[GWS] Google Workspace 設定 DLP 保護資料好幫手

 因為最近開始接觸 Google Workspace，有客戶需要使用到 DLP 功能做資料保護

因此這邊準備了小步驟分享出來

首先 資料遺失防護 (DLP) 功能來建立及套用規則，控管使用者可在機構外部共用哪些檔案內容。資料遺失防護功能可讓您掌控使用者可共用的內容，並防止意外洩漏信用卡卡號或身分證號碼等機密資訊。 [1]

資料遺失防護規則會觸發系統掃描檔案，確認是否含有機密內容，並禁止使用者共用這類內容。規則可以判定資料遺失防護事件的性質，而事件則會觸發動作，例如封鎖指定的內容。

您可以允許網域、機構單位或群組成員在受到管控的情況下共用內容。

資料遺失防護流程摘要：

• 定義資料遺失防護規則，這些規則會定義哪些內容屬於機密資料，應加強防護。資料遺失防護規則適用於「我的雲端硬碟」和「共用雲端硬碟」。
• 資料遺失防護功能會掃描內容，檢查是否出現違反資料遺失防護規則的情況，這類情況將觸發資料遺失防護違規事件。
• 資料遺失防護功能強制執行您定義的規則，違規行為則會觸發動作 (例如傳送快訊)。
• 您收到說明違反資料遺失防護規則的快訊。

透過上面介紹大概能理解什麼是 DLP 了吧！

那進入正題，由於我們是使用繁體中文又是台灣的資訊，其實你從 DLP 的範本針對台灣的偵測只有護照號碼，不像其他國家可以做到地址 姓名等等的偵測相對對來說少之又少，因此只能自己寫了，不過可以確定的是 DLP 是有支援繁體中文的，這部份已經有跟 GWS CE 和 GWS Support 確認過

因此這邊透過 Google RE2 語法寫出了判斷式來判斷台灣的身分證號以及地址 [2]

可以看到我寫了地址的規則運算式,只是這邊的觸發條件是只要符合其中一個條件就會

例如 : 你打新北市，這樣當中有 "市" 這個字眼就會觸發 DLP

又或者你打士林區文林路，這樣當中有 "區" 和 "路" 這兩個也都會觸發 DLP

因此你可以針對你的需求去調整字串

再來身分證就單純多了，主要台灣是用 A ~ Z 去做證號開頭，後面數字就是9位數

所以這個判斷就很簡單

大家也可以透過連結 [2] 的範例去做調整符合自己的 DLP 配置

另外上面介紹這個方式可以用在 Gmail 的 DLP 偵測和 Google Drive 的 DLP 偵測喲 [3]

[1] https://support.google.com/a/answer/9646351?hl=zh-Hant

[2] https://support.google.com/a/answer/1371417?hl=zh-Hant

[3] https://support.google.com/a/answer/9655387?sjid=12267917821035671596-AP#zippy=%2C%E7%AF%84%E4%BE%8B-%E4%BD%BF%E7%94%A8%E9%A0%90%E5%85%88%E5%AE%9A%E7%BE%A9%E7%9A%84%E9%A1%9E%E5%88%A5%E4%BF%9D%E8%AD%B7%E7%A4%BE%E6%9C%83%E5%AE%89%E5%85%A8%E8%99%9F%E7%A2%BC%2C%E7%AF%84%E4%BE%8B-%E4%BD%BF%E7%94%A8%E8%87%AA%E8%A8%82%E5%81%B5%E6%B8%AC%E5%B7%A5%E5%85%B7%E4%BF%9D%E8%AD%B7%E5%85%A7%E9%83%A8%E5%90%8D%E7%A8%B1%2C%E7%AF%84%E4%BE%8B-%E4%BD%BF%E7%94%A8%E8%A6%8F%E5%89%87%E7%AF%84%E6%9C%AC%E4%BF%9D%E8%AD%B7%E5%80%8B%E4%BA%BA%E8%AD%98%E5%88%A5%E8%B3%87%E8%A8%8A

