AWS Shield网络安全总监：主动发现并修复网络安全隐患（预览版）

今天，我很高兴宣布推出AWS Shield网络安全总监（预览版）。该功能可简化与SQL注入、分布式拒绝服务（DDoS）等威胁相关的配置问题识别，并提供修复建议。此功能通过分析网络资源、连接和配置，对照AWS最佳实践创建网络拓扑，突出显示需要保护的资源。

当前企业在维护强大网络安全态势方面面临重大挑战。安全团队往往难以高效发现环境中的所有资源、理解资源间的互联关系，以及识别当前配置的安全服务。此外，确定资源配置是否符合AWS最佳实践需要大量专业知识和精力。许多团队难以确定哪些网络安全服务和规则集能最好地保护其应用免受常见和新出现的威胁。

AWS Shield网络安全总监通过三大核心能力应对这些挑战：

1. 全面分析：发现跨AWS账户的资源，识别资源间连接，并确定当前部署的网络安防服务和配置。
2. 优先级排序：基于AWS网络安全最佳实践和威胁情报，按严重级别对资源进行排序。
3. 修复建议：提供具体修复建议，包括分步指导，以实施合适的AWS安全服务（如AWS WAF、Amazon VPC安全组和网络ACL）。

该服务支持关键网络安全用例，包括防护应用免受互联网威胁、基于端口/协议/IP范围控制人员对资源的访问。它提供网络分析以发现资产，并消除耗时的手动流程来识别需保护的资源。通过基于网络上下文和AWS最佳实践分配严重级别，服务提供资源优先级排序，帮助您聚焦最关键问题。此外，它还提供可操作建议，明确指导使用哪些服务和配置来解决每个安全缺口。

您还可以在AWS管理控制台的Amazon Q Developer及聊天应用中，以自然语言与AWS Shield网络安全总监交互，例如询问：“我的CloudFront分发是否存在网络安全问题？”或“我的资源是否易受爬虫攻击？”这种集成帮助安全团队快速理解安全态势，并获取实施最佳实践的指导，无需翻阅大量文档。

如何开始使用AWS Shield网络安全总监

要使用该功能，需启动对AWS资源的网络分析：

1. 进入AWS WAF & Shield控制台，在导航窗格中选择“AWS Shield网络安全总监”下的“开始使用”。
2. 选择“开始”，进入配置页面，可选择分析所有支持区域或仅当前区域。
3. 选择“开始网络分析”。

分析完成后，仪表板页面按严重级别显示资源类型细分，以及与其资源相关的最常见网络安全发现类别。资源按类型和严重级别（严重、高、中、低、信息性）分类，便于识别需立即关注的领域。

接下来，可探索“资源”部分以了解资产分布，并按环境中的严重级别进行过滤。使用“资源概览”可查看特定严重级别，这将重定向到“网络安全总监”下的资源页面，并应用相应的严重级别过滤器。例如，选择“中等”严重级别的资源。

选择特定资源可查看其网络拓扑图，显示如何连接到其他资源及相关发现。这种可视化帮助理解安全配置的潜在影响并识别暴露路径。可查看详细发现，如“允许所有端口无限制入站访问（0.0.0.0/0）”及其严重等级。

然后，进入“网络安全总监”下的“发现”，查看常见配置问题。每个发现都提供详细信息和推荐修复步骤。服务对发现进行严重性评级（高、中、低），以帮助优先响应。例如，严重级别的发现（如“CloudFront源也可互联网访问且无CloudFront防护”）或高级别发现（如“允许所有端口无限制入站访问”）会优先显示，其次是中、低严重性问题。

要探索自然语言分析能力，可在“使用Amazon Q探索”部分询问“我最关键的网络安全问题是什么？”。Amazon Q将分析网络安全配置，并基于AWS环境的安全评估生成响应。

凭借这种全面的网络安全视图，您现在可以做出数据驱动的决策，以加强防御新兴威胁。

加入预览

AWS Shield网络安全总监在美国东部（弗吉尼亚北部）和欧洲（斯德哥尔摩）区域可用。Amazon Q Developer分析网络安全配置的能力在美国东部（弗吉尼亚北部）提供预览。要开始加强您的网络安全，请访问AWS Shield网络安全总监控制台并启动首次网络安全分析。

更多信息，请访问AWS Shield产品页面。