文章分享自亞馬遜云科技 Community Builder：李少奕

2023年6月14日，一年一度的亞馬遜云科技 re:Inforce 全球大會(huì)在美國(guó)安納海姆落下了帷幕。re:Inforce 是亞馬遜云科技全球最大的盛會(huì)之一，匯集了來自全球各地的安全專家，共同學(xué)習(xí)、討論云安全創(chuàng)新技術(shù)，主要圍繞了六大話題：應(yīng)用安全、數(shù)據(jù)隱私保護(hù)、安全合規(guī)、身份驗(yàn)證與授權(quán)、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全與威脅檢測(cè)和事件響應(yīng)等話題。作為開發(fā)者社區(qū)代表，作者和亞馬遜云科技的安全產(chǎn)品團(tuán)隊(duì)一同參與了本次大會(huì)。

隨著國(guó)內(nèi)《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》等安全領(lǐng)域法律法規(guī)的出臺(tái)，安全與合規(guī)成為了企業(yè)業(yè)務(wù)發(fā)展進(jìn)程中的剛需。數(shù)據(jù)安全、數(shù)據(jù)治理都成為了企業(yè)在云上遷移、數(shù)字化轉(zhuǎn)型過程中要面對(duì)的挑戰(zhàn)。這次 re:Inforce 全球大會(huì)的舉辦以及大會(huì)中發(fā)布的創(chuàng)新安全服務(wù)，就為企業(yè)解決安全合規(guī)問題提供了更好的實(shí)踐方案。

“安全是我們的首要優(yōu)先級(jí)”

在今年6月的亞馬遜云科技 re:Inforce 全球大會(huì)上，亞馬遜云科技首席信息安全官? CJ Moses?強(qiáng)調(diào)“安全是我們的首要優(yōu)先級(jí)”，這表示出亞馬遜云科技對(duì)于云安全的重視程度。云安全已經(jīng)不再是簡(jiǎn)單的業(yè)務(wù)要求，更是成為了主動(dòng)、自發(fā)且持續(xù)的思維觀念，早已發(fā)展為業(yè)務(wù)的核心競(jìng)爭(zhēng)力之一。

“用云本身的安全保障云上用戶業(yè)務(wù)的安全”

CJ 首先介紹了亞馬遜云科技是如何利用安全技術(shù)創(chuàng)新，實(shí)現(xiàn)從底層芯片?Nitro System、虛擬化層 Nitro Hypervisor 到應(yīng)用層 DevSecOps 的深層全棧式安全保護(hù)，讓云上用戶的服務(wù)安全“無(wú)懈可擊”。

同時(shí)，他介紹了亞馬遜云科技如何幫助用戶將安全左移，協(xié)助用戶將安全保護(hù)在程序設(shè)計(jì)階段就考慮其中，并貫穿開發(fā)、構(gòu)建、測(cè)試、發(fā)布整個(gè)開發(fā)生命周期，讓開發(fā)者實(shí)時(shí)發(fā)現(xiàn)并修復(fù)程序中的漏洞、威脅以及弱點(diǎn)，增強(qiáng)代碼安全、減小安全攻擊面，實(shí)現(xiàn)云上的 DevSecOps。代表性服務(wù)有在 IDE 中實(shí)時(shí)掃描代碼，檢測(cè)漏洞并給出修復(fù)建議的開發(fā)插件 Amazon CodeWhisperer 和集成在整個(gè)開發(fā)生命周期的代碼審查工具 Amazon CodeGuru Secuirty。

• Nitro System
  

  https://aws.amazon.com/cn/ec2/nitro/

• Amazon CodeWhisperer

  https://aws.amazon.com/cn/codewhisperer

• Amazon CodeGuru Secuirty

  https://https://aws.amazon.com/cn/codeguru

“利用AI賦能云安全，進(jìn)而賦能開發(fā)者”

談到云安全，當(dāng)然不能少了最近大熱的 AI/ML。這次亞馬遜云科技 re:Inforce 全球大會(huì)里，CJ 也介紹了在大語(yǔ)言模型時(shí)代下，由于黑客可以利用生成式 AI 編寫惡意代碼，會(huì)讓安全攻擊/威脅的成本和門檻變得更低。亞馬遜云科技正積極地從白帽角度將 AI/ML 的創(chuàng)新技術(shù)融入其云安全服務(wù)中，以應(yīng)對(duì)頻繁出現(xiàn)的威脅活動(dòng)。

