亞馬遜云科技認(rèn)為,云平臺有安全技術(shù)體系和安全實(shí)踐��,上云之后可以繼承這些安全能力��,這被稱作是責(zé)任共擔(dān)�。而且,用云用的越深入���,亞馬遜承擔(dān)的越多����,用戶的管理負(fù)擔(dān)就就越輕�。
亞馬遜云科技CISO Amy Herzog表示,當(dāng)用戶越來越多地使用Amazon Lambda�、Amazon S3、KMS等托管服務(wù)時����,可以減少人工配置錯誤,提升自動化和安全性�����。而且,亞馬遜云科技會負(fù)責(zé)托管服務(wù)的補(bǔ)丁與維護(hù)�����,讓客戶聚焦業(yè)務(wù)創(chuàng)新����。
對于業(yè)務(wù)系來說,定期打補(bǔ)丁仍是非常重要的安全措施�����。但在如今節(jié)奏極快的環(huán)境中����,組織常常面臨更新數(shù)量龐大����、兼容性風(fēng)險、停機(jī)顧慮���、可視性不足等挑戰(zhàn)���,這使得每次更新都變成一項(xiàng)龐大的工程�。
為了解決這些問題����,組織確實(shí)需要建立起將補(bǔ)丁管理納入整體安全與運(yùn)維流程的意識。通過CI/CD流水線實(shí)現(xiàn)持續(xù)自動交付���,能讓補(bǔ)丁和更新變得更輕而易舉��,實(shí)現(xiàn)從軟件到基礎(chǔ)設(shè)施即代碼的端到端自動化��。
亞馬遜云科技提供了多種工具做補(bǔ)丁管理���。在操作系統(tǒng)層有Amazon Systems Manager,在容器層面有Amazon ECR Scanning�,在依賴管理方面有Amazon CodeArtifact,最后還支持用Amazon Inspector + Security Hub提供風(fēng)險排序和修復(fù)建議�����。
選順手的工具:用AI技術(shù)強(qiáng)化安全服務(wù)的能力���,同時也在簡化操作
亞馬遜云科技安全服務(wù)副總裁Gee Rittenhouse在采訪中表示��,我們發(fā)現(xiàn)客戶喜歡那些易于操作�、易于部署、易于使用的安全產(chǎn)品�����。因此��,我們構(gòu)建了大量具備這些特性的服務(wù)���。
比如�,在Amazon Security Hub的最近更新中�,它將亞馬遜云科技內(nèi)部的多個安全服務(wù)整合為一個統(tǒng)一的解決方案,隨后在其之上用分析能力查找潛在的關(guān)聯(lián)性�,幫助客戶識別出他們最應(yīng)優(yōu)先關(guān)注的問題,從而更好地保護(hù)其云環(huán)境����。
Gee Rittenhouse提到�����,以前雖然能把各項(xiàng)服務(wù)的安全發(fā)現(xiàn)進(jìn)行整合��,但只是簡單的結(jié)果合并�����,并沒有進(jìn)行關(guān)聯(lián)分析。更新后的Amazon Security Hub中加入了更高級的算法�,對發(fā)現(xiàn)進(jìn)行優(yōu)先級排序并集中展示,客戶可以直接在其中展開調(diào)查���。
在威脅檢測服務(wù)Amazon GuardDuty中�,它將各類信號和發(fā)現(xiàn)整合成序列����,這被稱之為“擴(kuò)展威脅檢測”(extended threat detection),最初它主要用于檢測泄露的憑證和S3存儲桶中的數(shù)據(jù)�,最近更新中,它將這一能力擴(kuò)展到了Amazon EKS容器環(huán)境中�����。
AI技術(shù)可以提高效率���,而Amazon GuardDuty從第一天起就集成了AI和機(jī)器學(xué)習(xí)技術(shù)�����,亞馬遜云科技安全副總裁Hart Rossman介紹稱���,在亞馬遜云科技內(nèi)部已經(jīng)使用機(jī)器學(xué)習(xí)和AI技術(shù)多年了����,這些能力會通過不同方式開放給客戶使用��。
在re:Inforce上���,托管型DDoS防護(hù)服務(wù)Amazon Shield新增了Network Security Director功能�����,它可以簡化與SQL注入和DDoS)等威脅相關(guān)的配置問題的識別�����,并提出補(bǔ)救措施�。這一服務(wù)通過與Amazon Q集成���,用戶對話獲得互動式的反饋。
亞馬遜云科技網(wǎng)絡(luò)服務(wù)副總裁Robert Kennedy表示�����,該服務(wù)利用了生成式AI技術(shù)能力,其背后有一個可以解析各類安全相關(guān)數(shù)據(jù)的模型�,幫助評估網(wǎng)絡(luò)資源是否配置得當(dāng),識別潛在風(fēng)險并提出修復(fù)建議���,幫助客戶在網(wǎng)絡(luò)層面維持一個高度安全的環(huán)境���。
最近,亞馬遜云科技為Amazon Inspector新添加了代碼安全功能��,通過與源代碼庫集成�,Amazon Inspector能夠自動掃描代碼庫、依賴項(xiàng)以及IaC模板�,精準(zhǔn)定位漏洞所在的代碼行,并提供具體修復(fù)建議�。
