速上手 AWS WAF,這是一組由 AWS 或 AWS Marketplace 賣方管理的預先配置規則,以解決 OWASP 十大安全風險和自動化機器人,這些問題會消耗過多的資源、歪斜指標或可能導致停機時間。這些規則會隨著新問題的出現而定期更新。 AWS WAF 包含功能齊全的 API,您可以使用它來自動化安全規則的建立、部署和維護。

AWS WAF 驗證碼

AWS WAF 驗證碼會要求使用者在允許 Web 請求到達 AWS WAF 受保護的資源之前成功完成挑戰,藉此協助封鎖不需要的機器人流量。您可以設定 AWS WAF 規則,要求針對機器人 (例如登入、搜尋和表單提交) 經常鎖定的特定資源來解決 WAF 驗證碼挑戰。您也可以根據產生的比率、屬性或標籤 (例如 AWS WAF 機器人控制或 Amazon IP 信譽清單) AWS 受管規則,針對可疑請求要求 WAF 驗證碼挑戰。WAF 驗證碼挑戰對人類來說很簡單,同時對機器人保持有效。WAF 驗證碼包含音訊版本,旨在符合網頁內容存取指南 (WCAG) 協助工具要求。