用戶可以利用安全服務(wù)中的 AI/ML 技術(shù)實(shí)現(xiàn)云上安全防護(hù)，如亞馬遜云科技4月發(fā)布的大語(yǔ)言模型 Amazon Bedrock 來開發(fā)自己的安全威脅與惡意程序獵殺、安全事件分析模型，用于 Amazon Lambda 中代碼及其依賴包漏洞掃描的 Amazon Inspector Code scans for Lambda 以及集成到 IDE 以及 CI/CD 發(fā)布流程的靜態(tài)代碼工具 Amazon CodeGuru Security，在整個(gè)開發(fā)流程中進(jìn)行 SCA、SAST、DAST 代碼安全性測(cè)試。

• Amazon Bedrock
  

  https://aws.amazon.com/cn/bedrock/

• Amazon Inspector Code scans for Lambda

  https://aws.amazon.com/cn/inspector/

• Amazon CodeGuru Secuirty

  https://https://aws.amazon.com/cn/codeguru

亞馬遜云科技的安全技術(shù)創(chuàng)新服務(wù)

在今年6月的亞馬遜云科技 re:Inforce 全球大會(huì)上，也發(fā)布了能幫助開發(fā)者和企業(yè)構(gòu)建安全云上系統(tǒng)的熱門安全服務(wù)，提升安全在云上的可見性，保護(hù)云上的用戶數(shù)據(jù)安全。

安全基礎(chǔ)設(shè)施的搭建和維護(hù)管理過去曾一度成為企業(yè)安全阻力，如企業(yè)內(nèi)部的 SIEM 系統(tǒng)、身份驗(yàn)證與授權(quán)模塊等。并且，在當(dāng)今網(wǎng)絡(luò)威脅日益活躍、IT 架構(gòu)變得越來越龐大復(fù)雜的大背景下，云上的事件和系統(tǒng)訪問權(quán)限管理也變得更加有難度。這次發(fā)布的系列云服務(wù)，就能幫助企業(yè)大大減輕這部分負(fù)擔(dān)。

Amazon?Security?Lake

在5月末，Amazon Security Lake 服務(wù)正式上線。Security Lake 可以將用戶在亞馬遜云科技上、本地以及自定義源頭的安全相關(guān)數(shù)據(jù)集中到以 S3 為底座的數(shù)據(jù)湖中。用戶可以在組織賬戶下將跨賬戶和不同區(qū)域的數(shù)據(jù)集中統(tǒng)一管理，便于維護(hù)，讓用戶更全面地了解整個(gè)組織內(nèi)的安全數(shù)據(jù)，提升用戶云上的安全可見性。同時(shí)用戶可以將數(shù)據(jù)自定義地放在一個(gè)可用區(qū)或者多個(gè)區(qū)中以滿足數(shù)據(jù)監(jiān)管的要求。Security Lake 采用了 Open Cybersecurity Schema Framework (OCSF)?開源標(biāo)準(zhǔn)，該服務(wù)自動(dòng)地將來自亞馬遜云科技和多種第三方服務(wù)的安全數(shù)據(jù)轉(zhuǎn)化為 OCSF 統(tǒng)一標(biāo)準(zhǔn)格式，提升安全事件查詢和響應(yīng)的效率。

用戶可以將 Security Lake 與 OpenSearch 集成作為云上 SIEM 解決方案，也可以將其與 Athena 集成用于安全事件和威脅分析，或者將其與 Amazon SageMaker 集成利用自定義 ML/AI 模型做威脅和惡意軟件的檢測(cè)。

• Amazon Security Lake

  https://aws.amazon.com/cn/security-lake/

• Open Cybersecurity Schema Framework（OCSF）

  https://docs.aws.amazon.com/security-lake/latest/userguide/open-cybersecurity-schema-framework.html

• OpenSearch

  https://aws.amazon.com/cn/opensearch-service/?nc1=h_ls

• 零信任網(wǎng)絡(luò)

  https://www.amazonaws.cn/en/knowledge/what-is-zero-trust-network/

亞馬遜云科技高級(jí)首席工程師 Becky Weiss 也為大家介紹了如何利用亞馬遜云科技身份驗(yàn)證和網(wǎng)絡(luò)服務(wù)構(gòu)建企業(yè)零信任網(wǎng)絡(luò)。零信任模型是目前安全領(lǐng)域最熱門的話題之一，隨著網(wǎng)絡(luò)安全行業(yè)監(jiān)管要求的加強(qiáng)，以及網(wǎng)絡(luò)邊界逐漸模糊的大背景下，每次用戶的系統(tǒng)訪問都需要進(jìn)行持續(xù)的動(dòng)態(tài)驗(yàn)證和精細(xì)化授權(quán)，限制系統(tǒng)內(nèi)橫向移動(dòng)，更好地保護(hù)敏感信息和云上資產(chǎn)。她介紹了以下兩個(gè)云服務(wù)幫助用戶構(gòu)建零信任安全框架：

