2023年re:Inforce上,亞馬遜云科技帶來了七項新服務���,每一項服務代表亞馬遜云科技在安全領域的關注重點��。
在發(fā)布了零信任、安全合規(guī)等傳統(tǒng)安全技術(shù)產(chǎn)品的同時��,亞馬遜云科技首席安全官CJ Moses還提到了如何利用大型語言模型強大功能的話題,新發(fā)布的多項服務都與AI相關�����。
第一項發(fā)布叫做Amazon Verified Permissions�。
今天,Amazon Verified Permissions作為一項新的安全服務已經(jīng)正式可用�����,它可以在用戶構(gòu)建和部署應用時��,提供細粒度的認證和權(quán)限管理����。
通過Amazon Verified Permissions��,用戶可以向應用資源提供安全的委托授權(quán)�����,并在應用中實施基于身份的持續(xù)授權(quán)���,從而更好地在應用中落地零信任架構(gòu)���。
Amazon Verified Permissions采用的是一個叫Cedar的開源語言���,這是一個專門用來做訪問控制的策略語言。它的優(yōu)勢在于�����,可以讓用戶以易于理解的策略來實現(xiàn)精細的權(quán)限管理����。
Amazon Verified Permissions可以基于角色和屬性進行訪問控制。此外��,由于訪問控制與應用程序是解耦的����,這會有助于加快應用程序開發(fā)。
Amazon Verified Permissions通過集中的策略存儲�、可重復使用的策略模板和策略測試,幫助用戶更快地構(gòu)建安全的應用�����,節(jié)省時間�。
Amazon Verified Permissions目前在多個地區(qū)可用,暫時不包括中國在內(nèi)。
第二項發(fā)布叫做:Amazon EC2 Instance Connect Endpoint(端點)��。
Amazon EC2有包括EC2 Instance Connect����、會話管理器、SSH客戶端和EC2串行控制臺四大類連接方式����。
此次發(fā)布是在EC2 Instance Connect的基礎上,新增了EC2 Instance
Connect端點(Endpoint)�����。
端點指的是一個彈性網(wǎng)絡接口��,這個網(wǎng)絡接口允許用戶通過私有的子網(wǎng)絡來訪問資源��,使用的時候需要在VPC里創(chuàng)建一個這樣的端點(Endpoint)�����。
訪問的時候需要透過下方顯示的私有IP地址進行訪問�����,而原來的EC2 Instance Connect可以通過公網(wǎng)IP進行訪問��,很明顯�,私有IP地址的安全性更高。
EC2 Instance Connect Endpoint(端點)可以在用戶訪問目標主機之前�,進行嚴格的身份驗證和資源授權(quán)驗證,以確保只有合法的用戶可以訪問這些資源��。
它用起來很方便����,可以在控制臺操作,也支持用第三方的SSH工具連接����。此外,它還支持用CloudTrail日志做審計�����。
第三項發(fā)布叫做:Amazon Inspector Code Scans For Lambda
Amazon Inspector Code Scans For Lambda擴大了Inspector的掃描范圍���,不僅支持對Lambda函數(shù)的代碼進行安全掃描���,還可以掃描到應用程序包依賴中的漏洞�。
Amazon Inspector現(xiàn)在還可以掃描Lambda函數(shù)內(nèi)的自定義專有應用代碼�����,以查找代碼安全漏洞�,如注入缺陷、數(shù)據(jù)泄漏���、弱加密或加密缺失的問題����。
在檢測到漏洞后�,Amazon Inspector會生成一些關于漏洞的若干細節(jié),指出受影響的代碼片段����,還會給出解決漏洞的建議。
所有信息都會在Amazon Inspector控制臺中匯總�����,還可以無縫路由到AWS Security
Hub�����,并推送到Amazon EventBridge以實現(xiàn)工作流程自動化�����。
第四項發(fā)布叫做:Amazon Inspector SBOM (軟件物料清單)Export����,可以幫助做安全合規(guī)。
SBOM是一份列出軟件組件的清單����,這個清單就像一個配料表。SBOM對于理解軟件的構(gòu)成����,特別是在處理安全問題、許可證合規(guī)性以及供應鏈透明度時����,非常關鍵。
Amazon Inspector的SBOM導出功能能夠自動并集中地管理軟件的構(gòu)成元素清單(Software Bill of Materials��,簡稱SBOM)的導出����。
Amazon Inspector的SBOM導出功能可以一鍵導出到Amazon S3里��,可以配合Amazon Athena或者Amazon QuickInsight來查詢和獲得洞察���。
Amazon Inspector是一項漏洞管理服務,它能夠持續(xù)地掃描包括EC2�、ECR容器鏡像、Lambda軟件漏洞����、代碼漏洞等安全問題。
第五項發(fā)布叫做:AWS Built-in Partner Solutions.