[AWS] Security Hub 教你如何設定

Written by: AWS Community Builder Wang Sheng Hau

大家可能會很好奇 Security Hub 是什麼，再來他可以為我們公司帶來什麼樣的幫助？

這邊稍微介紹一下什麼是 AWS Security Hub ！

AWS Security Hub 為您提供中安全性狀態的全面檢視，並根據安全性產業標準和最佳做法來評估你的AWS雲端環境，會收集和支援的協力廠商產品之間 AWS 帳戶的安全性資料 AWS 服務，並協助您分析安全性趨勢並找出最優先順序的安全性問題。

為了協助您管理組織的安全性狀態，Security Hub 支援多種安全性標準。其中包括由開發的 AWS基礎安全性最佳實務 (FSBP) 標準AWS，以及外部合規架構，例如網際網路安全中心 (CIS)、支付卡產業資料安全標準 (PCI DSS)，以及美國國家標準與技術研究所 (NIST)。每個標準都包含數個安全控制，每個控制都代表安全性最佳實務。Security Hub 會針對安全性控制執行檢查，並產生控制發現項目，協助您根據安全性最佳實務來評估合規性。

除了產生控制發現之外，Security Hub 還會收到來自其他 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie) 的發現結果，以及支援的第三方產品。這為您提供了一個單一窗格，解決各種與安全性相關的問題。

優點

可讓您更輕易地收集和排列問題清單的優先順序

Security Hub 可減少收集整合式和合AWS作夥伴產品跨帳戶的安全發現項目AWS 服務並排定優先順序的工作。Security Hub 使用AWS安全性尋找格式 (ASFF) (標準尋找格式) 來處理尋找資料。這樣就不需要以多種格式管理來自眾多來源的發現項目。Security Hub 也會關聯不同提供者的發現項目，協助您排定最重要的項目的優先順序。

根據最佳實務和標準自動進行安全檢查

Security Hub 會根據AWS最佳實務和業界標準，自動執行連續的帳戶層級組態和安全性檢查。Security Hub 使用這些檢查的結果來計算安全分數，並識別需要注意的特定帳戶和資源。

合併帳戶與提供者問題清單的檢視

Security Hub 會整合帳戶和提供者產品之間的安全發現項目，並在 Security Hub 主控台上顯示結果。您也可以透過安全中心 API 或 SDK 擷取發現項目。AWS CLI透過全面檢視您目前的安全狀態，您可以發現趨勢、識別潛在問題，並採取必要的補救措施。

能夠自動尋找更新和補救

您可以建立根據您定義的條件修改或隱藏發現項目的自動化規則。Security Hub 還支持與亞馬遜的集成 EventBridge。若要自動修復特定發現項目，您可以定義產生搜尋結果時要採取的自訂動作。例如，您可以設定自訂動作，將問題清單傳送到售票系統或自動化修補系統。

上面介紹了這麼多，接下來我們來實際的設定一遍，就知道成效了

1. 建立 AWS Security Hub

2. 選擇要套用的安全標準後即可開啟

3. 一開始尚未設定 Security Hub 時的 AWS Config 規則

4.設定後會發現規則數量變多(Security Hub 的規則前面會加上 securityhub，且無法調整)

這邊的規則為完整 security hub 規則

5. 至 Security Hub Summary 首頁可以查看分數

6. Security standards 則可選擇檢核套餐結果

7. 進入後可點選 Title 查看狀態

1. 可以查看檢測項目該如何修復

2. 目前儀錶板狀態(每 24 小時更新一次)

3. 實際狀態

至 Findings 可查看找到的問題，並點選查看，Findings 為全部狀態，不見得會與 Controls 與

Summary 相同，Controls 與 Summary 所呈現內容，只會呈現所選檢核套餐中的項目

也可以查看找到的問題以及漏洞的相關說明

[AWS] AWS re:Invent 2023 - Security & Identity Session ReCap

Written by: AWS Community Builder Wang Sheng Hau

又到了一年一度 AWS re:Invent 2023 的年度盛會了，這次一樣也是針對 Security & Identity 相關的 Session 來摘要一下，詳細資料可以從文末的連結去查看更詳細的內容介紹。

1.  AWS CloudTrail Lake 資料現在可用於 Amazon Athena 中的 Zero ETL 分析

CloudTrail Lake 現在可在 Athena 中進行 Zero ETL分析，無需搬移數據。

資安工程師可進行相關性分析，可使用 QuickSight 和 Managed Grafana 進行可視化報告。

想要使用此功能需在 CloudTrail Lake 中啟用數據聯邦化，並使用 Glue Data Catalo g和AWS Lake Formation 進行設定。

