做好AI時代云安全，亞馬遜云科技又有這些新思路

1月3日消息，“安全性必須是構建業(yè)務的根基！”毫無意外，這句話再次在2024年亞馬遜云科技的re:Invent大會上響起。

亞馬遜云科技CEO Matt Garman在其主題演講中又一次鄭重強調安全性的重要性：“萬事皆以安全性為起始。在亞馬遜云科技，安全性是眾多客戶放心將云工作負載托付給我們的原因之一。它是所有服務構建所依托的核心基礎層。”

今年re:Invent大會上，亞馬遜云科技也推出了多項安全領域的重磅新功能和新服務。作為云計算行業(yè)的風向標，這些也許就是AI時代云安全領域的新趨勢，值得關注。

整體來看，這次亞馬遜云科技在安全方面的更新體現(xiàn)為“自動化、智能化和簡化”三大關鍵詞。

自動化

近幾年，信息安全事件越來越頻繁而復雜。企業(yè)安全團隊往往要面對大量的日常警報，手動調查需要耗費大量資源，還可能忽視重要的安全警報。

此次，亞馬遜云科技新發(fā)布了Amazon Security Incident Response安全事件響應服務，該服務就是旨在更好地支持客戶，并減少客戶在處理安全事件時面臨的繁重工作。

具體而言，Amazon Security Incident Response安全事件響應服務通過三個核心功能幫助客戶有效準備、響應和恢復安全事件造成的影響：

第一是自動化篩選和調查：Amazon Security Incident Response通過Amazon Security Hub自動篩選來自Amazon GuardDuty和第三方工具的安全發(fā)現(xiàn)，識別需要立即關注的高優(yōu)先級事件。通過自動化和客戶特定信息過濾和抑制安全發(fā)現(xiàn)，幫助團隊專注于關鍵安全警報。

第二是簡化事件響應：Amazon Security Incident Response提供預配置的通知規(guī)則和權限設置，可以擴展到內部和外部利益相關者，包括第三方安全服務商?？蛻艨梢栽L問集成的控制臺，使用消息、數(shù)據(jù)傳輸和視頻會議等功能，所有這些都可以通過服務API或亞馬遜云科技管理控制臺訪問。同時，自動化的案例歷史追蹤和報告功能也簡化了響應過程。

第三是自助調查和全天候支持：通過Amazon Security Incident Response，客戶可以訪問自助調查工具，并享受亞馬遜云科技客戶事件響應團隊（CIRT）專家的全天候支持。客戶還可以選擇獨立處理事件或與第三方安全供應商合作，按需求進行事件響應。

整體而言，Amazon Security Incident Response安全事件響應服務與現(xiàn)有檢測服務集成，可快速審查安全警報、升級高優(yōu)先級發(fā)現(xiàn)并在企業(yè)客戶許可的情況下實施遏制措施。這種自動化能力，減少安全團隊需要分析的警報數(shù)量，節(jié)省時間并使安全人員能夠專注于更重要的安全戰(zhàn)略。

智能化

如前面所提到的Amazon Security Incident Response的安全“自動化”能力，其核心功能之一是“通過Amazon Security Hub自動篩選來自Amazon GuardDuty和第三方工具的安全發(fā)現(xiàn)”。那么，作為自動化能力的內核之一，Amazon GuardDuty在今年的亞馬遜云科技的re:Invent大會有了更多智能化更新，以支持安全“自動化”的實現(xiàn)。

Amazon GuardDuty新增了擴展威脅檢測功能，通過AI/ML識別云中的活動攻擊序列，同時，Amazon GuardDuty首次使用了“關鍵嚴重性（critical severity）”級別來命名這些攻擊序列發(fā)現(xiàn)。

Amazon GuardDuty新增了擴展威脅檢測功能，通過AI/ML識別云中的活動攻擊序列，Amazon GuardDuty首次使用了“關鍵嚴重性（critical severity）”級別來命名這些攻擊序列發(fā)現(xiàn)。

通過 AI/ML 技術，Amazon GuardDuty已擴展其威脅檢測功能，能夠識別已知和未知的攻擊序列，能識別和關聯(lián)多個攻擊步驟，如特權發(fā)現(xiàn)、API操控、持久性活動、數(shù)據(jù)外泄等，形成攻擊序列發(fā)現(xiàn)。同時，Amazon GuardDuty通過AI/ML能檢測多個階段的攻擊行為，并為這些行為賦予“關鍵嚴重性”，幫助用戶迅速識別并響應真實威脅。

新增的威脅檢查還包括，新增的數(shù)據(jù)泄露，如Amazon S3桶的潛在數(shù)據(jù)泄露和被盜憑證類型的發(fā)現(xiàn)，幫助用戶早期識別攻擊的初始階段；高風險API調用（如刪除Amazon CloudTrail跟蹤日志）被標記為異常，進一步增強事件的可見性和響應效率。