顧名思義�����,這指的就是內(nèi)置了亞馬遜云科技能力的合作伙伴解決方案��。
通過AWS Built-in Partner Solutions上��,用戶可以查找����、購買和部署經(jīng)過亞馬遜云科技驗證的合作伙伴軟件,這些軟件都與亞馬遜云科技的基礎服務做了集成�。
集成�,或者說內(nèi)置了亞馬遜云科技基礎服務的方案�����,有助于用戶實現(xiàn)云中的規(guī)模���、簡單性,有助于達成控制運營成本的目標��。
第六項發(fā)布叫做:Amazon CodeGuru Security�����。
Amazon CodeGuru Security可以在應用開發(fā)工作流程的任何階段識別并解決代碼漏洞����。
用戶在開發(fā)階段可以使用Code Whisperer來輔助寫代碼和掃描漏洞,在運行階段可以Amazon
Inspector來發(fā)現(xiàn)代碼中的問題�,而Amazon CodeGuru Security可以在應用開發(fā)工作流程的任何階段識別并解決代碼漏洞。
Amazon CodeGuru Security是一個靜態(tài)應用安全測試(SAST)工具���,使用機器學習技術(shù)來識別代碼漏洞����,并提供修復指導能力���。CodeGuru Security還為某些類別的漏洞提供上下文中的代碼補丁���,減少修復代碼漏洞的操作復雜度����。
通過對代碼進行語義分析��,Amazon CodeGuru Security把漏洞誤報率降到很低���,從而可以更高效地發(fā)現(xiàn)并處理漏洞��。
CodeGuru Security可標記各種問題�,如日志注入�����、硬編碼憑證和資源泄漏���,并可在開發(fā)工作流程的不同階段(代碼庫���、CI/CD管道、容器注冊處等)進行集成。
第七項發(fā)布叫做:Findings Groups for Amazon Detective
Findings Groups for Amazon Detective使用機器學習技術(shù)和圖技術(shù)關聯(lián)數(shù)千個離散的安全事件��。
Findings Groups for Amazon Detective就像個偵探一樣��,在紛繁復雜的信息面前�,抽絲剝繭���,找出事件之間的關聯(lián)性��,最后定位出問題所在��。
單獨關注某一事件��,都可能會讓安全分析走入死胡同����,隨后便難于找出根本原因����,亞馬遜云科技通過圖分析技術(shù)來解決這個問題,它可以用來推斷調(diào)查結(jié)果之間的關系���。
安全服務如何利用大語言模型的能力�����?
不久前���,亞馬遜云科技發(fā)布了Amazon Bedrock����,用于幫助企業(yè)用戶構(gòu)建生成式AI服務���,同一時間發(fā)布的還有自動寫代碼工具Amazon CodeWhisperer��。
此次最新的七項新發(fā)布中��,Amazon CodeGuru Security和Findings Groups for
Amazon Detective都多多少少用了機器學習或者大語言模型的能力����。
在CJ Moses的設想里�����,完全可以用生成式AI來對抗安全威脅����,比如,用戶只需要創(chuàng)建一個YARA規(guī)則,大語言模型就能幫用戶對抗勒索軟件���。
下一階段����,預計還會有更多具體的安全服務會采用大語言模型等AI技術(shù)����。
