無論是來費城的火車車廂里,還是費城瑞汀車站市場的人群中,甚至費城藝術博物館前的階梯上,隨處可見身披球衣、手舉圍巾的球迷。6月17日,2025年FIFA世俱杯的小組賽將在在費城開賽,巧合的是,同一天,AWS re:Inforce大會也在這裡火熱舉行。
一場關於體育競技與雲安全的「雙賽場」,讓費城這座城市熱鬧非凡。
在每一道關口設防,構建安全「護城河」
最近剛剛出任亞馬遜雲科技 CISO的Amy Herzog稱自己是個新人,AWS re:Inforce也成為她的首次亮相。在加入亞馬遜雲科技之前,她曾擔任亞馬遜設備與服務、媒體與娛樂以及廣告業務的CISO,負責監督Alexa 和Ring等消費技術產品的安全性,並在「Kuiper項目」的安全開發中發揮了關鍵作用。
亞馬遜雲科技 CISO Amy Herzog
Amy Herzog一上來就強調了她在亞馬遜所一直堅持的觀點:所有一切始於安全。
「如果沒有堅實的安全基礎,我們根本無法真正保障AI或其他任何技術的安全。」Amy Herzog對這一點深信不疑。
她並不認為,在快速創新和高安全性之間必須做選擇。她我相信在速度和規模並存的環境中,安全性可以更進一步。企業需要在每個階段的每一層都要通過設計實現安全,包含身份與訪問管理、監控與事件響應、數據和網路保護、遷移與現代化。
因為正是安全這一基礎使創新成為可能。
身份與訪問管理
身份與訪問管理如果沒有做好,一切都無從談起。目前亞馬遜雲科技的身份和訪問管理服務API每秒被調用12億次,目標是確保用戶和系統僅擁有完成其職責所必需的最小權限,也就是「最小權限原則」,遵循這一原則可以顯著降低攻擊面,從而減少因賬戶泄露、內部人員威脅或誤操作所帶來的潛在損害。
但權限配置是一個持續的過程,AWS IAM Access Analyzer可以提供權限管理,識別誰在你的亞馬遜雲科技組織中可以訪問哪些資源。新功能Internal Access Findings可以清晰地了解公司內部誰能夠訪問亞馬遜雲科技中的關鍵資源,深入解讀各種策略類型,包括身份策略、資源策略、服務控制策略,並識別出哪些IAM用戶和角色擁有對特定資源的訪問權限。
如今的IAM Access Analyzer能夠為企業的關鍵資產提供一個全面的訪問視圖,使得發現和修復安全問題變得更加容易。
監控與事件響應
雖然「最小權限原則」至關重要,但接下來企業還需要消除長期憑證的必要性。2024年12月到2025年4月,亞馬遜雲科技阻止了未經授權的加密嘗試次數達到9.436億次。這有賴於全面的身份和訪問管理能力,涵蓋了IAM實例配置文件、聯邦身份驗證、IAM角色、任何地方的IAM角色。
MFA是保護賬戶免遭未授權訪問最有效的安全實踐,亞馬遜雲科技是首家要求強制使用MFA的雲服務提供商,用於管理賬戶和具有根訪問權限的獨立賬戶。AWS Certificate Manager則可以導出公共證書,以便在亞馬遜雲科技內部和外部使用。
數據和網路保護
雖然身份與訪問管理可以控制誰能訪問你的資源,但保護數據還需要額外的防護層和控制機制。
Amazon Shield推出一項新的預覽功能Network Security Director,不僅提供DDoS防護,還覆蓋整個網路安全管理層面。該服務能夠繪製客戶的安全資源圖譜,從而發現常見攻擊方式的脆弱點,例如SQL注入(攻擊者利用網站表單訪問數據的常見手段)和分布式拒絕服務(DDoS)攻擊(攻擊者通過大量虛假流量使網站癱瘓)。
現在Amazon Shield提供一個直觀的儀錶板,按嚴重程度標記問題,並提供詳細的逐步操作指南,幫助客戶快速修復。此外,客戶還可以使用 Amazon Q,通過簡單的對話就能獲得指導。
AWS Web Application Firewall(AWS WAF)則會同步攔截針對應用程序的利用行為。全新的WAF簡化控制台體驗,將原本繁雜的Web應用與API安全配置流程,整合為一個統一的引導式配置流程。這項改進可將初始安全配置所需的步驟減少80%,讓安全團隊從耗時數小時,轉變為幾分鐘內即可完成防護配置。