在所有 AWS 區域中都可以使用此服務，費用按 Athena 和CloudTrail Lake 定價收費。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/aws-cloudtrail-lake-zero-etl-anlysis-athena/

後面有兩篇都跟 AWS Detective 有關聯,為了讓同學們能了解什麼是 AWS Detective

這邊介紹一下什麼是 AWS Detective 是什麼？

Amazon Detective 可協助分析、調查並快速識別安全結果或可疑活動的根本原因。 

Detective 會自動從​ AWS 資源收集日誌資料。 使用機器學習、統計分析和圖論來產生視覺化效果，幫助更快、更有效率地進行安全調查。 

Detective 預先建置的資料聚合、摘要和上下文可更快速分析和確定可能的安全問題的性質和程度。

https://aws.amazon.com/tw/detective/

透過圖上可以了解到 AWS Detective 的運作原理及流程

2. Amazon Detective 支援從 Amazon Security Lake 檢索日誌

Amazon Detective 現在與 Amazon Security Lake 集成，使安全分析師能夠查詢並檢索存儲在 Security Lake 中的日誌。

您可以使用此集成在 Detective 進行安全調查時從 AWS CloudTrail 日誌和 Amazon Virtual Private Cloud (Amazon VPC) Flow Logs 中獲取 Security Lake 中存儲的額外訊息。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-detective-log-retrieval-security-lake/

3. GuardDuty ECS 運行時的偵探安全調查

Detective 現在支援 Amazon GuardDuty Elastic Container Service (ECS) Runtime Monitoring檢測到的威脅的安全調查。Amazon Detective 現在提供了增強的可視化和有關 ECS 上檢測的附加上下文。

可以使用來自 GuardDuty 的新運行時威脅檢測和 Detective 的調查功能，提高對容器工作負載潛在威脅的檢測和應對能力。

Detective支援對這些新檢測的調查，包括與其他發現的相關聯，圖形可視化和其他摘要，以加速安全調查。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-detective-security-guardduty-ecs-monitoring/

4. Amazon Detective 宣布對 IAM 進行自動調查

Amazon Detective 現在支援自動調查 AWS Identity and Access Management (IAM) 實體以尋找洩漏指標 (IoC) 的功能。 這項新功能可協助安全分析師確定 IAM 實體是否可能受到損害或涉及 MITRE ATT&CK 框架中的任何已知策略、技術和程序 (TTP)。

Detective 可以更輕鬆地分析、調查並快速識別潛在安全問題或可疑活動的根本原因。 啟用後，Detective 會自動從 AWS 資源收集日誌數據，並使用機器學習、統計分析和圖論來建立互動式視覺化，以更快、更有效率地進行安全調查，並且自動分析 IAM 使用者和 IAM 角色，以快速發現潛在的 IoC 和 TTP。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-detective-investigations-iam/

5.  Amazon GuardDuty 現在支援 Amazon EC2 的執行時間監控（Preview）

Amazon GuardDuty EC2 執行時間監控預覽版，這是 Amazon GuardDuty 的擴展，為 Amazon Elastic Compute Cloud (Amazon EC2) 工作負載引入執行階段威脅偵測。

GuardDuty EC2 執行時間監控加深了 Amazon EC2 工作負載的威脅偵測覆蓋範圍。 它使您可以了解主機上、作業系統層級的活動，並提供偵測到的威脅的容器層級上下文。

透過此擴充功能，GuardDuty 可以幫助您識別並回應可能針對 EC2 工作負載中的運算資源的潛在威脅。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-guardduty-runtime-monitoring-amazon-ec2-preview/

6. Amazon Inspector 透過生成式 AI 支援的修復功能擴展了 AWS Lambda 程式碼掃描

AWS Lambda 函數的 Amazon Inspector 程式碼掃描現在包括使用產生人工智慧 (AI) 和自動推理的輔助程式碼修復。 

針對 Lambda 函數的 Amazon Inspector 程式碼修復為 AWS Lambda 函數安全掃描期間偵測到的多類別漏洞提供上下文程式碼修補程式。 

它擴展了 Amazon Inspector 的功能，可根據 AWS 安全最佳實踐評估自訂專有 Lambda 程式碼是否有註入缺陷、資料外洩、弱加密或缺失加密等安全性問題。 

