1月3日消息,“安全性必须是构建业务的根基!”毫无意外,这句话再次在2024年亚马逊云科技的re:Invent大会上响起。
亚马逊云科技CEO Matt Garman在其主题演讲中又一次郑重强调安全性的重要性:“万事皆以安全性为起始。在亚马逊云科技,安全性是众多客户放心将云工作负载托付给我们的原因之一。它是所有服务构建所依托的核心基础层。”
今年re:Invent大会上,亚马逊云科技也推出了多项安全领域的重磅新功能和新服务。作为云计算行业的风向标,这些也许就是AI时代云安全领域的新趋势,值得关注。
整体来看,这次亚马逊云科技在安全方面的更新体现为“自动化、智能化和简化”三大关键词。
自动化
近几年,信息安全事件越来越频繁而复杂。企业安全团队往往要面对大量的日常警报,手动调查需要耗费大量资源,还可能忽视重要的安全警报。
此次,亚马逊云科技新发布了Amazon Security Incident Response安全事件响应服务,该服务就是旨在更好地支持客户,并减少客户在处理安全事件时面临的繁重工作。
具体而言,Amazon Security Incident Response安全事件响应服务通过三个核心功能帮助客户有效准备、响应和恢复安全事件造成的影响:
第一是自动化筛选和调查:Amazon Security Incident Response通过Amazon Security Hub自动筛选来自Amazon GuardDuty和第三方工具的安全发现,识别需要立即关注的高优先级事件。通过自动化和客户特定信息过滤和抑制安全发现,帮助团队专注于关键安全警报。
第二是简化事件响应:Amazon Security Incident Response提供预配置的通知规则和权限设置,可以扩展到内部和外部利益相关者,包括第三方安全服务商。客户可以访问集成的控制台,使用消息、数据传输和视频会议等功能,所有这些都可以通过服务API或亚马逊云科技管理控制台访问。同时,自动化的案例历史追踪和报告功能也简化了响应过程。
第三是自助调查和全天候支持:通过Amazon Security Incident Response,客户可以访问自助调查工具,并享受亚马逊云科技客户事件响应团队(CIRT)专家的全天候支持。客户还可以选择独立处理事件或与第三方安全供应商合作,按需求进行事件响应。
整体而言,Amazon Security Incident Response安全事件响应服务与现有检测服务集成,可快速审查安全警报、升级高优先级发现并在企业客户许可的情况下实施遏制措施。这种自动化能力,减少安全团队需要分析的警报数量,节省时间并使安全人员能够专注于更重要的安全战略。
智能化
如前面所提到的Amazon Security Incident Response的安全“自动化”能力,其核心功能之一是“通过Amazon Security Hub自动筛选来自Amazon GuardDuty和第三方工具的安全发现”。那么,作为自动化能力的内核之一,Amazon GuardDuty在今年的亚马逊云科技的re:Invent大会有了更多智能化更新,以支持安全“自动化”的实现。
Amazon GuardDuty新增了扩展威胁检测功能,通过AI/ML识别云中的活动攻击序列,同时,Amazon GuardDuty首次使用了“关键严重性(critical severity)”级别来命名这些攻击序列发现。
Amazon GuardDuty新增了扩展威胁检测功能,通过AI/ML识别云中的活动攻击序列,Amazon GuardDuty首次使用了“关键严重性(critical severity)”级别来命名这些攻击序列发现。
通过 AI/ML 技术,Amazon GuardDuty已扩展其威胁检测功能,能够识别已知和未知的攻击序列,能识别和关联多个攻击步骤,如特权发现、API操控、持久性活动、数据外泄等,形成攻击序列发现。同时,Amazon GuardDuty通过AI/ML能检测多个阶段的攻击行为,并为这些行为赋予“关键严重性”,帮助用户迅速识别并响应真实威胁。
新增的威胁检查还包括,新增的数据泄露,如Amazon S3桶的潜在数据泄露和被盗凭证类型的发现,帮助用户早期识别攻击的初始阶段;高风险API调用(如删除Amazon CloudTrail跟踪日志)被标记为异常,进一步增强事件的可见性和响应效率。
