2023年re:Inforce上�����,亞馬遜云科技帶來了七項(xiàng)新服務(wù)�����,每一項(xiàng)服務(wù)代表亞馬遜云科技在安全領(lǐng)域的關(guān)注重點(diǎn)���。
在發(fā)布了零信任、安全合規(guī)等傳統(tǒng)安全技術(shù)產(chǎn)品的同時(shí)�����,亞馬遜云科技首席安全官CJ Moses還提到了如何利用大型語(yǔ)言模型強(qiáng)大功能的話題�����,新發(fā)布的多項(xiàng)服務(wù)都與AI相關(guān)�����。
第一項(xiàng)發(fā)布叫做Amazon Verified Permissions�。
今天�����,Amazon Verified Permissions作為一項(xiàng)新的安全服務(wù)已經(jīng)正式可用���,它可以在用戶構(gòu)建和部署應(yīng)用時(shí)�����,提供細(xì)粒度的認(rèn)證和權(quán)限管理�����。
通過Amazon Verified Permissions�����,用戶可以向應(yīng)用資源提供安全的委托授權(quán)����,并在應(yīng)用中實(shí)施基于身份的持續(xù)授權(quán),從而更好地在應(yīng)用中落地零信任架構(gòu)�。
Amazon Verified Permissions采用的是一個(gè)叫Cedar的開源語(yǔ)言,這是一個(gè)專門用來做訪問控制的策略語(yǔ)言��。它的優(yōu)勢(shì)在于��,可以讓用戶以易于理解的策略來實(shí)現(xiàn)精細(xì)的權(quán)限管理����。
Amazon Verified Permissions可以基于角色和屬性進(jìn)行訪問控制����。此外��,由于訪問控制與應(yīng)用程序是解耦的�����,這會(huì)有助于加快應(yīng)用程序開發(fā)���。
Amazon Verified Permissions通過集中的策略存儲(chǔ)、可重復(fù)使用的策略模板和策略測(cè)試�,幫助用戶更快地構(gòu)建安全的應(yīng)用,節(jié)省時(shí)間��。
Amazon Verified Permissions目前在多個(gè)地區(qū)可用����,暫時(shí)不包括中國(guó)在內(nèi)。
第二項(xiàng)發(fā)布叫做:Amazon EC2 Instance Connect Endpoint(端點(diǎn))���。
Amazon EC2有包括EC2 Instance Connect�、會(huì)話管理器�、SSH客戶端和EC2串行控制臺(tái)四大類連接方式�����。
此次發(fā)布是在EC2 Instance Connect的基礎(chǔ)上�����,新增了EC2 Instance
Connect端點(diǎn)(Endpoint)�。
端點(diǎn)指的是一個(gè)彈性網(wǎng)絡(luò)接口�����,這個(gè)網(wǎng)絡(luò)接口允許用戶通過私有的子網(wǎng)絡(luò)來訪問資源����,使用的時(shí)候需要在VPC里創(chuàng)建一個(gè)這樣的端點(diǎn)(Endpoint)。
訪問的時(shí)候需要透過下方顯示的私有IP地址進(jìn)行訪問���,而原來的EC2 Instance Connect可以通過公網(wǎng)IP進(jìn)行訪問��,很明顯����,私有IP地址的安全性更高。
EC2 Instance Connect Endpoint(端點(diǎn))可以在用戶訪問目標(biāo)主機(jī)之前����,進(jìn)行嚴(yán)格的身份驗(yàn)證和資源授權(quán)驗(yàn)證,以確保只有合法的用戶可以訪問這些資源��。
它用起來很方便���,可以在控制臺(tái)操作�����,也支持用第三方的SSH工具連接�����。此外,它還支持用CloudTrail日志做審計(jì)�����。
第三項(xiàng)發(fā)布叫做:Amazon Inspector Code Scans For Lambda
Amazon Inspector Code Scans For Lambda擴(kuò)大了Inspector的掃描范圍����,不僅支持對(duì)Lambda函數(shù)的代碼進(jìn)行安全掃描,還可以掃描到應(yīng)用程序包依賴中的漏洞�。
Amazon Inspector現(xiàn)在還可以掃描Lambda函數(shù)內(nèi)的自定義專有應(yīng)用代碼�,以查找代碼安全漏洞�,如注入缺陷、數(shù)據(jù)泄漏�����、弱加密或加密缺失的問題�����。
在檢測(cè)到漏洞后�����,Amazon Inspector會(huì)生成一些關(guān)于漏洞的若干細(xì)節(jié)�����,指出受影響的代碼片段��,還會(huì)給出解決漏洞的建議���。
所有信息都會(huì)在Amazon Inspector控制臺(tái)中匯總�����,還可以無(wú)縫路由到AWS Security
Hub���,并推送到Amazon EventBridge以實(shí)現(xiàn)工作流程自動(dòng)化�。
第四項(xiàng)發(fā)布叫做:Amazon Inspector SBOM (軟件物料清單)Export����,可以幫助做安全合規(guī)。
SBOM是一份列出軟件組件的清單�����,這個(gè)清單就像一個(gè)配料表�。SBOM對(duì)于理解軟件的構(gòu)成,特別是在處理安全問題����、許可證合規(guī)性以及供應(yīng)鏈透明度時(shí),非常關(guān)鍵����。
Amazon Inspector的SBOM導(dǎo)出功能能夠自動(dòng)并集中地管理軟件的構(gòu)成元素清單(Software Bill of Materials�����,簡(jiǎn)稱SBOM)的導(dǎo)出。
Amazon Inspector的SBOM導(dǎo)出功能可以一鍵導(dǎo)出到Amazon S3里���,可以配合Amazon Athena或者Amazon QuickInsight來查詢和獲得洞察����。
Amazon Inspector是一項(xiàng)漏洞管理服務(wù)���,它能夠持續(xù)地掃描包括EC2��、ECR容器鏡像���、Lambda軟件漏洞、代碼漏洞等安全問題���。
第五項(xiàng)發(fā)布叫做:AWS Built-in Partner Solutions.