為了進(jìn)一步簡化流程,亞馬遜云科技把Amazon Inspector也集成到Amazon Q Developer中����,在代碼開發(fā)的早期就引入安全評估。它原本只支持亞馬遜云科技的內(nèi)部鏡像倉庫���,這次更新后�����,它還支持GitHub和GitLab等外部代碼庫��。
用AI寫代碼:使用生成式AI技術(shù)寫出更安全的程序
現(xiàn)在的大型科技公司中����,有的對于AI編碼較為謹(jǐn)慎,有的則較為開放�。此前,微軟就曾表示����,微軟代碼庫中有大約20%到30%的代碼是由AI寫的。亞馬遜CEO安迪賈西去年表示���,Amazon Q已經(jīng)節(jié)省了4500名員工一年的工作量�。
Gee Rittenhouse在最近的采訪中表示�,亞馬遜在內(nèi)部用了很多AI工具,AI生成的代碼不僅不會帶來更多安全問題�����,反而因?yàn)橐肷墒紸I來發(fā)現(xiàn)安全問題��,代碼的安全性更高了�����。
比如�,當(dāng)把程序從舊的Java遷移到Java 17時,AI生成的代碼質(zhì)量和安全性更高�,能避免很多人為容易出錯的問題。此外���,在代碼測試和部署階段���,AI在速度、質(zhì)量和安全性上都能帶來很多好處��。
Hart Rossman在采訪中提到��,安全團(tuán)隊(duì)主要在三個方面使用生成式AI��,除了輔助生成代碼場景��,還有漏洞評估和滲透測試階段�。在安全事件響應(yīng)階段,人類分析師經(jīng)常會與生成式AI工具搭配使用�����,在數(shù)據(jù)分析、解讀和推理上提供幫助��。
據(jù)了解�����,亞馬遜在內(nèi)部面向安全場景構(gòu)建了一個基礎(chǔ)模型��,用這一模型來減少誤報(bào)和漏報(bào)����。當(dāng)基于生成式AI技術(shù)提供面向用戶的服務(wù)時,為了能呈現(xiàn)既簡化又準(zhǔn)確的內(nèi)容�,會需要額外做一些工作,防止出現(xiàn)錯誤���。
安全地使用大模型技術(shù):在云上開發(fā)生成式AI應(yīng)用會更安全
在生成式AI時代�����,為了幫助用戶快速開發(fā)出AI應(yīng)用�,亞馬遜云科技推出了Amazon Bedrock托管服務(wù)�。它具備完善的安全機(jī)制��,讓新模型上架后�����,用戶能快速、安全地使用大語言模型開發(fā)應(yīng)用��,在云上開發(fā)生成式AI應(yīng)用會更安全�。
據(jù)了解,亞馬遜云科技成了第一家通過FedRAMP High和DoD IL-4/5安全認(rèn)證的云廠商�。這代表Amazon Bedrock或者Amazon SageMaker已達(dá)到美國政府和軍方認(rèn)可的高安全標(biāo)準(zhǔn),意味著任何人都可以放心使用其提供的Anthropic和Meta等大模型�。
Hart Rossman提到,生成式AI技術(shù)需要重新思考如何授權(quán)模型��,不能照搬傳統(tǒng)數(shù)據(jù)安全策略���,要構(gòu)建多層次�、系統(tǒng)性的深度防御架構(gòu)����。因?yàn)椋竽P陀?xùn)練完成后�,內(nèi)部知識不可區(qū)分���、不可修改的,安全授權(quán)無法針對單條數(shù)據(jù)���,而是要對整個模型進(jìn)行授權(quán)���。
Amazon Bedrock上有多個大語言模型,亞馬遜云科技為其設(shè)定了嚴(yán)格的格式規(guī)范和部署隔離要求����,并實(shí)施細(xì)粒度的訪問控制。模型運(yùn)行在隔離的生產(chǎn)環(huán)境中���,無法連接外部網(wǎng)絡(luò)��。同時�,還會通過基于角色的授權(quán)機(jī)制對其使用進(jìn)行嚴(yán)格管理�。
在用戶向模型發(fā)出提示詞時,需要對提示詞做預(yù)處理防護(hù)��??梢允褂肁mazon WAF(Web應(yīng)用防火墻)進(jìn)行輸入校驗(yàn)。以此確保發(fā)送給模型的提示詞是安全的��,不含有任何惡意內(nèi)容,比如跨站腳本(XSS)或SQL注入類攻擊���。
在模型輸出時���,Amazon Bedrock也有多種安全機(jī)制。比如基于自動推理的策略檢查和可配置的輸出護(hù)欄(guardrails)��。護(hù)欄可以幫助客戶設(shè)定對輸出內(nèi)容的預(yù)期�,比如防止輸出包含個人身份信息(PII)�,或屏蔽某些敏感話題。
此外�,自動推理檢查則通過數(shù)據(jù)驅(qū)動和策略規(guī)則,驗(yàn)證模型輸出的準(zhǔn)確性與合規(guī)性���。這就有點(diǎn)像“校驗(yàn)校驗(yàn)者”����,形成了第二層驗(yàn)證機(jī)制�����。最終����,通過兩個獨(dú)立的檢查層級�,對模型的輸出進(jìn)行安全性�、可靠性和正確性的驗(yàn)證。
最后�,在談到當(dāng)前面臨的最大挑戰(zhàn)時,Hart Rossman認(rèn)為��,最大的安全挑戰(zhàn)在于安全團(tuán)隊(duì)自己還沒有廣泛使用這項(xiàng)技術(shù)���。當(dāng)自己都缺乏實(shí)踐經(jīng)驗(yàn)���,就很難為企業(yè)提供切實(shí)可行、可信的安全指導(dǎo)�。他非常建議安全團(tuán)隊(duì)率先掌握并應(yīng)用生成式AI技術(shù)。