在威脅響應和處理方面，Amazon GuardDuty新功能提供了詳細的威脅背景信息，包括攻擊者的身份、活動的具體細節(jié)和關鍵資源的受影響情況。這些信息使得企業(yè)安全團隊能夠更迅速地采取響應措施。同時，通過?MITRE ATT&CK這個開放的網(wǎng)絡安全信息知識庫的戰(zhàn)術和技術的詳細映射，安全團隊可以更好地理解攻擊路徑，快速采取相應的防御措施。同時，Amazon GuardDuty也提供基于亞馬遜云科技最佳實踐的修復建議，幫助用戶高效應對威脅。

目前，Amazon GuardDuty擴展威脅檢測功能默認啟用，無需額外配置或費用，該功能適用于所有支持Amazon GuardDuty的商業(yè)亞馬遜云科技區(qū)域，增強了企業(yè)全球范圍內的云安全保護能力。

?值得注意的是，除了Amazon GuardDuty的智能化能力升級外，亞馬遜云科技在提升安全性和穩(wěn)定性方面的一項重要能力——“自動推理”這次也有重要更新。

事實上，在過去十多年間，在亞馬遜云科技內部越來越多的應用自動推理技術來證明云基礎設施和服務的正確性，自動推理被用于增強安全性和可靠性，以及最小化設計缺陷。

這一次，Amazon Bedrock新增Automated Reasoning checks自動化推理檢查功能，這項新功能是首個也是唯一的生成式AI保護措施，可通過邏輯準確且可驗證的推理來幫助防止因模型幻覺而導致的事實性錯誤。通過提高客戶對模型響應的信任，自動化推理檢查功能為生成式AI開辟了對準確性要求極高的新應用場景。

簡化

最后，在“簡化”設計進一步降低客戶實現(xiàn)安全方面，這一次亞馬遜云科技也有非常亮眼的三項新更新。

其一，是Amazon Security Lake安全數(shù)據(jù)湖與Amazon OpenSearch Service實現(xiàn)Zero-ETL集成。

Zero ETL，即零數(shù)據(jù)提?。‥xtract）、轉換清洗（Transform）和加載（Load），是一種云原生的數(shù)據(jù)處理方式，它不需要進行復雜的數(shù)據(jù)轉換和清洗，可以直接在云上一站式的進行數(shù)據(jù)分析和處理。

現(xiàn)在，與Amazon Security Lake的Zero-ETL集成，使用戶能夠直接通過Amazon OpenSearch在原地查詢和分析安全數(shù)據(jù)，這意味者企業(yè)安全團隊可以高效地探索以往因成本過高而無法分析的大規(guī)模數(shù)據(jù)源，通過全面了解安全態(tài)勢，簡化安全調查。這是一種新的方式，企業(yè)安全團隊能夠直接在Amazon Security Lake中查詢和分析日志，減少數(shù)據(jù)重復存儲的需求，并降低管理自定義數(shù)據(jù)管道的操作開銷。

其二，是Amazon Verified Access現(xiàn)在支持通過非HTTPS協(xié)議對資源進行安全訪問，無需通過VPN也能基于身份和設備安全來管理網(wǎng)絡訪問，這成為通過零信任架構簡化安全操作的一個實例。

傳統(tǒng)的VPN解決方案雖然能夠提供網(wǎng)絡訪問，但通常授予過廣的權限，且不支持細粒度的訪問控制，可能會暴露敏感數(shù)據(jù)基礎設施。使用堡壘主機來中介訪問會增加復雜性和策略不一致問題。

現(xiàn)在，Amazon Verified Access的新功能基于亞馬遜云科技零信任原則設計，允許企業(yè)組織基于身份和設備安全來管理網(wǎng)絡訪問，而不依賴于IP地址。無需單獨使用VPN或堡壘主機，Amazon Verified Access通過統(tǒng)一管理訪問策略簡化了安全操作。此外，通過指定IPCIDR和端口，Amazon Verified Access自動創(chuàng)建DNS記錄并簡化資源管理，用戶可即時連接到新資源，免去手動配置DNS的麻煩。

其三，對安全的簡化還體現(xiàn)在新一代的Amazon SageMaker中。

新一代Amazon SageMaker讓整個企業(yè)內數(shù)據(jù)和AI的發(fā)現(xiàn)、治理和協(xié)作都得到了簡化，能夠更好地滿足安全需求。管理員可以輕松地定義和實施跨模型、工具和數(shù)據(jù)源的權限，而定制的安全措施有助于確保AI應用程序的安全性和合規(guī)性。

企業(yè)客戶還可以通過Amazon SageMaker中的數(shù)據(jù)分類、毒舌檢測（toxicity detection）、防護欄（guardrails）和負責任的AI策略來保護其AI模型。亞馬遜云科技在Amazon Bedrock Guardrails中新增加了多模態(tài)毒舌檢測功能，該功能將有害內容的檢測擴展到圖像等非結構化數(shù)據(jù)，有助于企業(yè)構建安全、多模態(tài)的生成式AI應用程序。

Gartner在未來五年最新全球信息安全市場預測分析中指出，到 2028 年，22%的網(wǎng)絡攻擊和數(shù)據(jù)泄露將涉及生成式AI。面對生成式AI的迅猛發(fā)展，如何更有效保障企業(yè)信息安全，這些亞馬遜云科技通過自身實踐發(fā)展出的“自動化、智能化和簡化”安全管理方法值得關注和借鑒。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。