首页 » 亚马逊云科技解决方案 » 安全与合规 » 网络安全等级保护 » 亚马逊云科技云原生等保解决方案相关参考资源
亚马逊云科技云原生等保解决方案相关参考资源
本相关参考资料可以作为满足等保技术要求中非必选项技术要求的解决方案的补充,即这些补充方案是可选的(非必选)。通过这些补充方案可以进一步提升业务系统的安全能力,在等保测评中得更高的分数。
亚马逊云科技管理控制台登陆失败到达一定次数锁定的能力
亚马逊云科技 IAM 账户在尝试指定的登录失败次数后,无法创建 “锁定策略” 来锁定用户。为了增强亚马逊云科技账户安全性,本补充方案将利用 Amazon Lambda 和 Amazon SQS 结合 Amazon CloudWatch Event 实现自定义密码重试锁定策略以增强亚马逊云科技 IAM 用户安全,并满足用户需要 PCI-DSS 或等保认证的审核条款。 默认在 60s 内对 console 登陆消息进行统计一次,如果一个用户在 1 分钟内超过 5 次的错误登陆,将对该用户进行锁定;直到管理员手工解锁用户,否则该用户将无法继续登陆控制台。
亚马逊云科技管理控制台不限制 IAM 用户登陆位置和 IP 地址
亚马逊云科技管理控制台默认情况下是不限制 IAM 用户所进行登陆是的位置和 IP 地址的,但可以通过 IAM 的策略来进行配置,比如只允许 IAM 用户在公司内网来登陆管理控制台,以满足安全管理和等保测评技术要求。
日志通解决方案
日志审计是等保中非常关键的检测项,客户既可以使用云原生的日志产品 CloudWatch Logs 来统一收集、存储日志,也可以使用第三方的商业化日志产品或基于开源工具自行搭建的日志服务。日志通(英文名:Centralized Logging with OpenSearch,曾用名 Log Hub)是亚马逊云科技提供的一站式集中日志管理和分析平台,帮助客户轻松创建日志分析管道,并获取业务洞察。该解决方案基于 Amazon OpenSearch 构建,您可以同时高效完成日志摄取、日志处理和日志可视化。日志通可以满足等保在日志审计方面的要求。
如何通过 GuardDuty 和 Systems Manager 自动化地进行恶意文件处置
恶意软件和病毒文件的检测和自动化处置是等保中安全计算环境的重要检测项,亚马逊云科技的 GuardDuty 服务提供恶意软件和病毒文件的检测功能,自动化处置可以结合事件总线 EventBridge 和 Lambda 等按需编程处理。为了便于客户简单使用,如下博客提供了自动化部署的 CloudFormation 代码和恶意软件自动化处置的代码,客户可以直接使用或基于此代码进行二次开发。
利用 Gateway Load Balancer 打造符合 MLPS2.0 的安全网络架构 — 网络部署篇
网络安全隔离和控制是等保中重要的检测项,客户既可以使用云原生的网络安全方案实现,也可以使用第三方厂商的防火墙产品实现。在云上部署第三方厂商防火墙,可以基于亚马逊云科技的 Gateway Load Balancers(GWLB)来部署实施。
利用 Gateway Load Balancer 打造符合 MLPS2.0 的安全网络架构 — 日志审计篇
等保中的日志集中审计,不仅包括云服务、操作系统 OS 和应用 Application 等的日志进行统一收集和存储,如果客户使用了第三方的服务和设备等,也需要把对应的日志进行集中收集和存储。比如客户使用三方厂商的防火墙或堡垒机等产品,可以使用 rsyslog 的方式把日志进行集中收集和存储。
