2023年6月14日,一年一度的亚马逊云科技第五届re:Inforce全球云安全大会在美国安纳海姆落下了帷幕。re:Inforce是亚马逊云科技全球最大的盛会之一,汇集了来自全球各地的安全专家,共同学习、讨论云安全创新技术,主要围绕了六大话题--应用安全、数据隐私保护、安全合规、身份验证与授权、网络和基础设施安全与威胁检测和事件响应等话题。小李哥作为开发者社区代表和亚马逊云科技的安全产品团队一同参与了本次大会。
随着国内《个人信息保护法》、《数据安全法》、《网络安全法》等安全领域法律法规的出台,安全与合规成为了企业业务发展进程中的刚需。数据安全、数据治理都成为了企业在云上迁移、数字化转型过程中要面对的挑战。这次re:Inforce大会的举办以及大会中发布的创新安全服务就为企业解决安全合规问题提供了最佳实践方案。
在今年8月31日,亚马逊云科技中国 re:Inforce云安全大会将在北京嘉里大酒店举行,主题将围绕“如何用AI赋能智能云安全“。小李哥希望开发者们能从全球云安全大会的精彩复盘中,提前了解到本次中国云安全大会的主要内容,让现场参与的效果更好。
本次大会也对国内企业落地本地化云安全方案、AI/LLM模型以及数据的保护和合规方案、利用AI构建企业智能云安全服务有着极大的价值,欢迎有意向参加本次中国云安全大会的开发者和企业代表扫描下方二维码报名活动:
“安全是我们的首要优先级”
在大会主题演讲中,亚马逊云科技的首席信息安全官: CJ Moses强调“安全是我们的首要优先级”,这表示出亚马逊云科技对于云安全的重视程度。云安全已经不再是简单的业务要求,更是成为了主动、自发且持续的思维观念,早已发展为业务的核心竞争力之一。
“用云本身的安全保障云上用户业务的安全”
CI首先介绍了亚马逊云科技是如何利用安全技术创新,实现从底层芯片Nitro System、虚拟化层Nitro Hypervisor到应用层DevSecOps的深层全栈式安全保护,让云上用户的服务安全“无懈可击”。同时他介绍了亚马逊云科技如何帮助用户将安全左移,协助用户将安全保护在程序设计阶段就考虑其中,并贯穿开发、构建、测试、发布整个开发生命周期,让开发者实时发现并修复程序中的漏洞、威胁以及弱点,增强代码安全、减小安全攻击面,实现云上的DevSecOps。代表性服务有在IDE中实时扫描代码,检测漏洞并给出修复建议的开发插件Amazon CodeWhisperer和集成在整个开发生命周期的代码审查工具Amazon CodeGuru Secuirty。
“利用AI赋能云安全,进而赋能开发者”
谈到云安全,当然不能少了最近大热AI/ML。这次大会里CJ也介绍了在大语言模型时代下,由于黑客可以利用生成式AI编写恶意代码,会让安全攻击/威胁的成本和门槛变得更低。亚马逊云科技正积极地从白帽角度将AI/ML的创新技术融入其云安全服务中,以应对频繁出现的威胁活动。用户可以利用安全服务中的AI/ML技术实现云上安全防护,如亚马逊云科技4月发布的大语言模型Amazon Bedrock来开发自己的安全威胁与恶意程序猎杀、安全事件分析模型,用于Lambda中代码及其依赖包漏洞扫描的Amazon Inspector Code scans for Lambda以及集成到IDE以及CI/CD发布流程的静态代码工具Amazon CodeGuru Security,在整个开发流程中进行SCA、SAST、DAST代码安全性测试。
亚马逊云科技的安全技术创新服务
本次全球安全大会上也发布了能帮助开发者和企业构建安全云上系统的热门安全服务,提升安全在云上的可见性,保护云上的用户数据安全。安全基础设施的搭建和维护管理过去曾一度成为企业安全阻力,如企业内部的SIEM系统、身份验证与授权模块等。并且在当今网络威胁日益活跃,IT架构变得越来越庞大复杂的大背景下,云上的事件和系统访问权限管理也变得更加有难度。这次发布的系列云服务就能帮助企业大大减轻了这部分负担。
在5月末,Amazon Security Lake服务正式上线。Security Lake可以将用户在亚马逊云科技上、本地以及自定义源头的安全相关数据集中到以S3为底座的数据湖中。用户可以在组织账户下将跨账户和不同区域的数据集中统一管理,便于维护,让用户更全面地了解整个组织内的安全数据,提升用户云上的安全可见性。同时用户可以将数据自定义地放在一个可用区或者多个区中以满足数据监管的要求。Security Lake 采用了 Open Cybersecurity Schema Framework(OCSF)开源标准,该服务自动地将来自亚马逊云科技和多种第三方服务的安全数据转化为OCSF统一标准格式,提升安全事件查询和响应的效率。
用户可以将Security Lake与OpenSearch集成作为云上SIEM解决方案,也可以将其与Athena集成用于安全事件和威胁分析,或者将其与SageMaker集成利用自定义ML/AI模型做威胁和恶意软件的检测。
