亚马逊AWS官方博客

推出新的 AWS Shield 网络安全状况管理功能(预览版)

现在,我们很高兴地宣布推出 AWS Shield 网络安全状况管理功能(预览版),该功能可简化与 SQL 注入和分布式阻断服务(DDoS)事件等威胁相关的配置问题的识别,并提出补救建议。此功能可识别和分析网络资源、连接和配置。它将它们与 AWS 最佳实践进行比较,以创建可突出显示需要保护的资源的网络拓扑。

当今的组织在维持稳健的网络安全态势方面面临重大挑战。安全团队通常难以高效地发现其环境中的所有资源,了解这些资源是如何相互连接的,以及识别当前配置了哪些安全服务。此外,他们发现,确定资源相对于 AWS 最佳实践的配置情况需要大量的专业知识和精力。许多团队发现很难确定哪些网络安全服务和规则集最能保护其应用程序免受常见威胁和新出现的威胁。

AWS Shield 网络安全状况管理功能通过三项关键功能应对这些挑战。首先,它会进行全面分析,以发现您的 AWS 账户中的资源,识别资源之间的连接,并确定当前有哪些网络安全服务和配置。其次,它根据 AWS 网络安全最佳实践和威胁情报,按严重程度对资源进行优先级排序。最后,它提供了具体的补救建议,例如实施正确的 AWS 安全服务(包括 AWS WAFAmazon Virtual Private Cloud(Amazon VPC)安全组和 Amazon VPC 网络访问控制列表(ACL))的分步说明,以保护您的资源。

该服务支持关键的网络安全使用案例,包括保护应用程序免受互联网威胁,以及根据端口、协议或 IP 地址范围控制人类对资源的访问。它提供网络分析以发现资产,并提供分析,从而消除识别需要保护的资源的耗时手动过程。该服务通过根据网络环境和对 AWS 最佳实践的遵守情况为安全调查发现分配严重性级别来提供资源优先级,帮助您专注于最重要的事情。此外,它还提供切实可行的建议,并就哪些服务和配置将解决每个安全漏洞提供具体指导。您还可以在 AWS 管理控制台和聊天应用程序中从 Amazon Q 开发者版内部的 AWS Shield 网络安全状况管理功能处以自然语言获得答案。

AWS Shield 网络安全状况管理功能入门

要使用 AWS Shield 网络安全状况管理功能,我需要启动对我的 AWS 资源的网络分析。我前往 AWS WAF & Shield 控制台,在导航窗格的 AWS Shield 网络安全状况管理功能下选择入门。我选择开始,这将带我进入配置页面。在此页面上,我可以选择如何进行第一次网络分析:我可以评测所有支持区域的调查发现,也可以仅评测当前区域的调查发现。我选择开始网络分析

分析完成后,控制面板页面按严重性级别显示资源类型细分以及与其资源相关的最常见网络安全调查发现类别。资源按类型和严重性级别(严重、高、中、低、信息)进行分类,因此可以轻松确定哪些区域需要立即关注。

接下来,我将浏览资源部分,了解我的资产分布情况,并按严重程度在环境中进行筛选。我可以使用资源概览来查看特定的严重性级别,这会将我重定向到网络安全状况管理功能下的资源以及相关的严重性级别筛选器。我选择严重性级别为的资源。

我选择特定资源来查看其网络拓扑图,其中显示它如何连接到其他资源以及相关的调查发现。这种可视化可以帮助我了解安全配置的潜在影响,并识别暴露的路径。我将查看详细的调查发现,例如“允许在所有端口上不受限制的入站访问(0.0.0.0/0)”,及其严重性级别。

接下来,我转到网络安全状况管理功能下的调查发现,其中显示了常见的配置问题。对于每一项调查发现,我都会收到详细信息和建议的补救措施。该服务对调查发现的严重程度(高、中、低)进行评级,以帮助我确定响应的优先顺序。首先列出了诸如“在没有 CloudFront 保护的情况下也可以通过互联网访问 CloudFront 源”之类的关键严重性调查发现,或诸如“允许在所有端口上不受限制的入站访问(0.0.0.0/0)”之类的高严重性调查发现,然后是中低严重性问题。

您可以在 AWS 管理控制台和聊天应用程序中与 Amazon Q 开发者版中的 AWS Shield 网络安全状况管理功能一起使用自然语言分析您的网络安全配置。例如,您可以说“我的 CloudFront 分发有任何网络安全问题吗?”或者“我的任何资源是否容易受到机器人和抓取程序的攻击?” 这种集成可以帮助安全团队快速了解他们的安全态势并获得实施最佳实践的指导,而无需浏览大量文档。

为了探索这项功能,我会在使用 Amazon Q 探索部分中问“我最关键的网络安全问题是什么?”。Amazon Q 分析我的网络安全配置,并根据我的 AWS 环境的安全评测生成响应。

凭借这种全面的网络安全视图,您现在可以做出以数据为依据的决策,以加强对新兴威胁的防御。

预览版试用

AWS Shield 网络安全状况管理功能在美国东部(弗吉尼亚州北部)和欧洲地区(斯德哥尔摩)区域可用。Amazon Q 开发者版分析网络安全配置的功能已在美国东部(弗吉尼亚州北部)预览版中提供。要开始加强您的网络安全,请访问 AWS Shield 网络安全状况管理功能控制台并启动您的首次网络安全分析。

有关更多信息,请访问 AWS Shield 产品页面

– Esra

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。