Amazon?Verified Access

這項(xiàng)服務(wù)可以在讓用戶在不使用 VPN 的情況下，將個(gè)人設(shè)備接入到企業(yè)網(wǎng)絡(luò)中，訪問企業(yè)內(nèi)網(wǎng)中的內(nèi)部服務(wù)。該服務(wù)基于用戶身份和設(shè)備狀況的等信息驗(yàn)證應(yīng)用程序請(qǐng)求，并為每個(gè)系統(tǒng)應(yīng)用定義細(xì)顆粒度訪問策略，大大簡(jiǎn)化企業(yè)零信任框架的搭建。

• Amazon Verified Access

  https://aws.amazon.com/cn/verified-access/

Amazon Verified Permission

這項(xiàng)服務(wù)將零信任的能力延展到了用戶自己開發(fā)的應(yīng)用程序里，用于開發(fā)人員授權(quán)用戶的資源訪問，在應(yīng)用開發(fā)階段就落地零信任。

• Amazon Verified Permission

  https://aws.amazon.com/cn/verified-permissions/

現(xiàn)場(chǎng)云安全開發(fā)者實(shí)驗(yàn)展區(qū)

今年6月的亞馬遜云科技 re:Inforce 全球大會(huì)，為開發(fā)者們準(zhǔn)備了多場(chǎng)安全動(dòng)手實(shí)驗(yàn)和項(xiàng)目展示環(huán)節(jié)：

1. 持續(xù)評(píng)估IAM用戶冗余權(quán)限實(shí)現(xiàn)云安全合規(guī)（IAM354: Refining IAM permissions like a pro）

本次實(shí)驗(yàn)是由 Professional Service Team 的 Senior Security Consultant: Bohan Li 主講，主要內(nèi)容為如何利用 IAM Access Analyzer、Lambda、EventBridge 等服務(wù)，通過 Python 腳本自動(dòng)化持續(xù)主動(dòng)檢測(cè) IAM 冗余權(quán)限（包括涉及服務(wù)和操作），實(shí)現(xiàn)云上的最小權(quán)限原則。最后產(chǎn)生權(quán)限審計(jì)報(bào)告，通過 SNS 服務(wù)發(fā)送至合規(guī)團(tuán)隊(duì)審計(jì)，實(shí)現(xiàn)云上安全可見性。

安全合規(guī)對(duì)于用戶的權(quán)限評(píng)估有著特殊的要求，如金融合規(guī) PCI-DSS 要求7.2.4就指出涉及到銀行卡敏感信息處理、存儲(chǔ)和傳輸業(yè)務(wù)的交易服務(wù)供應(yīng)商需要每半年去評(píng)估云上系統(tǒng)的用戶權(quán)限。首先是通過監(jiān)控用戶權(quán)限的最近訪問時(shí)間，刪除特定時(shí)間內(nèi)（通常是90天內(nèi)，詳見 PCI DSS 要求8.1.4）未使用的權(quán)限，保障用戶云上用戶權(quán)限滿足最小權(quán)限原則，防止過量授權(quán)導(dǎo)致云資源的未授權(quán)訪問。同時(shí)也需要監(jiān)控業(yè)務(wù)關(guān)鍵權(quán)限的使用情況，保證獲授權(quán)的人員只能被分配與其角色匹配的權(quán)限（PCI DSS 要求7.2.2），保證最小權(quán)限原則（PoLP），降低云上誤操作以及未授權(quán)非法行為帶來的危害。同時(shí)，整個(gè)流程需要體現(xiàn)云上安全的可見性，需要有權(quán)限審計(jì)報(bào)告提供給內(nèi)部合規(guī)團(tuán)隊(duì)做自我評(píng)估。

