2023年re:Inforce上,亞馬遜云科技帶來了七項(xiàng)新服務(wù),每一項(xiàng)服務(wù)代表亞馬遜云科技在安全領(lǐng)域的關(guān)注重點(diǎn)。

在發(fā)布了零信任、安全合規(guī)等傳統(tǒng)安全技術(shù)產(chǎn)品的同時(shí),亞馬遜云科技首席安全官CJ Moses還提到了如何利用大型語(yǔ)言模型強(qiáng)大功能的話題,新發(fā)布的多項(xiàng)服務(wù)都與AI相關(guān)。

第一項(xiàng)發(fā)布叫做Amazon Verified Permissions。

今天,Amazon Verified Permissions作為一項(xiàng)新的安全服務(wù)已經(jīng)正式可用,它可以在用戶構(gòu)建和部署應(yīng)用時(shí),提供細(xì)粒度的認(rèn)證和權(quán)限管理。

通過Amazon Verified Permissions,用戶可以向應(yīng)用資源提供安全的委托授權(quán),并在應(yīng)用中實(shí)施基于身份的持續(xù)授權(quán),從而更好地在應(yīng)用中落地零信任架構(gòu)。

Amazon Verified Permissions采用的是一個(gè)叫Cedar的開源語(yǔ)言,這是一個(gè)專門用來做訪問控制的策略語(yǔ)言。它的優(yōu)勢(shì)在于,可以讓用戶以易于理解的策略來實(shí)現(xiàn)精細(xì)的權(quán)限管理。

Amazon Verified Permissions可以基于角色和屬性進(jìn)行訪問控制。此外,由于訪問控制與應(yīng)用程序是解耦的,這會(huì)有助于加快應(yīng)用程序開發(fā)。

Amazon Verified Permissions通過集中的策略存儲(chǔ)、可重復(fù)使用的策略模板和策略測(cè)試,幫助用戶更快地構(gòu)建安全的應(yīng)用,節(jié)省時(shí)間。

Amazon Verified Permissions目前在多個(gè)地區(qū)可用,暫時(shí)不包括中國(guó)在內(nèi)。

第二項(xiàng)發(fā)布叫做:Amazon EC2 Instance Connect Endpoint(端點(diǎn))。

Amazon EC2有包括EC2 Instance Connect、會(huì)話管理器、SSH客戶端和EC2串行控制臺(tái)四大類連接方式。

此次發(fā)布是在EC2 Instance Connect的基礎(chǔ)上,新增了EC2 Instance Connect端點(diǎn)(Endpoint)。

端點(diǎn)指的是一個(gè)彈性網(wǎng)絡(luò)接口,這個(gè)網(wǎng)絡(luò)接口允許用戶通過私有的子網(wǎng)絡(luò)來訪問資源,使用的時(shí)候需要在VPC里創(chuàng)建一個(gè)這樣的端點(diǎn)(Endpoint)。

訪問的時(shí)候需要透過下方顯示的私有IP地址進(jìn)行訪問,而原來的EC2 Instance Connect可以通過公網(wǎng)IP進(jìn)行訪問,很明顯,私有IP地址的安全性更高。

EC2 Instance Connect Endpoint(端點(diǎn))可以在用戶訪問目標(biāo)主機(jī)之前,進(jìn)行嚴(yán)格的身份驗(yàn)證和資源授權(quán)驗(yàn)證,以確保只有合法的用戶可以訪問這些資源。

它用起來很方便,可以在控制臺(tái)操作,也支持用第三方的SSH工具連接。此外,它還支持用CloudTrail日志做審計(jì)。

第三項(xiàng)發(fā)布叫做:Amazon Inspector Code Scans For Lambda

Amazon Inspector Code Scans For Lambda擴(kuò)大了Inspector的掃描范圍,不僅支持對(duì)Lambda函數(shù)的代碼進(jìn)行安全掃描,還可以掃描到應(yīng)用程序包依賴中的漏洞。

Amazon Inspector現(xiàn)在還可以掃描Lambda函數(shù)內(nèi)的自定義專有應(yīng)用代碼,以查找代碼安全漏洞,如注入缺陷、數(shù)據(jù)泄漏、弱加密或加密缺失的問題。

在檢測(cè)到漏洞后,Amazon Inspector會(huì)生成一些關(guān)于漏洞的若干細(xì)節(jié),指出受影響的代碼片段,還會(huì)給出解決漏洞的建議。

所有信息都會(huì)在Amazon Inspector控制臺(tái)中匯總,還可以無(wú)縫路由到AWS Security Hub,并推送到Amazon EventBridge以實(shí)現(xiàn)工作流程自動(dòng)化。

