2023年re:Inforce上,亞馬遜云科技帶來了七項新服務,每一項服務代表亞馬遜云科技在安全領域的關注重點。

在發(fā)布了零信任、安全合規(guī)等傳統(tǒng)安全技術(shù)產(chǎn)品的同時,亞馬遜云科技首席安全官CJ Moses還提到了如何利用大型語言模型強大功能的話題,新發(fā)布的多項服務都與AI相關。

第一項發(fā)布叫做Amazon Verified Permissions。

今天,Amazon Verified Permissions作為一項新的安全服務已經(jīng)正式可用,它可以在用戶構(gòu)建和部署應用時,提供細粒度的認證和權(quán)限管理。

通過Amazon Verified Permissions,用戶可以向應用資源提供安全的委托授權(quán),并在應用中實施基于身份的持續(xù)授權(quán),從而更好地在應用中落地零信任架構(gòu)。

Amazon Verified Permissions采用的是一個叫Cedar的開源語言,這是一個專門用來做訪問控制的策略語言。它的優(yōu)勢在于,可以讓用戶以易于理解的策略來實現(xiàn)精細的權(quán)限管理。

Amazon Verified Permissions可以基于角色和屬性進行訪問控制。此外,由于訪問控制與應用程序是解耦的,這會有助于加快應用程序開發(fā)。

Amazon Verified Permissions通過集中的策略存儲、可重復使用的策略模板和策略測試,幫助用戶更快地構(gòu)建安全的應用,節(jié)省時間。

Amazon Verified Permissions目前在多個地區(qū)可用,暫時不包括中國在內(nèi)。

第二項發(fā)布叫做:Amazon EC2 Instance Connect Endpoint(端點)。

Amazon EC2有包括EC2 Instance Connect、會話管理器、SSH客戶端和EC2串行控制臺四大類連接方式。

此次發(fā)布是在EC2 Instance Connect的基礎上,新增了EC2 Instance Connect端點(Endpoint)。

端點指的是一個彈性網(wǎng)絡接口,這個網(wǎng)絡接口允許用戶通過私有的子網(wǎng)絡來訪問資源,使用的時候需要在VPC里創(chuàng)建一個這樣的端點(Endpoint)。

訪問的時候需要透過下方顯示的私有IP地址進行訪問,而原來的EC2 Instance Connect可以通過公網(wǎng)IP進行訪問,很明顯,私有IP地址的安全性更高。

EC2 Instance Connect Endpoint(端點)可以在用戶訪問目標主機之前,進行嚴格的身份驗證和資源授權(quán)驗證,以確保只有合法的用戶可以訪問這些資源。

它用起來很方便,可以在控制臺操作,也支持用第三方的SSH工具連接。此外,它還支持用CloudTrail日志做審計。

第三項發(fā)布叫做:Amazon Inspector Code Scans For Lambda

Amazon Inspector Code Scans For Lambda擴大了Inspector的掃描范圍,不僅支持對Lambda函數(shù)的代碼進行安全掃描,還可以掃描到應用程序包依賴中的漏洞。

Amazon Inspector現(xiàn)在還可以掃描Lambda函數(shù)內(nèi)的自定義專有應用代碼,以查找代碼安全漏洞,如注入缺陷、數(shù)據(jù)泄漏、弱加密或加密缺失的問題。

在檢測到漏洞后,Amazon Inspector會生成一些關于漏洞的若干細節(jié),指出受影響的代碼片段,還會給出解決漏洞的建議。

所有信息都會在Amazon Inspector控制臺中匯總,還可以無縫路由到AWS Security Hub,并推送到Amazon EventBridge以實現(xiàn)工作流程自動化。

第四項發(fā)布叫做:Amazon Inspector SBOM (軟件物料清單)Export,可以幫助做安全合規(guī)。

SBOM是一份列出軟件組件的清單,這個清單就像一個配料表。SBOM對于理解軟件的構(gòu)成,特別是在處理安全問題、許可證合規(guī)性以及供應鏈透明度時,非常關鍵。