發現漏洞後，Amazon Inspector 會提供可操作的安全結果，包括受影響的程式碼片段和修復建議。 作為支援的調查結果的一部分，Amazon Inspector 提供了與漏洞相關的程式碼補丁，從而簡化了更新易受攻擊的程式碼的過程。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-inspector-aws-lambda-code-scanning/

7. AWS 的新功能：現在可以在 AWS Security Hub 中自定義安全控制

Security Hub 控制項中的客戶特定輸入，使您能夠自訂 AWS 中的安全態勢監控。 Security Hub 是一項雲端安全態勢管理 (CSPM) 服務，具有數百個託管和自動化控件，可讓您監控雲端資源並確保它們得到安全配置。 

Security Hub 在發佈時支援 30 多個控制項的自訂。

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/customize-security-controls-aws-security-hub/

8. Amazon WorkSpaces Thin Client 現已全面上市

這是一種低成本最終用戶設備，可協助組織降低整體虛擬桌面成本、加強安全狀況並簡化最終用戶部署。

透過 WorkSpaces Thin Client 端服務，IT 管理員可以全面了解其庫存，並可以遠端重置、修補和控制對瘦客戶端的存取

https://aws.amazon.com/tw/about-aws/whats-new/2023/11/amazon-workspaces-thin-client/

9. AWS Security Hub 中新的中央配置功能

隨著 Security Hub 新的中央配置功能的發布，控制和策略配置的設定和管理得到了簡化，並集中到您已用於聚合結果的相同帳戶。

您現在可以使用委派管理員 (DA) 帳戶（指定用於管理整個組織內的 Security Hub 的 AWS Organizations 帳戶）來集中管理 Security Hub 控制和標準，並從一個位置查看整個組織中的Security Hub 配置。 

為了促進此功能，集中配置可讓您設定策略來指定是否應啟用 Security Hub 以及應開啟哪些標準和控制項。 然後，您可以選擇將您的策略與整個組織或特定帳戶或組織單位 (OU) 關聯，並在連結的區域中自動套用您的策略。

 應用於特定 OU（或整個組織）的策略由子帳戶繼承。 這不僅適用於現有帳戶，也適用於建立策略後新增至這些 OU（或整個組織）的新帳戶。

https://aws.amazon.com/blogs/security/introducing-new-central-configuration-capabilities-in-aws-security-hub/

[AWS] re:Inforce 2023 Security 產品資訊 highlights

  Written by: AWS Community Builder Wang Sheng Hau 在2023/7/13 - 14 兩天的議程中,針對了 AWS Security 的產品有近一步的更新

