AWS 安全与合规性AWS 介绍

AWS Shield
– 能够免费获得DDOS的保护，但是7 X 24支持就需要服务费高级版

AWS WAF
– 能够根据设定的规则过滤掉请求

AWS KMS （ Key Management Service ）
– AWS KMS是AWS提供的一项密钥管理服务，用于创建、存储和管理加密密钥，帮助保护您在AWS中存储和传输的敏感数据
– EBS / S3 Buckets / Redshift DB / RDS DB / EFS Drives 可以手动启动加密
– Cloud Trails Logs / S3 Glacier / Storage Gateway 默认在AWS服务当中加密
– KMS 有3个种类
1. CloudHMS
– 这个是用户使用自己的硬件自己保存好密钥

2. Customer Managed CMK
– 密钥放在aws设备中，但是必须用户自行管理
3. AWS Managed CMK
– 密钥放在aws设备中，aws帮用户创建和管理

AWS Certificate Manager ( ACM )
– AWS 提供的证书管理服务，包括了私网和公网的SSL
– 凡是使用ALB的服务都能直接使用这个免费的SSL服务

AWS Secrets Manager
– 密码管理器，能够设定X天之后就结合使用Lambda刷新密码
– 能够结合数据库的密码来刷新（MySQL, Postgre, Aurora）
– 使用这服务的密码是加密在KMS的

AWS Guard Duty
– 使用机器学习来分析日志，检测可能的恶意活动和安全威胁
– 结合EventBridge 把收到的消息 往SNS发送通知，或使用Lambda进行自定义

AWS Inspector
– 使用SSM Agent扫描和评估安全漏洞
– Lamda的代码 或 ECR内的镜像都会扫描
– 一单有安全问题的话就会报去Security Hub，和推送至EventBridge做自动化的部署。

AWS Artifact
– 能够查看AWS获得的所有iso 或是pci等等的认证

AWS Config
– 能够跟踪服务器配置的的更改记录
– 能够设定安全的compliance rule 来查看服务器有没有达到要求
– 这个和CloudTrail很类似，但是CloudTrail是记录户口在调用API的操作AWS记录，而这个是记录服务器配置的更改记录

AWS Macie
– 可以自动识别和保护您在AWS云中存储的敏感数据。当您在AWS S3或数据存储中上传数据时，AWS Macie会利用机器学习和人工智能技术来扫描和分析这些数据，以确定其中是否包含敏感信息，如个人身份信息、信用卡号码、社会安全号码等。

AWS Security Hub
– 结合 Config / GuardDuty / Inspector / Macie / IAM Access Analyzer / 等等的安全产品，统一一个面板提供观察，而且也能够结合多个AWS户口一并管理

AWS Detective
– 通常使用了Security Hub能够找出漏洞，但是不知道具体什么原因导致的，所以需要使用这个服务来找出具体原因
– 这服务是用了机器学习，分析VPC Flow Logs / CloudTrail Log / GuardDuty 发现具体原因的

AWS Abuse
– 如果发现有人滥用AWS的基础设施进行攻击的话，可以email给AWS处理

AWS Root User Privileges (主账号权限)
– 以下的功能只能够主账号做
– 更改户口设定 、 查看一些invoice、关闭aws户口、更改 AWS Support Plan、申请成为一个卖家在marketplace卖出自己的reserved instance

AWS IAM Access Analyzer
– 可能我们设置了很多个户口不同的权限，有时也是会搞乱，所以需要使用这个服务检视已开放的权限，和设立权限的边界