當開發者希望使用CloudFront進行內容分發時,他們需要通過多個步驟配置CloudFront分發實例。現在Amazon CloudFront簡化配置體驗,讓開發者無論經驗如何,都能更輕鬆地完成端到端的內容分發與防護配置,快速、安全、可靠地將內容傳遞給用戶。
另外,Amazon Network Firewall現已增強支持主動威脅防禦功能,能夠應對新興的、正在被利用的攻擊威脅。依託亞馬遜雲科技全球基礎設施中獲得的威脅情報,快速識別風險,並自動應用由亞馬遜雲科技管理的規則,攔截隱蔽的命令與控制通道、惡意網址以及其他攻擊行為。
Amazon GuardDuty引入增強功能Extended Threat Detection,可以保護運行在Amazon Elastic Kubernetes Service(Amazon EKS)上的容器化應用。Amazon GuardDuty能夠關聯客戶系統中的各種安全信號,能夠檢測出那些可能被忽視的複雜攻擊模式。
通過對Amazon EKS審計日誌、運行時行為以及亞馬遜雲科技環境中的活動進行持續監控,Amazon GuardDuty可以識別出複雜的多階段攻擊。在90天內,在美國數百萬個受監控賬戶中識別出超過13000條高置信度攻擊序列。
全新升級的Amazon Security Hub目前已提供預覽版本。Amazon Security Hub幫助客戶識別最關鍵的安全問題,並快速響應以降低風險。能夠將不同類型的安全警報與漏洞資訊進行關聯分析,使安全團隊能夠快速發現其雲系統中的活躍威脅,並確定處理的優先級。通過將所有資訊集中到一個平台,Amazon Security Hub不僅為企業提供了更清晰的整體安全態勢,還省去了從多個安全工具手動收集資訊的繁瑣工作。
遷移與現代化
亞馬遜雲科技還對AWS MSSP Specialization進行增強,更新了亞馬遜雲科技安全服務提供商(MSSP)的分類,包含經過驗證的多雲轉換解決方案,這些方案可與亞馬遜雲科技ISV工具協同工作。
同時亞馬遜雲科技的合作夥伴們正在利用生成式AI重塑安全行業。例如,Terra開發的生成式AI平台,能夠實現持續、半自動的滲透測試。不僅能將攻擊面覆蓋範圍擴大一倍,還能顯著提升準確率,並將測試時長縮短 50% 以上;Twine開發的「數字員工」,專門用於身份認證流程,可將人工處理身份與訪問管理任務的工作量減少70%。
這只是未來眾多可能性的一小部分,亞馬遜雲科技還專門設立了數據安全專項計劃,眾多合作夥伴都將隨時準備保護客戶的AI環境,應對不斷湧現的AI安全威脅。
案件處置提速 40%,日誌分析快 50 倍,生成式AI正重塑安全運營
生成式AI已經成為安全變革里的主角。隨著代碼補全、開發輔助等AI能力的加持,軟體開發速度被大幅提升,安全防護也面臨新的挑戰。不過,AI本身也成了安全的新武器,幫亞馬遜雲科技「從一堆針里找到那根關鍵的針」。
通過將生成式AI集成至案件管理系統,亞馬遜雲科技將中等複雜度問題的平均處理時間縮短了超過40%,同時顯著提升了安全文檔的深度與一致性。基於AI驅動的結構化分診系統,現已能夠自動解答每個安全事件中超過50個關鍵問題,並智能生成後續探討項,使文檔記錄更高效、全面,同時助力統一事件優先級劃分與響應策略,提升整體處置節奏和一致性。
與此同時,為防止過度依賴AI輔助,亞馬遜雲科技開發了「偏移檢測系統」,能夠實時分析當前問題,並在響應措施或文檔存在缺失時主動提示改進。
新推出的AI驅動日誌分析系統實現了多個來源日誌的自動處理,將原本完全依賴人工、耗時數小時的流程,壓縮至數分鐘內完成初步分析。系統採用實體驅動方法,自動提取和分析相關日誌,識別可疑模式,繪製通信路徑,為安全工程師提供清晰、可追溯的調查起點。系統讓日誌分析能力提升達50倍,極大提升了響應效率與威脅溯源能力。
Amy Herzog談到,隨著攻擊與防禦技術同時進化,亞馬遜雲科技也迎來了巨大的機會與責任:我們必須確保正在開發生成式AI與Agent解決方案的客戶,具備所需的防護機制、工具與配置,以安全的方式實現創新。
這就是Amy Herzog今年希望通過re:Inforce推動的重點之一。
總結而言,安全的使命並不是拖慢創新,而是要讓大家一起加速前行。