這邊節錄了一些重點內容分享給大家

• Amazon Verified Permissions — Verified Permissions 是針對您構建的應用程序的可擴展權限管理和細粒度授權服務。該服務通過外部化授權和集中策略管理來幫助您的開發人員更快地構建安全的應用程序。開發人員可以通過在應用程序內實施最小權限和持續驗證來使應用程序訪問符合零信任原則。安全和審計團隊可以更好地分析和審計誰有權訪問應用程序內的內容。亞馬遜驗證權限使用Cedar，一種用於訪問控制的開源策略語言，使開發人員和管理員能夠使用上下文感知訪問控制的角色和屬性來定義基於策略的訪問控制。
• Amazon Inspector 對 Lambda 函數進行代碼掃描— Amazon Inspector現在支持對AWS Lambda進行代碼掃描函數，擴展了掃描 Lambda 函數和相關層以查找應用程序包依賴項中的軟件漏洞的現有功能。Lambda 函數的 Amazon Inspector 代碼掃描會掃描您在 Lambda 函數中編寫的自定義專有應用程序代碼，以查找安全漏洞，例如注入缺陷、數據洩漏、弱加密或缺失加密。在檢測到 Lambda 函數或層中的代碼漏洞後，Amazon Inspector 會生成可操作的安全結果，其中提供了多個詳細信息，例如安全檢測器名稱、受影響的代碼片段以及解決漏洞的修復建議。結果匯總在 Amazon Inspector 控制台中，並與AWS Security Hub和Amazon EventBridge集成簡化工作流程自動化。
• Amazon Inspector SBOM 導出— Amazon Inspector 現在能夠以多種行業標準格式（包括 CycloneDx 和軟件包數據交換 (SPDX)）導出整個組織中監控的資源的綜合軟件物料清單 (SBOM)。借助這項新功能，您可以使用自動化且集中管理的 SBOM 來了解有關軟件供應鏈的關鍵信息。這包括有關資源中使用的軟件包的詳細信息以及相關的漏洞。SBOM 可以導出到Amazon Simple Storage Service (Amazon S3)存儲桶並下載以使用Amazon Athena或Amazon QuickSight進行分析可視化軟件供應鏈趨勢。只需在 Amazon Inspector 控制台中單擊幾下或使用 Amazon Inspector API 即可使用此功能。
• Amazon CodeGuru Security — Amazon CodeGuru Security提供了一套全面的 API，旨在與您現有的管道和工具無縫集成。CodeGuru Security 是一種靜態應用程序安全測試 (SAST) 工具，它使用機器學習來幫助您識別代碼漏洞並提供可用作修復的一部分的指導。CodeGuru Security 還針對某些類別的漏洞提供上下文代碼補丁，幫助您減少修復代碼所需的工作量。
• Amazon EC2 Instance Connect 終端節點— Amazon Elastic Compute Cloud (Amazon EC2)宣布支持通過 Amazon EC2 Instance Connect 終端節點 (EIC 終端節點) 在私有子網中使用 SSH 或 RDP 連接到實例。借助此功能，您可以使用 SSH 或 RDP 從互聯網連接到您的實例，而無需公共 IPv4 地址。
• AWS 內置合作夥伴解決方案— AWS 內置合作夥伴解決方案是與 AWS 專家共同構建的，有助於確保嚴格遵循 AWS Well-Architected 安全參考架構指南和最佳安全實踐。AWS 內置合作夥伴解決方案可以在您開始遷移或現代化計劃時獲得正確的雲開發構建塊，從而為您節省寶貴的時間和資源。AWS 內置解決方案還可以自動執行部署，並將安裝時間從數月或數週減少到一天。客戶經常向我們的合作夥伴尋求創新並幫助“正確使用雲”。現在，擁有 AWS 內置解決方案的合作夥伴可以幫助您提高效率，並推動合作夥伴軟件和 AWS 原生服務的業務價值。
• AWS 網絡保險合作夥伴— AWS 與領先的網絡保險合作夥伴合作，幫助簡化獲得網絡保險的流程。現在，您可以直接從經過驗證的 AWS 網絡保險合作夥伴那裡尋找和購買網絡保險，從而降低業務風險。為了減少文書工作量並節省時間，請從AWS Security Hub下載並共享您的AWS 基礎安全最佳實踐標準詳細報告並與您選擇的 AWS 網絡保險合作夥伴共享該報告。通過經過 AWS 審查的網絡保險合作夥伴，您可以確信這些保險公司了解 AWS 安全狀況並根據最新的 AWS 安全最佳實踐評估您的環境。現在，您只需兩個工作日即可獲得完整的網絡保險報價。
• AWS 全球合作夥伴安全計劃—通過 AWS 全球合作夥伴安全計劃，AWS 將利用我們全球系統集成商 (GSI) 合作夥伴的能力、規模和深厚的安全知識，共同開發端到端安全解決方案和託管服務。
• Amazon Detective 發現組— Amazon Detective擴展了其發現組功能，除了Amazon GuardDuty之外還包括 Amazon Inspector 發現結果發現。通過使用機器學習，這一發現組功能的擴展顯著簡化了調查過程，減少了所花費的時間，並有助於更好地識別安全事件的根本原因。通過對 Amazon Inspector 和 GuardDuty 的結果進行分組，您可以使用 Detective 來回答難題，例如“此 EC2 實例是否因漏洞而受到損害？” 或者“GuardDuty 的這一發現是否是由於意外的網絡暴露造成的？” 此外，Detective 將確定的發現及其相應的策略、技術和程序映射到 MITRE ATT&CK 框架，從而提高安全措施的整體有效性和一致性。
• [預告]適用於 Active Directory 的 AWS 私有證書頒發機構連接器 – AWS Private CA即將推出適用於 Active Directory (AD) 的連接器。AD 連接器將通過完全託管的無服務器解決方案幫助減少前期公鑰基礎設施 (PKI) 投資和持續維護成本。這項新功能將通過使用高度安全的硬件安全模塊 (HSM) 支持的 AWS 私有 CA 替換本地證書頒發機構來幫助降低 PKI 複雜性。您將能夠使用自動註冊功能自動部署證書到本地 AD 和適用於Microsoft Active Directory 的AWS Directory Service 。
• AWS 支付加密—在 re:Inforce 的前一天， AWS 支付加密正式發布。該服務簡化了雲託管支付應用程序中的加密操作。AWS 支付加密技術可根據各種 PCI 標準簡化您對用於保護支付處理中的數據和操作的加密功能和密鑰管理的實施。
• AWS WAF Fraud Control 推出賬戶創建欺詐預防功能— AWS WAF Fraud Control 宣布推出賬戶創建欺詐預防功能，這是一種針對 AWS WAF 的託管保護，旨在防止創建虛假或欺詐賬戶。欺詐者利用虛假賬戶發起活動，例如濫用促銷和註冊獎金、冒充合法用戶以及實施網絡釣魚策略。帳戶創建欺詐預防允許您持續監控異常數字活動的請求，並根據請求標識符和行為分析自動阻止可疑請求，從而幫助保護您的帳戶註冊或註冊頁面。
• AWS Security Hub 自動化規則— AWS Security Hub 是一項云安全態勢管理服務，可執行安全最佳實踐檢查、聚合警報並促進自動修復，現在具有近實時自動更新或抑制發現結果的功能。您現在可以使用自動化規則自動更新結果中的各個字段、隱藏結果、更新結果嚴重性和工作流程狀態、添加註釋等。
• Amazon S3 宣布推出雙層服務器端加密— Amazon S3 是唯一一個您可以在對象級別應用兩層加密並控制用於兩層的數據密鑰的雲對象存儲服務。使用AWS Key Management Service (DSSE-KMS)中存儲的密鑰進行雙層服務器端加密旨在遵守國家安全局國家安全系統政策委員會 (CNSSP) 15，以實現 FIPS 合規性和靜態數據功能包 ( DAR CP）兩層MFS U/00/814670-15 商業國家安全算法(CNSA) 加密的5.0 版指南。
• AWS CloudTrail Lake 儀表板— AWS CloudTrail Lake 是一個託管數據湖，可讓組織聚合、永久存儲、可視化和查詢其審核和安全日誌，宣布全面推出 CloudTrail Lake 儀表板。CloudTrail Lake 儀表板直接在 CloudTrail 控制台中提供來自審計和安全數據的開箱即用的可視化和關鍵趨勢圖表。它還可以靈活地深入了解其他詳細信息（例如特定用戶活動），以便使用 CloudTrail Lake SQL 查詢進行進一步分析和調查。
• AWS Well-Architected Profiles — AWS Well-Architected 引入了 Profiles，讓您可以根據業務目標定制 Well-Architected 評論。此功能創建了一種持續改進的機制，鼓勵您首先考慮特定目標來審查您的工作負載，然後完成其餘的 Well-Architected 審查問題。

