Graviton處理器在芯片級別提供多層次的防護。最新的Graviton 4完全加密了所有高速物理硬件接口。而且,它利用Arm服務(wù)器的單核輸出單線程設(shè)計,巧妙地避免了超線程(SMT)技術(shù)帶來的安全隱患。

此外,Graviton 4通過引入指針認證和分支目標識別來防御常見的編程攻擊,搭配Amazon Linux 2023,讓這些能夠被實際應(yīng)用到操作系統(tǒng)和軟件中。更有意思的是,這些都是在芯片層面進行的安全設(shè)計,能讓用戶以更低的成本獲得這些安全特性。

對于沒有使用Graviton處理器的亞馬遜云科技的用戶而言,肯定還都會用到Amazon Nitro系統(tǒng)。Nitro不僅能通過單獨的硬件設(shè)計所具備的隔離性來提高安全性,還能通過KMS和Nitro Enclaves的集成方案,提高數(shù)據(jù)在存儲、傳輸和處理過程中的安全性。

在上層軟件服務(wù)方面,為了提高安全性,亞馬遜云科技不惜代價用Rust語言來重寫了很多服務(wù)。Rust是近幾年來很火的編程語言,亞馬遜云科技看中其在內(nèi)存安全等方面的優(yōu)勢,將它用在多個關(guān)鍵服務(wù)中。還發(fā)布了一個用Rust語言設(shè)計的開源加密庫,被業(yè)內(nèi)廣泛采用。

Chris Betz提到了自動推理,它利用形式邏輯技術(shù)和工具來分析和驗證軟件系統(tǒng)、加密協(xié)議等正確性的方法,它通過考慮系統(tǒng)、算法和配置的無限可能輸入,提高安全性。自動推理已成為亞馬遜云科技基礎(chǔ)設(shè)施安全策略的重要組成部分,被用在IAM等關(guān)鍵服務(wù)當中。

此外,Chris Betz還首次對外介紹了內(nèi)部在用的網(wǎng)絡(luò)流量分析工具Sonaris。過去一年間,Sonaris拒絕了超過240億次掃描客戶存儲在Amazon S3中的數(shù)據(jù)的嘗試,并阻止了近2.6萬億次發(fā)現(xiàn)客戶Amazon EC2虛擬服務(wù)器上運行的易受攻擊服務(wù)的嘗試。

亞馬遜云科技的安全服務(wù)取得了很多令人矚目的成就,然而,安全似乎永無止境,更多創(chuàng)新的安全服務(wù)還在路上。

第三,以更新的安全服務(wù)提高安全防護水平和防護效率

零信任是一種安全理念,默認就不信任任何設(shè)備、用戶或服務(wù)。去年的re:Inforce大會上,亞馬遜云科技推出了Amazon Verified Permissions、Amazon Management Console Private Access和Amazon Verified Access,幫助客戶落地零信任架構(gòu)。

今年,為了幫助企業(yè)更容易實施其零信任架構(gòu),這次大會上,亞馬遜云科技又發(fā)布了Amazon Private CA來減少管理公鑰基礎(chǔ)設(shè)施操作所需的時間和成本。同時,還發(fā)布了IAM Access Analyzer幫助用戶發(fā)現(xiàn)和處理未使用的訪問權(quán)限。

此外,Amazon IAM還新增了支持用戶使用密鑰作為第二個身份驗證因素。今年早些時候,亞馬遜云科技計劃將強制根用戶賬戶使用MFA來降低賬戶被盜的風險,為了使MFA更快落地采用,這次又宣布讓IAM支持使用密鑰作為第二種身份驗證方法,它比常規(guī)的密鑰更安全。

Amazon GuardDuty 亞馬遜云科技在2017年發(fā)布的威脅檢測服務(wù),它通過持續(xù)監(jiān)控和分析云環(huán)境中的日志和流量,利用機器學習、行為分析和威脅情報來檢測潛在的安全威脅和異?;顒印?/p>

今天,新增的Amazon GuardDuty的惡意軟件防護功能支持對Amazon S3上的數(shù)據(jù)進行掃描,這是一項托管服務(wù),可以檢測到Amazon S3桶里潛在的惡意軟件、病毒和其他可疑內(nèi)容,并在這些對象被注入到后續(xù)流程之前采取隔離措施。

最后,Chris Betz還提到了生成式AI與安全的關(guān)系。

首先,生成式AI的三層堆棧當中都充分考慮了安全問題。底層硬件可以防止未經(jīng)授權(quán)的訪問,保護數(shù)據(jù)隱私。中間層的Amazon Bedrock也都支持IAM和KMS等安全手段,還支持Guardrail還進行安全防護。最上層的Amazon Q也可以提供安全漏洞掃描和修復(fù)等功能。

這一次,亞馬遜云科技還推出了Amazon CloudTrail Lake,這是一個基于生成式AI的自然語言查詢功能。它允許用戶用自然語言在CloudTrail Lake中分析活動事件,系統(tǒng)會自動生成相應(yīng)的SQL查詢。此功能大大簡化了數(shù)據(jù)分析過程,提高了查詢的便捷性和效率。

這也是亞馬遜云科技在用生成式AI提高安全性方面的最有代表性的產(chǎn)品。

結(jié)束語

與此前想象中有所不同,亞馬遜云科技并沒有很快推出更多采用生成式AI技術(shù)的安全產(chǎn)品,而是采取了更為保守的手段,慎重并且克制地將生成式AI技術(shù)用于安全場景。

雖然很多人對于生成式AI的能力非常樂觀,但考慮到要將其作為嚴肅的商業(yè)服務(wù),生成式AI本身要解決的問題還有很多。

所以,冒然將生成式AI用于安全方面可能會引發(fā)安全和隱私等問題,本身是不負責任的行為,亞馬遜云科技目前的做法其實更為穩(wěn)妥。

分享到

zhupb

相關(guān)推薦