第四項(xiàng)發(fā)布叫做:Amazon Inspector SBOM (軟件物料清單)Export,可以幫助做安全合規(guī)。

SBOM是一份列出軟件組件的清單,這個(gè)清單就像一個(gè)配料表。SBOM對(duì)于理解軟件的構(gòu)成,特別是在處理安全問題、許可證合規(guī)性以及供應(yīng)鏈透明度時(shí),非常關(guān)鍵。

Amazon Inspector的SBOM導(dǎo)出功能能夠自動(dòng)并集中地管理軟件的構(gòu)成元素清單(Software Bill of Materials,簡(jiǎn)稱SBOM)的導(dǎo)出。

Amazon Inspector的SBOM導(dǎo)出功能可以一鍵導(dǎo)出到Amazon S3里,可以配合Amazon Athena或者Amazon QuickInsight來查詢和獲得洞察。

Amazon Inspector是一項(xiàng)漏洞管理服務(wù),它能夠持續(xù)地掃描包括EC2、ECR容器鏡像、Lambda軟件漏洞、代碼漏洞等安全問題。

第五項(xiàng)發(fā)布叫做:AWS Built-in Partner Solutions.

顧名思義,這指的就是內(nèi)置了亞馬遜云科技能力的合作伙伴解決方案。

通過AWS Built-in Partner Solutions上,用戶可以查找、購(gòu)買和部署經(jīng)過亞馬遜云科技驗(yàn)證的合作伙伴軟件,這些軟件都與亞馬遜云科技的基礎(chǔ)服務(wù)做了集成。

集成,或者說內(nèi)置了亞馬遜云科技基礎(chǔ)服務(wù)的方案,有助于用戶實(shí)現(xiàn)云中的規(guī)模、簡(jiǎn)單性,有助于達(dá)成控制運(yùn)營(yíng)成本的目標(biāo)。

第六項(xiàng)發(fā)布叫做:Amazon CodeGuru Security。

Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識(shí)別并解決代碼漏洞。

用戶在開發(fā)階段可以使用Code Whisperer來輔助寫代碼和掃描漏洞,在運(yùn)行階段可以Amazon Inspector來發(fā)現(xiàn)代碼中的問題,而Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識(shí)別并解決代碼漏洞。

Amazon CodeGuru Security是一個(gè)靜態(tài)應(yīng)用安全測(cè)試(SAST)工具,使用機(jī)器學(xué)習(xí)技術(shù)來識(shí)別代碼漏洞,并提供修復(fù)指導(dǎo)能力。CodeGuru Security還為某些類別的漏洞提供上下文中的代碼補(bǔ)丁,減少修復(fù)代碼漏洞的操作復(fù)雜度。

通過對(duì)代碼進(jìn)行語(yǔ)義分析,Amazon CodeGuru Security把漏洞誤報(bào)率降到很低,從而可以更高效地發(fā)現(xiàn)并處理漏洞。

CodeGuru Security可標(biāo)記各種問題,如日志注入、硬編碼憑證和資源泄漏,并可在開發(fā)工作流程的不同階段(代碼庫(kù)、CI/CD管道、容器注冊(cè)處等)進(jìn)行集成。

第七項(xiàng)發(fā)布叫做:Findings Groups for Amazon Detective

Findings Groups for Amazon Detective使用機(jī)器學(xué)習(xí)技術(shù)和圖技術(shù)關(guān)聯(lián)數(shù)千個(gè)離散的安全事件。

Findings Groups for Amazon Detective就像個(gè)偵探一樣,在紛繁復(fù)雜的信息面前,抽絲剝繭,找出事件之間的關(guān)聯(lián)性,最后定位出問題所在。

單獨(dú)關(guān)注某一事件,都可能會(huì)讓安全分析走入死胡同,隨后便難于找出根本原因,亞馬遜云科技通過圖分析技術(shù)來解決這個(gè)問題,它可以用來推斷調(diào)查結(jié)果之間的關(guān)系。

安全服務(wù)如何利用大語(yǔ)言模型的能力?

不久前,亞馬遜云科技發(fā)布了Amazon Bedrock,用于幫助企業(yè)用戶構(gòu)建生成式AI服務(wù),同一時(shí)間發(fā)布的還有自動(dòng)寫代碼工具Amazon CodeWhisperer。

此次最新的七項(xiàng)新發(fā)布中,Amazon CodeGuru Security和Findings Groups for Amazon Detective都多多少少用了機(jī)器學(xué)習(xí)或者大語(yǔ)言模型的能力。

在CJ Moses的設(shè)想里,完全可以用生成式AI來對(duì)抗安全威脅,比如,用戶只需要?jiǎng)?chuàng)建一個(gè)YARA規(guī)則,大語(yǔ)言模型就能幫用戶對(duì)抗勒索軟件。

下一階段,預(yù)計(jì)還會(huì)有更多具體的安全服務(wù)會(huì)采用大語(yǔ)言模型等AI技術(shù)。

分享到

zhupb

相關(guān)推薦