ref : https://aws.amazon.com/tw/blogs/security/aws-reinforce-2023-key-announcements-and-session-highlights/

[AWS] Security Hub 推出一項新功能，可自動執行更新結果

  Written by: AWS Community Builder Wang Sheng Hau AWS Security Hub 在全球範圍內推出，在讓您全面了解 AWS 帳戶的安全狀況。借助 Security Hub，您可以在一個位置聚合、組織來自多個 AWS 服務（包括 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Systems Manager Patch Manager、AWS Config）的安全警報或結果並確定其優先級、AWS Health 和 AWS Identity and Access Management (IAM) 訪問分析器，以及超過 65 個 AWS 合作夥伴網路 (APN) 解決方案。

以前，Security Hub 可以對發現的結果採取自動操作，但這需要轉到 Amazon EventBridge 控制台或 API、創建 EventBridge 規則，然後構建 AWS Lambda 函數、AWS Systems Manager Automation Runbook 或 AWS Step Functions 步驟，如下所示該規則的目標。如果您想要在管理員帳戶和主要 AWS 區域中設置這些自動操作，並在成員帳戶和連結區域中運行它們，您還需要部署正確的 IAM 權限，以使這些操作能夠跨帳戶和區域運行。設置自動化流程後，您需要維護 EventBridge 規則、Lambda 函數和 IAM 角色。此類維護可能包括升級 Lambda 版本、驗證運行效率以及檢查一切是否按預期運行。

