2023年re:Inforce上�����,亞馬遜云科技帶來了七項新服務(wù)���,每一項服務(wù)代表亞馬遜云科技在安全領(lǐng)域的關(guān)注重點��。
在發(fā)布了零信任�����、安全合規(guī)等傳統(tǒng)安全技術(shù)產(chǎn)品的同時�����,亞馬遜云科技首席安全官CJ Moses還提到了如何利用大型語言模型強大功能的話題��,新發(fā)布的多項服務(wù)都與AI相關(guān)�����。
第一項發(fā)布叫做Amazon Verified Permissions�����。
今天�,Amazon Verified Permissions作為一項新的安全服務(wù)已經(jīng)正式可用,它可以在用戶構(gòu)建和部署應(yīng)用時���,提供細粒度的認證和權(quán)限管理��。
通過Amazon Verified Permissions����,用戶可以向應(yīng)用資源提供安全的委托授權(quán),并在應(yīng)用中實施基于身份的持續(xù)授權(quán)��,從而更好地在應(yīng)用中落地零信任架構(gòu)����。
Amazon Verified Permissions采用的是一個叫Cedar的開源語言,這是一個專門用來做訪問控制的策略語言�。它的優(yōu)勢在于����,可以讓用戶以易于理解的策略來實現(xiàn)精細的權(quán)限管理。
Amazon Verified Permissions可以基于角色和屬性進行訪問控制���。此外��,由于訪問控制與應(yīng)用程序是解耦的���,這會有助于加快應(yīng)用程序開發(fā)。
Amazon Verified Permissions通過集中的策略存儲��、可重復(fù)使用的策略模板和策略測試���,幫助用戶更快地構(gòu)建安全的應(yīng)用�,節(jié)省時間。
Amazon Verified Permissions目前在多個地區(qū)可用��,暫時不包括中國在內(nèi)�����。
第二項發(fā)布叫做:Amazon EC2 Instance Connect Endpoint(端點)�����。
Amazon EC2有包括EC2 Instance Connect����、會話管理器、SSH客戶端和EC2串行控制臺四大類連接方式�����。
此次發(fā)布是在EC2 Instance Connect的基礎(chǔ)上�,新增了EC2 Instance
Connect端點(Endpoint)。
端點指的是一個彈性網(wǎng)絡(luò)接口�,這個網(wǎng)絡(luò)接口允許用戶通過私有的子網(wǎng)絡(luò)來訪問資源,使用的時候需要在VPC里創(chuàng)建一個這樣的端點(Endpoint)���。
訪問的時候需要透過下方顯示的私有IP地址進行訪問�,而原來的EC2 Instance Connect可以通過公網(wǎng)IP進行訪問,很明顯�,私有IP地址的安全性更高。
EC2 Instance Connect Endpoint(端點)可以在用戶訪問目標主機之前�����,進行嚴格的身份驗證和資源授權(quán)驗證����,以確保只有合法的用戶可以訪問這些資源。
它用起來很方便����,可以在控制臺操作�,也支持用第三方的SSH工具連接。此外�,它還支持用CloudTrail日志做審計。
第三項發(fā)布叫做:Amazon Inspector Code Scans For Lambda
Amazon Inspector Code Scans For Lambda擴大了Inspector的掃描范圍����,不僅支持對Lambda函數(shù)的代碼進行安全掃描,還可以掃描到應(yīng)用程序包依賴中的漏洞����。
Amazon Inspector現(xiàn)在還可以掃描Lambda函數(shù)內(nèi)的自定義專有應(yīng)用代碼����,以查找代碼安全漏洞����,如注入缺陷、數(shù)據(jù)泄漏��、弱加密或加密缺失的問題���。
在檢測到漏洞后�,Amazon Inspector會生成一些關(guān)于漏洞的若干細節(jié)��,指出受影響的代碼片段����,還會給出解決漏洞的建議。
所有信息都會在Amazon Inspector控制臺中匯總�,還可以無縫路由到AWS Security
Hub,并推送到Amazon EventBridge以實現(xiàn)工作流程自動化��。
第四項發(fā)布叫做:Amazon Inspector SBOM (軟件物料清單)Export�����,可以幫助做安全合規(guī)。
SBOM是一份列出軟件組件的清單����,這個清單就像一個配料表。SBOM對于理解軟件的構(gòu)成���,特別是在處理安全問題���、許可證合規(guī)性以及供應(yīng)鏈透明度時,非常關(guān)鍵�。
Amazon Inspector的SBOM導(dǎo)出功能能夠自動并集中地管理軟件的構(gòu)成元素清單(Software Bill of Materials,簡稱SBOM)的導(dǎo)出���。
Amazon Inspector的SBOM導(dǎo)出功能可以一鍵導(dǎo)出到Amazon S3里,可以配合Amazon Athena或者Amazon QuickInsight來查詢和獲得洞察�。
Amazon Inspector是一項漏洞管理服務(wù),它能夠持續(xù)地掃描包括EC2��、ECR容器鏡像���、Lambda軟件漏洞��、代碼漏洞等安全問題��。
第五項發(fā)布叫做:AWS Built-in Partner Solutions.
