亚马逊云科技：致力于为客户构建可信赖的云环境（二）

本文字数: 1400, 阅读完需: 7 分钟

导读

在这个演讲中,讲者介绍了亚马逊云科技的Amazon Inspector服务,用于持续监控实例、容器和存储的软件漏洞(CVE)。该服务根据内部环境、CVE评分和外部暴露情况,对漏洞风险进行评估和优先级排序。此外,Inspector还提供了软件材料清单、CI/CD集成、Lambda函数扫描等新功能,利用人工智能技术帮助发现和修复漏洞。演讲重点介绍了Inspector如何实现安全漏洞检测的前移,在构建阶段就对代码和容器进行扫描,防止有漏洞的容器发布到生产环境。

演讲精华

以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。

在这段视频中,讲者首先介绍了亚马逊云科技(AWS提供的Amazon Inspector服务。该服务的主要功能是持续对亚马逊云科技客户的实例、容器和存储等资源进行软件漏洞(CVE)监控。除了监控CVE,Inspector还会监控客户环境中资源的网络暴露情况,以帮助更好地判断漏洞修复的优先级。

具体来说,Inspector会根据客户账号环境中各实例或服务的可访问性、环境评分、基础CVE评分以及外部暴露结果,为客户的相关管理团队打分,评估风险级别。这有助于客户判断哪些漏洞属于高危漏洞,需要优先处理。

除了基础的漏洞监控功能外,Inspector还推出了一些新功能。去年,亚马逊云科技发布了软件材料清单(Software Bill of Materials)功能,可以帮助客户在跨账号环境中扫描识别所使用的软件或软件包,从而发现潜在的影子IT或影子软件风险。

另一个强大的新功能是CICD插件。该插件允许客户在软件构建的CICD阶段就进行扫描,而不是等到发布到生产环境后才扫描。这样可以尽早发现问题,避免有漏洞的软件上线。除了扫描标准软件包外,CICD插件还会扫描自定义的Lambda函数代码。

对于Lambda函数的扫描,亚马逊云科技融入了人工智能和自动推理的能力。Inspector不仅可以发现Lambda函数中的漏洞,还会基于漏洞上下文,提供代码修复的相关建议。这些建议一方面来自AI自动推理,另一方面也基于亚马逊云科技的安全最佳实践。

除了对EC2实例、Lambda函数的扫描,Inspector还支持对ECR容器镜像等亚马逊云科技资源的安全扫描。这些都是Inspector新增的安全扫描能力。

接下来,讲者介绍了Amazon Security Hub。Security Hub是一个基于配置的基线检测平台,可以基于亚马逊云科技自身的安全最佳实践基准,以及行业通用标准如PCI DSS、NIST等进行合规检测。所有这些基准的更新都是自动化的,客户无需手动更新。Security Hub可以从亚马逊云科技的多个安全服务中获取相关数据,如GuardDuty、服务日志等,也可以从第三方获取数据进行集成。

Security Hub平台本身还自带配置补救措施的功能,可以通过定制CloudWatch、Step Function等亚马逊云科技服务,自动或手动修复发现的合规问题。客户可以基于亚马逊云科技提供的最佳实践,或自定义操作,或合作伙伴提供的规范,来实施补救措施。

一个非常有用的功能是,Security Hub支持跨账号、跨OU、跨区域集中启动和配置规则。客户只需在一个管理账号中配置安全策略,就可以发布到整个组织的所有账号,极大降低了安全运营成本。

除了作为基线检测平台,Security Hub还是一个云安全态势监测平台。客户可以自定义安全态势的监控内容,并将监测结果汇总到Security Hub上。

讲者还介绍了Amazon Detective服务,这是一项帮助安全分析师进行可视化分析的服务。Detective可以将客户账号中的各种遥测数据和基本分析数据可视化呈现,帮助分析师快速分析安全事件的全过程。因为黑客实现攻击目标通常需要多个行为,分散在不同时间点、不同资源上,这种可视化关联有助于全面还原事件链,避免遗漏任何线索。

最后,讲者介绍了亚马逊云科技的一项新服务Security Lake。Security Lake旨在帮助客户将账号内外的各种安全相关数据汇总到一个中央存储中,包括来自亚马逊云科技服务的日志数据、来自第三方合作伙伴的安全数据等。所有这些数据在Security Lake中都会按照OCSF(Open Cybersecurity Schema Framework)标准进行标准化。

通过Security Lake,客户可以实现全局启动数据源的收集,并对安全数据进行全生命周期管理,包括热/冷数据存储等。基于Amazon Lake Formation,Security Lake还支持数据权限控制。另外,Security Lake内置了ETL(Extract,Transform,Load)编排功能,可以帮助客户快速对安全数据进行分析和处理。

由于Security Lake遵循OCSF标准,因此可以与众多第三方数据源进行合作。亚马逊云科技自身的服务数据,如VPC流日志、DNS查询日志等,在汇总到Security Lake后也会转换为OCSF标准,有助于与其他云厂商的数据源进行集成和分析。

Security Lake支持使用多种查询分析工具,如Amazon OpenSearch、Amazon Athena等,直接对数据进行查询分析。同时也支持合作伙伴的数据分析工具与Security Lake集成。

总的来说,亚马逊云科技在安全事件监测和响应领域提供了一整套创新的服务和解决方案,覆盖了漏洞监控、合规检测、安全分析、数据管理等多个环节。这些服务不仅具有强大的安全能力,而且与亚马逊云科技其他服务无缝集成,可以最大限度降低客户的安全运营成本,帮助客户应对全球合规挑战。亚马逊云科技站在客户视角出发,致力于为客户提供统一的安全数据平台,实现上下联动,提高安全运营效率。

下面是一些演讲现场的精彩瞬间：

演讲解释了漏洞管理的重要性,特别是软件漏洞(CVE)对于网络安全行业的影响。

亚马逊云科技通过Amazon Inspector服务持续监控容器和存储的漏洞,确保安全性。

根据账号环境、服务可访问性、环境评分、CVE分数和外部暴露情况,为管理团队评估风险级别,帮助确定需优先修复的高危漏洞。

演讲者介绍了Inspector的新功能之一——软件物料清单,它可以帮助跨账号扫描并识别潜在的影子IT或影子软件。

借助人工智能能力,Amazon Inspector可以在CI/CD构建阶段扫描代码、Lambda函数和容器镜像,并提供漏洞上下文和修复建议。

借助Inspector工具,亚马逊云科技在持续集成和持续交付(CI/CD)阶段实现了安全漏洞检测的左移,并对容器进行评估,确保有问题的容器不会发布到容器注册表中。

总结

亚马逊云科技致力于通过创新的安全事件监测和响应解决方案,帮助客户有效管理和缓解软件漏洞风险。Amazon Inspector 是一项关键服务,它持续监控实例、容器和存储系统中的漏洞,并根据内部环境、外部暴露情况和 CVE 评分,为管理团队提供风险评估和优先级建议。

此外,Inspector 还推出了多项新功能,包括软件物料清单扫描、CICD 集成插件、Lambda 函数扫描以及容器和镜像安全扫描。其中,CICD 插件允许在软件构建阶段就进行安全扫描,实现安全检测提前;Lambda 扫描则融合了人工智能能力,可提供漏洞上下文和补丁建议。这些创新功能旨在帮助客户提前发现并修复安全漏洞,确保应用程序和基础设施的安全性。

亚马逊云科技将持续投资安全创新,为客户提供全方位的安全解决方案,助力他们构建安全可靠的云环境。