亚马逊云科技高级首席工程师Becky Weiss也为大家介绍了如何利用亚马逊云科技身份验证和网络服务构建企业零信任网络。零信任模型是目前安全领域最热门的话题之一,随着网络安全行业监管要求的加强,以及网络边界逐渐模糊的大背景下,每次用户的系统访问都需要进行持续的动态验证和精细化授权,限制系统内横向移动,更好地保护敏感信息和云上资产。本次大会她介绍了以下两个云服务帮助用户构建零信任安全框架。
这项服务可以在让用户在不使用VPN的情况下新将个人设备接入到企业网络中,访问企业内网中的内部服务。该服务基于用户身份和设备状况的等信息验证应用程序请求,并为每个系统应用定义细颗粒度访问策略,大大简化企业零信任框架的搭建。
这项服务将零信任的能力延展到了用户自己开发的应用程序里,用于开发人员授权用户的资源访问,在应用开发阶段就落地零信任。
现场云安全开发者实验展区
在6月份的全球大会中,小李哥参与了多场安全动手实验和项目展示环节与大家分享,在此也欢迎开发者参与本周在北京的云安全大会亲身体验现场的动手实验以及Security Jam大赛:
1. 持续评估IAM用户冗余权限实现云安全合规(IAM354: Refining IAM permissions like a pro)
本次实验是由Professional Service Team的Senior Security Consultant: Bohan Li主讲,主要内容为如何利用IAM Access Analyzer、Lambda、EventBridge等服务,通过Python脚本自动化持续主动检测IAM冗余权限(包括涉及服务和操作),实现云上的最小权限原则。最后产生权限审计报告,通过SNS服务发送至合规团队审计,实现云上安全可见性。
安全合规对于用户的权限评估有着特殊的要求,如金融合规PCI-DSS 要求7.2.4就指出涉及到银行卡敏感信息处理、存储和传输业务的交易服务供应商需要每半年去评估云上系统的用户权限。首先是通过监控用户权限的最近访问时间,删除特定时间内(通常是90天内,详见PCI DSS 要求8.1.4)未使用的权限,保障用户云上用户权限满足最小权限原则,防止过量授权导致云资源的未授权访问。同时也需要监控业务关键权限的使用情况,保证获授权的人员只能被分配与其角色匹配的权限(PCI DSS 要求7.2.2),保证最小权限原则(PoLP),降低云上误操作以及未授权非法行为带来的危害。同时,整个流程需要体现云上安全的可见性,需要有权限审计报告提供给内部合规团队做自我评估。
在亚马逊云科技上,开发者可以通过下图中的安全解决方案实现关于权限持续评估的需求。该解决方案主要由两大部分组成,第一部分是通过generate_service_last_accessed_details和get_service_last_accessed_details两个Boto3 API获取各项云服务的最后访问信息,列出特定时间内未使用的IAM权限并生成审计报告。第二部分是在用户添加IAM权限或权限修改时,通过EventBridge做事件规则匹配触发Lambda,Lambda会提取Event事件中的权限信息获取具体的策略文档,并与事先定义的业务关键权限列表做匹配,如匹配命中则通过SNS向权限管理员发送报警。
2. 利用亚马逊云科技IoT Device Defender服务检测并阻止设备入侵
这个实验是由澳洲亚马逊云科技Professional Service 团队的Cloud Architect: Xin Chen和Bin Liu带来的物联网安全解决方案。参会的嘉宾们可以亲自充当黑客,尝试利用远程设备入侵模拟无人驾驶汽车的智能车,并了解亚马逊云科技是如何利用人工智能帮助用户实现物联网设备多层安全防护,打造安全物联网平台。
在这个物联网安全解决方案中,物联网设备为两个配备了树莓派的4轮驱动智能车,用其来模拟无人驾驶汽车,并通过亚马逊云科技IoT Core服务将它们注册至云端,建立安全的MQTT数据链接。这两辆智能车被设置在在一个圆形预定义的轨道上运行。同时该方案利用了亚马逊云科技 IoT Device Management服务远程管理并保持卡车系统的更新,作为预防控制的一部分。参与展示的嘉宾将扮演一个“黑客”,通过远程控制器接管其中一辆卡车实施侵入。这个方案利用IoT Device Defender服务持续收集并监控来自设备的安全数据,用户可以自定义Security Profile来选择监控物联网设备的指标,并利用该服务原生的机器学习技术实时监测重要指标的异常去数据判断是否有黑客入侵。若检测到设备入侵,该服务将安全发现导入到亚马逊云科技Security Hub的展示系统安全状态同时,会触发SES邮件通知向管理员警报,最后通过SNS消息触发Lambda脚本,创建IoT Device Management服务中的任务远程自动修补漏洞和重新控制被攻陷的卡车,以此实现快速自动化事故检测与响应,实现用户业务的连续性。
结束语:
今年8月北京的云安全大会,也欢迎开发者到现场参加了解更多符合中国客户需求的云安全内容。大会将围绕:出海企业合规、AI数据合规挑战、在AI+的浪潮下如何构建企业智能化安全服务、如何全链路构建端到端安全方案。欢迎大家扫码报名,8月31日我们北京再见!
17万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