借助 Security Hub，您現在可以使用規則自動更新結果中符合定義條件的各個字段。這允許您自動抑制結果、根據組織策略更新結果的嚴重性、更改結果的工作流程狀態以及添加註釋。當擷取結果時，自動化規則會尋找符合定義條件的結果，並更新其中指定字段的結果。例如，如果發現的帳戶 ID 屬於已知的關鍵業務帳戶，用戶可以創建一個規則，自動將發現的嚴重性設置為「嚴重」。用戶還可以自動抑制帳戶中特定控制的發現，其中該發現代表可接受的風險。

借助自動化規則，Security Hub 為您提供了一種直接從 Security Hub 控制台和 API 構建自動化的簡化方法。這減少了雲安全和 DevOps 工程師的重複工作，同時可以縮短平均響應時間。

原文中透過兩個情境來告訴大家,怎麼透過自動化幫助減少您的團隊重複性任務

Scenario 1: Elevate finding severity for specific controls based on account IDs

Scenario 2: Change the finding severity to high if a resource is important, based on resource tags

原文 : https://aws.amazon.com/tw/blogs/security/aws-security-hub-launches-a-new-capability-for-automating-actions-to-update-findings/

[AWS] 2022 AWS re:Invent Security 產品介紹 - AWS Verified Permissions [Preview] (EP5)

 Written by: AWS Community Builder Wang Sheng Hau

這邊會分享當時介紹的五個 AWS Security 產品 

快速轉跳頁面至 -----> EP1 EP2 EP3 EP4 EP5

感謝大家收看到最後,這是這次介紹 re:Invent Security 類別最後的一項服務了

也是 Preview 版本的服務,就是 AWS Verified Permissions

大家都知道 Permission 是什麼嗎 ？

權限許可是賦予應用程式可以做什麼事情,不能做什麼事情,執行的操作的一組規則

應用程式中的權限可以基於多種因素，包括委託人的角色和屬性、資源數據以及其他上下文的訊息，例如身份驗證方法。 

通過使用基於策略的權限，您可以將授權邏輯與您的應用程式進行分離，獲得更好可見性和可審計性的訪問規則，並大規模管理權限。

Permission can be experessed as policies
權限可以表示為策略
Permit:允許 Forbid:禁止

Amazon Verified Permissions (精細授權)

協助您在自己建置部署的應用程式 (如 HR 系統和銀行應用程式) 資源中實施精細授權。
藉由 Amazon Verified Permissions，您可以執行以下任務：

定義以政策為基礎的存取模型。該模型描述您的應用程式管理的資源，以及使用者可以在這些資源上執行的動作，例如：檢視、更新和分享。

讓應用程式使用者能夠管理這些資源的存取權。該應用程式為專家們建立許可，能夠檢視和分享記錄，並將內容儲存於 Amazon Verified Permissions。
實施這些許可。

該圖顯示使用 Amazon Verified Permissions 的過程。

左邊的第一個方塊代表 Amazon Verified Permissions 服務。說明該服務提供 管理、評估和稽核應用程式存取的精細許可和授權。可以看到他會去 定義 開發人員應用程式的政策為依據作為授權模型

第二個主要步驟是在講為「管理和控管政策」。 「擁有者管理應用程式資源的精細許可。」 

第三個主要步驟標題為「授權存取」。 

問：我為什麼該選擇 Amazon Verified Permissions？

搭配使用 Amazon Verified Permissions 和 Amazon Cognito 等身分提供者，為應用程式提供更動態，且以政策為基礎的存取管理解決方案。您可以建置應用程式，協助終端使用者分享資訊與協作，同時確保資料的安全性、保密性和隱私。Amazon Verified Permissions 協助您更快速建置應用程式。也透過精細授權系統實施根據您身分角色與資源屬性的存取權，進而協助您降低營運成本。您可以自行定義政策模型，在一個集中位置建立和存放政策，並立即評估存取要求。Amazon Verified Permissions 是一款政策引擎，能夠協助您的應用程式如零信任所要求，即時驗證使用者動作。此服務提供稽核工具，以在多個應用程式中設定、維護和分析許可。