Amazon Inspector的SBOM導出功能能夠自動并集中地管理軟件的構(gòu)成元素清單(Software Bill of Materials,簡稱SBOM)的導出。

Amazon Inspector的SBOM導出功能可以一鍵導出到Amazon S3里,可以配合Amazon Athena或者Amazon QuickInsight來查詢和獲得洞察。

Amazon Inspector是一項漏洞管理服務,它能夠持續(xù)地掃描包括EC2、ECR容器鏡像、Lambda軟件漏洞、代碼漏洞等安全問題。

第五項發(fā)布叫做:AWS Built-in Partner Solutions.

顧名思義,這指的就是內(nèi)置了亞馬遜云科技能力的合作伙伴解決方案。

通過AWS Built-in Partner Solutions上,用戶可以查找、購買和部署經(jīng)過亞馬遜云科技驗證的合作伙伴軟件,這些軟件都與亞馬遜云科技的基礎服務做了集成。

集成,或者說內(nèi)置了亞馬遜云科技基礎服務的方案,有助于用戶實現(xiàn)云中的規(guī)模、簡單性,有助于達成控制運營成本的目標。

第六項發(fā)布叫做:Amazon CodeGuru Security。

Amazon CodeGuru Security可以在應用開發(fā)工作流程的任何階段識別并解決代碼漏洞。

用戶在開發(fā)階段可以使用Code Whisperer來輔助寫代碼和掃描漏洞,在運行階段可以Amazon Inspector來發(fā)現(xiàn)代碼中的問題,而Amazon CodeGuru Security可以在應用開發(fā)工作流程的任何階段識別并解決代碼漏洞。

Amazon CodeGuru Security是一個靜態(tài)應用安全測試(SAST)工具,使用機器學習技術(shù)來識別代碼漏洞,并提供修復指導能力。CodeGuru Security還為某些類別的漏洞提供上下文中的代碼補丁,減少修復代碼漏洞的操作復雜度。

通過對代碼進行語義分析,Amazon CodeGuru Security把漏洞誤報率降到很低,從而可以更高效地發(fā)現(xiàn)并處理漏洞。

CodeGuru Security可標記各種問題,如日志注入、硬編碼憑證和資源泄漏,并可在開發(fā)工作流程的不同階段(代碼庫、CI/CD管道、容器注冊處等)進行集成。

第七項發(fā)布叫做:Findings Groups for Amazon Detective

Findings Groups for Amazon Detective使用機器學習技術(shù)和圖技術(shù)關聯(lián)數(shù)千個離散的安全事件。

Findings Groups for Amazon Detective就像個偵探一樣,在紛繁復雜的信息面前,抽絲剝繭,找出事件之間的關聯(lián)性,最后定位出問題所在。

單獨關注某一事件,都可能會讓安全分析走入死胡同,隨后便難于找出根本原因,亞馬遜云科技通過圖分析技術(shù)來解決這個問題,它可以用來推斷調(diào)查結(jié)果之間的關系。

安全服務如何利用大語言模型的能力?

不久前,亞馬遜云科技發(fā)布了Amazon Bedrock,用于幫助企業(yè)用戶構(gòu)建生成式AI服務,同一時間發(fā)布的還有自動寫代碼工具Amazon CodeWhisperer。

此次最新的七項新發(fā)布中,Amazon CodeGuru Security和Findings Groups for Amazon Detective都多多少少用了機器學習或者大語言模型的能力。

在CJ Moses的設想里,完全可以用生成式AI來對抗安全威脅,比如,用戶只需要創(chuàng)建一個YARA規(guī)則,大語言模型就能幫用戶對抗勒索軟件。

下一階段,預計還會有更多具體的安全服務會采用大語言模型等AI技術(shù)。

分享到

zhupb

相關推薦