主页文档代码示例API 参考公告模型发行说明常见问题GitHub视频
开发者中心API 状态支持
文档
开发者中心API 状态支持

网络保护指南

符合亚马逊 DPP 和 AUP 的网络保护技术和控制。

概述

网络保护是一套经过精心设计的工具、规则和配置,其主要目的是保护数据的机密性、完整性和可访问性。任何可通过互联网连接访问的设备都容易受到攻击。定义强大的网络保护协议和策略有助于保护您的设备和网络免受不必要或恶意的网络流量的侵害。

作为亚马逊数据保护政策 (DPP) 的一部分,开发者必须创建安全的环境以减少数据丢失风险和相关漏洞。开发者会在注册过程中接受亚马逊的 DPP 和可接受使用政策 (AUP)

在审计期间,亚马逊会评估开发者对数据保护政策的遵守情况。Amazon 无一例外地要求开发者维护必要的协议,以始终如一地保护其网络基础设施。本技术论文讨论了网络保护技术和控制措施的重要性,这些技术和控制措施可以帮助保护您的网络,同时也会保持对亚马逊 DPP 和 AUP 要求的合规性。

亚马逊数据保护政策 (DPP) 要求

1.1 网络保护下的亚马逊数据保护政策 (DPP) 所述,

网络保护。开发人员必须实施网络保护控制,包括网络防火墙和网络访问控制列表,以拒绝访问未经授权的 IP 地址。开发人员必须在终端用户设备上实施网络分段、防病毒和反恶意软件软件。开发人员必须将公共访问权限限制为仅限经批准的用户,并对拥有系统访问权限的每个人进行数据保护和IT安全培训。

网络分段和防火墙筛选

网络分段是一种将大型网络分割成较小子网的技术,从而提供更好的访问控制和安全性。实施网络隔离和分段后,IT 管理员可以更好地控制定义明确的安全边界内的流量流,防止入侵者入侵和渗透。隔离会根据职权和功能对网络进行分割,而分段会使扁平网络分离,使网络与其组件断开连接。

网络分段有助于遏制安全漏洞,从而降低被攻击和出现故障期间的风险。实现基于外围的有效分段的一种方法是通过网络防火墙。这包括有效设置所需的网络边界,并确保所有跨越边界的流量都通过防火墙路由。虽然网络分段的应用可能特定于公司的需求,但开发者作为一个组织必须实施某些最佳实践,以符合亚马逊的 DPP。示例包括:

  • 根据对组织的全面风险分析,定义强有力的网络防火墙策略。有效的防火墙策略以阻止所有入站和出站流量为基础,但为针对信流量的设置例外。
  • 使用虚拟局域网 (VLAN) 或子网对网络进行分段。VLAN 标签将仅限授权的流量重新路由到特定的隔离网络,从而减少恶意数据包嗅探以及表面攻击。
  • 通过隔离访客对网络的访问以对网络进行微分段。除了针对 Wi-Fi 网络的访问权限创建访客凭证外,还要为第三方服务提供商创建单独的门户。
  • 将公司内部用户的用户访问权限划分成不同边界。这将限制对特定用户的授权,并在尝试进行未经授权的访问时发出提醒。

通过使用 AWS 网络防火墙,您将获得有状态、受管理的网络防火墙和入侵检测以及针对您在亚马逊虚拟私有云 (Amazon VPC) 中创建的虚拟私有云 (VPC) 环境的防御服务。

The AWS network firewall placement within a simple architecture.

AWS Firewall Manager 支持网络防火墙,可利用它集中配置和管理整个账户和应用程序的防火墙。防火墙策略定义了防火墙用于过滤 VPC 中传入和传出流量的规则和其他设置。

AWS WAFAWS ShieldAWS Firewall Manager 共同构成一个全面的安全解决方案。当流量进入您的 VPC 边界时,AWS WAF 可用于监控转发到 Web 应用程序的请求,并控制对内容的访问。恶意实体常用的一种攻击方法是发送大量流量,使服务器超载,AWS Shield 可帮助防范这些分布式拒绝服务 (DDoS) 攻击。集中管理这些网络保护机制的辅助工具是 AWS Firewall Manager,它可以用来设置防火墙规则,并在账户和资源中自动应用这些规则,甚至在添加新资源时也是如此。

网络访问控制措施

除了实施网络分段和防火墙外,还应采取措施防止未经授权的设备访问网络。这可以通过网络访问控制工具来实现,这些工具允许企业检查设备的合规性,并防止未经授权的设备访问其企业网络。

随着组织越来越欢迎员工将个人设备用于工作目的,在允许访问业务数据之前,扫描这些设备是否符合企业政策和是否存在漏洞比以往任何时候都更加重要。

除了本地网络外,还必须保护组织的云服务。请务必注意,网络访问控制和 访问控制列表 (ACL) 是两个不同的概念。网络访问控制是基于经过身份验证的用户身份或可信设备应用于网络节点的访问协议,而 ACL 是应用于路由器级别的规则,用于允许或拒绝访问环境。