在威胁响应和处理方面,Amazon GuardDuty新功能提供了详细的威胁背景信息,包括攻击者的身份、活动的具体细节和关键资源的受影响情况。这些信息使得企业安全团队能够更迅速地采取响应措施。同时,通过MITRE ATT&CK这个开放的网络安全信息知识库的战术和技术的详细映射,安全团队可以更好地理解攻击路径,快速采取相应的防御措施。同时,Amazon GuardDuty也提供基于亚马逊云科技最佳实践的修复建议,帮助用户高效应对威胁。
目前,Amazon GuardDuty扩展威胁检测功能默认启用,无需额外配置或费用,该功能适用于所有支持Amazon GuardDuty的商业亚马逊云科技区域,增强了企业全球范围内的云安全保护能力。
值得注意的是,除了Amazon GuardDuty的智能化能力升级外,亚马逊云科技在提升安全性和稳定性方面的一项重要能力——“自动推理”这次也有重要更新。
事实上,在过去十多年间,在亚马逊云科技内部越来越多的应用自动推理技术来证明云基础设施和服务的正确性,自动推理被用于增强安全性和可靠性,以及最小化设计缺陷。
这一次,Amazon Bedrock新增Automated Reasoning checks自动化推理检查功能,这项新功能是首个也是唯一的生成式AI保护措施,可通过逻辑准确且可验证的推理来帮助防止因模型幻觉而导致的事实性错误。通过提高客户对模型响应的信任,自动化推理检查功能为生成式AI开辟了对准确性要求极高的新应用场景。
简化
最后,在“简化”设计进一步降低客户实现安全方面,这一次亚马逊云科技也有非常亮眼的三项新更新。
其一,是Amazon Security Lake安全数据湖与Amazon OpenSearch Service实现Zero-ETL集成。
Zero ETL,即零数据提取(Extract)、转换清洗(Transform)和加载(Load),是一种云原生的数据处理方式,它不需要进行复杂的数据转换和清洗,可以直接在云上一站式的进行数据分析和处理。
现在,与Amazon Security Lake的Zero-ETL集成,使用户能够直接通过Amazon OpenSearch在原地查询和分析安全数据,这意味者企业安全团队可以高效地探索以往因成本过高而无法分析的大规模数据源,通过全面了解安全态势,简化安全调查。这是一种新的方式,企业安全团队能够直接在Amazon Security Lake中查询和分析日志,减少数据重复存储的需求,并降低管理自定义数据管道的操作开销。
其二,是Amazon Verified Access现在支持通过非HTTPS协议对资源进行安全访问,无需通过VPN也能基于身份和设备安全来管理网络访问,这成为通过零信任架构简化安全操作的一个实例。
传统的VPN解决方案虽然能够提供网络访问,但通常授予过广的权限,且不支持细粒度的访问控制,可能会暴露敏感数据基础设施。使用堡垒主机来中介访问会增加复杂性和策略不一致问题。
现在,Amazon Verified Access的新功能基于亚马逊云科技零信任原则设计,允许企业组织基于身份和设备安全来管理网络访问,而不依赖于IP地址。无需单独使用VPN或堡垒主机,Amazon Verified Access通过统一管理访问策略简化了安全操作。此外,通过指定IPCIDR和端口,Amazon Verified Access自动创建DNS记录并简化资源管理,用户可即时连接到新资源,免去手动配置DNS的麻烦。
其三,对安全的简化还体现在新一代的Amazon SageMaker中。
新一代Amazon SageMaker让整个企业内数据和AI的发现、治理和协作都得到了简化,能够更好地满足安全需求。管理员可以轻松地定义和实施跨模型、工具和数据源的权限,而定制的安全措施有助于确保AI应用程序的安全性和合规性。
企业客户还可以通过Amazon SageMaker中的数据分类、毒舌检测(toxicity detection)、防护栏(guardrails)和负责任的AI策略来保护其AI模型。亚马逊云科技在Amazon Bedrock Guardrails中新增加了多模态毒舌检测功能,该功能将有害内容的检测扩展到图像等非结构化数据,有助于企业构建安全、多模态的生成式AI应用程序。
Gartner在未来五年最新全球信息安全市场预测分析中指出,到 2028 年,22%的网络攻击和数据泄露将涉及生成式AI。面对生成式AI的迅猛发展,如何更有效保障企业信息安全,这些亚马逊云科技通过自身实践发展出的“自动化、智能化和简化”安全管理方法值得关注和借鉴。