顧名思義���,這指的就是內(nèi)置了亞馬遜云科技能力的合作伙伴解決方案����。
通過AWS Built-in Partner Solutions上�����,用戶可以查找���、購買和部署經(jīng)過亞馬遜云科技驗證的合作伙伴軟件�,這些軟件都與亞馬遜云科技的基礎(chǔ)服務(wù)做了集成��。
集成�,或者說內(nèi)置了亞馬遜云科技基礎(chǔ)服務(wù)的方案,有助于用戶實現(xiàn)云中的規(guī)模���、簡單性�,有助于達成控制運營成本的目標����。
第六項發(fā)布叫做:Amazon CodeGuru Security�����。
Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識別并解決代碼漏洞�。
用戶在開發(fā)階段可以使用Code Whisperer來輔助寫代碼和掃描漏洞���,在運行階段可以Amazon
Inspector來發(fā)現(xiàn)代碼中的問題�,而Amazon CodeGuru Security可以在應(yīng)用開發(fā)工作流程的任何階段識別并解決代碼漏洞�。
Amazon CodeGuru Security是一個靜態(tài)應(yīng)用安全測試(SAST)工具,使用機器學(xué)習(xí)技術(shù)來識別代碼漏洞���,并提供修復(fù)指導(dǎo)能力����。CodeGuru Security還為某些類別的漏洞提供上下文中的代碼補丁����,減少修復(fù)代碼漏洞的操作復(fù)雜度��。
通過對代碼進行語義分析��,Amazon CodeGuru Security把漏洞誤報率降到很低,從而可以更高效地發(fā)現(xiàn)并處理漏洞�����。
CodeGuru Security可標記各種問題��,如日志注入����、硬編碼憑證和資源泄漏,并可在開發(fā)工作流程的不同階段(代碼庫�����、CI/CD管道����、容器注冊處等)進行集成。
第七項發(fā)布叫做:Findings Groups for Amazon Detective
Findings Groups for Amazon Detective使用機器學(xué)習(xí)技術(shù)和圖技術(shù)關(guān)聯(lián)數(shù)千個離散的安全事件���。
Findings Groups for Amazon Detective就像個偵探一樣����,在紛繁復(fù)雜的信息面前����,抽絲剝繭�����,找出事件之間的關(guān)聯(lián)性�,最后定位出問題所在�。
單獨關(guān)注某一事件,都可能會讓安全分析走入死胡同���,隨后便難于找出根本原因�,亞馬遜云科技通過圖分析技術(shù)來解決這個問題����,它可以用來推斷調(diào)查結(jié)果之間的關(guān)系。
安全服務(wù)如何利用大語言模型的能力�����?
不久前�,亞馬遜云科技發(fā)布了Amazon Bedrock,用于幫助企業(yè)用戶構(gòu)建生成式AI服務(wù)��,同一時間發(fā)布的還有自動寫代碼工具Amazon CodeWhisperer��。
此次最新的七項新發(fā)布中�,Amazon CodeGuru Security和Findings Groups for
Amazon Detective都多多少少用了機器學(xué)習(xí)或者大語言模型的能力。
在CJ Moses的設(shè)想里����,完全可以用生成式AI來對抗安全威脅,比如����,用戶只需要創(chuàng)建一個YARA規(guī)則,大語言模型就能幫用戶對抗勒索軟件�。
下一階段,預(yù)計還會有更多具體的安全服務(wù)會采用大語言模型等AI技術(shù)�。