顧名思義�,這指的就是內(nèi)置了亞馬遜云科技能力的合作伙伴解決方案�。
通過AWS Built-in Partner Solutions上,用戶可以查找�、購(gòu)買和部署經(jīng)過亞馬遜云科技驗(yàn)證的合作伙伴軟件,這些軟件都與亞馬遜云科技的基礎(chǔ)服務(wù)做了集成����。
集成�,或者說內(nèi)置了亞馬遜云科技基礎(chǔ)服務(wù)的方案��,有助于用戶實(shí)現(xiàn)云中的規(guī)模���、簡(jiǎn)單性�,有助于達(dá)成控制運(yùn)營(yíng)成本的目標(biāo)���。
第六項(xiàng)發(fā)布叫做:Amazon CodeGuru Security���。
Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識(shí)別并解決代碼漏洞。
用戶在開發(fā)階段可以使用Code Whisperer來輔助寫代碼和掃描漏洞�����,在運(yùn)行階段可以Amazon
Inspector來發(fā)現(xiàn)代碼中的問題����,而Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識(shí)別并解決代碼漏洞。
Amazon CodeGuru Security是一個(gè)靜態(tài)應(yīng)用安全測(cè)試(SAST)工具���,使用機(jī)器學(xué)習(xí)技術(shù)來識(shí)別代碼漏洞���,并提供修復(fù)指導(dǎo)能力。CodeGuru Security還為某些類別的漏洞提供上下文中的代碼補(bǔ)丁�,減少修復(fù)代碼漏洞的操作復(fù)雜度。
通過對(duì)代碼進(jìn)行語(yǔ)義分析�����,Amazon CodeGuru Security把漏洞誤報(bào)率降到很低����,從而可以更高效地發(fā)現(xiàn)并處理漏洞。
CodeGuru Security可標(biāo)記各種問題���,如日志注入����、硬編碼憑證和資源泄漏�����,并可在開發(fā)工作流程的不同階段(代碼庫(kù)�、CI/CD管道、容器注冊(cè)處等)進(jìn)行集成��。
第七項(xiàng)發(fā)布叫做:Findings Groups for Amazon Detective
Findings Groups for Amazon Detective使用機(jī)器學(xué)習(xí)技術(shù)和圖技術(shù)關(guān)聯(lián)數(shù)千個(gè)離散的安全事件。
Findings Groups for Amazon Detective就像個(gè)偵探一樣����,在紛繁復(fù)雜的信息面前,抽絲剝繭�,找出事件之間的關(guān)聯(lián)性,最后定位出問題所在����。
單獨(dú)關(guān)注某一事件,都可能會(huì)讓安全分析走入死胡同�����,隨后便難于找出根本原因�,亞馬遜云科技通過圖分析技術(shù)來解決這個(gè)問題,它可以用來推斷調(diào)查結(jié)果之間的關(guān)系�����。
安全服務(wù)如何利用大語(yǔ)言模型的能力�����?
不久前�,亞馬遜云科技發(fā)布了Amazon Bedrock�����,用于幫助企業(yè)用戶構(gòu)建生成式AI服務(wù),同一時(shí)間發(fā)布的還有自動(dòng)寫代碼工具Amazon CodeWhisperer����。
此次最新的七項(xiàng)新發(fā)布中,Amazon CodeGuru Security和Findings Groups for
Amazon Detective都多多少少用了機(jī)器學(xué)習(xí)或者大語(yǔ)言模型的能力�。
在CJ Moses的設(shè)想里,完全可以用生成式AI來對(duì)抗安全威脅���,比如�,用戶只需要?jiǎng)?chuàng)建一個(gè)YARA規(guī)則���,大語(yǔ)言模型就能幫用戶對(duì)抗勒索軟件���。
下一階段,預(yù)計(jì)還會(huì)有更多具體的安全服務(wù)會(huì)采用大語(yǔ)言模型等AI技術(shù)���。