作为亚马逊 DPP 合规性的一部分,部署身份和访问管理工具或机制至关重要,这些工具或机制可以根据部门、职务、职权和团队名称等访问控制措施属性应用精细权限。此类基于职权的控制措施可帮助组织监控操作,并将事件和操作与相关身份关联起来。本地网络设备和云设备都应有相应的流程来授权、限制和控制网络访问权限的分配和使用。开发者可根据自己的规模和定价需求部署工具。

反恶意软件

任何连接到互联网的设备都容易受到恶意软件攻击。恶意软件是一个包罗万象的术语,用于表示为向主机植入恶意软件而编写的任何恶意代码。病毒是一种恶意软件,它很容易将自己植入到程序中,并通过电子邮件、可移动存储设备和受污染的网络进行传播。计算机被植入恶意软件后,恶意软件可能会删除或加密文件、修改应用程序或禁用系统功能。

组织必须根据最常见的攻击载体,开发和实施有效的恶意软件事件预防手段。各组织应制定政策,解决恶意软件事件的预防问题,并具备威胁缓解能力,以协助遏制恶意软件事件。`

防病毒软件是最常用的恶意软件威胁缓解技术控制措施。防病毒软件能够进行设备扫描、病毒识别和病毒清除。除了主动扫描外,还需要定期更新防病毒应用程序,以防范当前的威胁。虽然防病毒程序旨在保护单个端点,但拥有各种端点的大型企业需要企业端点安全保护。先进的端点保护平台 (EPP) 解决方案提供防火墙和启发式等具有先进的机器学习和遏制技术的功能。

亚马逊的 DPP 要求我们的 SP-API 用户拥有保护其端点的机制。虽然亚马逊不提倡特定的反恶意软件工具,但开发者必须启用某些控制措施。所有有权访问用户数据的系统都应安装防病毒软件和/或反恶意软件。系统必须定期运行完整的系统扫描,而不是完全依赖按访问扫描。

应禁用关闭防病毒扫描的控制措施。确保防病毒定义及时更新。应启用防病毒日志记录和提醒。如果禁用了防病毒软件,则应通知 IT 团队并启动相应的后续流程。

基于网络的入侵检测系统 (NIDS) 和网络入侵防御系统 (NIPS)

基于网络的入侵检测系统 (NIDS) 通过分析入站和出站网络数据包来监控流量模式并检测恶意活动。虽然 NIDS 能够检测网络上的任何入侵行为并发出提醒,但网络入侵防御系统 (NIPS) 可以通过终止传输控制协议 (TCP) 连接或通过命令防火墙阻止可疑网络活动来防止攻击。亚马逊的数据保护政策建议在网络和终端设备上安装 NIDS 和 NIPS 系统。请注意,如果实施得当,NIPS 可以提前检测到威胁活动并阻止传统安全控制措施无法检测到的强大网络攻击活动。

Amazon GuardDuty 是一项云原生 NIDS 服务,它使用来自 VPC 流量日志的流量数据来检测威胁行为。您应该启用 VPC 流量日志。这些日志可让您全面了解通过 VPC 的流量类型。流量日志可帮助您检测有问题的流量,并为您提供有价值的见解。它还可以帮助您解决访问和安全问题。例如,流量日志可以帮助您了解是否存在过度放任的安全组。Amazon GuardDuty 可以配置为通过电子邮件或短信服务 (SMS) 消息通知人员可疑的入侵情况,以便做出反应并减轻任何威胁。

这些工具不仅限于亚马逊,其他云提供商和开源解决方案(例如 Snort 和 Wazuh)可用于帮助您保护网络环境安全。

结论

本白皮书讨论了网络和应用程序保护措施的重要性。请将这些作为加倍强化网络保护措施的指南,但您不必局限于这些工具和控制措施。虽然上面列出的大多数服务都是亚马逊开店服务,但您也可以根据自己的要求选择使用类似的工具。

通知

亚马逊卖家和开发者有责任对本文档中的信息进行自己的独立评估。本文档:(a) 仅供参考,(b) 代表当前做法,如有更改,恕不另行通知,并且 (c) 不产生亚马逊服务有限责任公司(亚马逊)及其关联公司、供应商或许可方的任何承诺或保证。Amazon Services API 产品或服务 “按原样” 提供,不附带任何明示或暗示的保证、陈述或条件。本文件不是亚马逊与任何一方之间的任何协议的一部分,也不修改任何协议。

© 2022 Amazon.com Services LLC 或其关联公司。版权所有。


此页面对您有帮助吗?