在亞馬遜云科技上，開發(fā)者可以通過下圖中的安全解決方案實(shí)現(xiàn)關(guān)于權(quán)限持續(xù)評(píng)估的需求。該解決方案主要由兩大部分組成，第一部分是通過 generate_service_last_accessed_details 和 get_service_last_accessed_details 兩個(gè) Boto3 API 獲取各項(xiàng)云服務(wù)的最后訪問信息，列出特定時(shí)間內(nèi)未使用的 IAM 權(quán)限并生成審計(jì)報(bào)告。第二部分是在用戶添加 IAM 權(quán)限或權(quán)限修改時(shí)，通過 EventBridge 做事件規(guī)則匹配觸發(fā) Lambda，Lambda 會(huì)提取 Event 事件中的權(quán)限信息獲取具體的策略文檔，并與事先定義的業(yè)務(wù)關(guān)鍵權(quán)限列表做匹配，如匹配命中則通過 SNS 向權(quán)限管理員發(fā)送報(bào)警。

開發(fā)者可以掃描如下二維碼在線參與該項(xiàng)實(shí)驗(yàn) WorkShop 自己進(jìn)行練習(xí)：

2. 利用亞馬遜云科技 IoT Device Defender 服務(wù)檢測(cè)并阻止設(shè)備入侵

這個(gè)實(shí)驗(yàn)是由澳洲亞馬遜云科技 Professional Service ?團(tuán)隊(duì)的 Cloud Architect: Xin Chen 和 Bin Liu 帶來的物聯(lián)網(wǎng)安全解決方案。參會(huì)的嘉賓們可以親自充當(dāng)“黑客”，嘗試?yán)眠h(yuǎn)程設(shè)備入侵模擬無(wú)人駕駛汽車的智能車，并了解亞馬遜云科技是如何利用人工智能幫助用戶實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備多層安全防護(hù)，打造安全物聯(lián)網(wǎng)平臺(tái)。

在這個(gè)物聯(lián)網(wǎng)安全解決方案中，物聯(lián)網(wǎng)設(shè)備為兩個(gè)配備了樹莓派的4輪驅(qū)動(dòng)智能車,用其來模擬無(wú)人駕駛汽車，并通過亞馬遜云科技 IoT Core 服務(wù)將它們注冊(cè)至云端，建立安全的 MQTT 數(shù)據(jù)鏈接。這兩輛智能車被設(shè)置在在一個(gè)圓形預(yù)定義的軌道上運(yùn)行。同時(shí)該方案利用了亞馬遜云科技?IoT Device Management 服務(wù)遠(yuǎn)程管理并保持卡車系統(tǒng)的更新，作為預(yù)防控制的一部分。參與展示的嘉賓將扮演一個(gè)“黑客”，通過遠(yuǎn)程控制器接管其中一輛卡車實(shí)施侵入。這個(gè)方案利用 IoT Device Defender 服務(wù)持續(xù)收集并監(jiān)控來自設(shè)備的安全數(shù)據(jù)，用戶可以自定義 Security Profile 來選擇監(jiān)控物聯(lián)網(wǎng)設(shè)備的指標(biāo)，并利用該服務(wù)原生的機(jī)器學(xué)習(xí)技術(shù)實(shí)時(shí)監(jiān)測(cè)重要指標(biāo)的異常去數(shù)據(jù)判斷是否有黑客入侵。若檢測(cè)到設(shè)備入侵，該服務(wù)將安全發(fā)現(xiàn)導(dǎo)入到亞馬遜云科技 Security Hub 的展示系統(tǒng)安全狀態(tài)同時(shí)，會(huì)觸發(fā) SES 郵件通知向管理員警報(bào)，最后通過 SNS 消息觸發(fā) Lambda 腳本，創(chuàng)建 IoT Device Management 服務(wù)中的任務(wù)遠(yuǎn)程自動(dòng)修補(bǔ)漏洞和重新控制被攻陷的卡車，以此實(shí)現(xiàn)快速自動(dòng)化事故檢測(cè)與響應(yīng)，實(shí)現(xiàn)用戶業(yè)務(wù)的連續(xù)性。

• IoT Core
  

  https://aws.amazon.com/cn/iot-core/

• IoT Device Management

• https://aws.amazon.com/cn/iot-device-management/

• IoT Device Defender

  https://aws.amazon.com/cn/iot-device-defender/

• 亞馬遜云科技 Security Hub

  https://aws.amazon.com/cn/security-hub/

亞馬遜云科技 re:Inforce 2023中國(guó)站將于明天（8月31日）在北京嘉里大酒店舉行，主題將圍繞“AI 時(shí)代 全面智能的安全”。開發(fā)者將從上方亞馬遜云科技 re:Inforce 全球大會(huì)的精彩復(fù)盤中，提前了解到本次 re:Inforce 2023中國(guó)站的主要內(nèi)容，讓現(xiàn)場(chǎng)參與的效果更好。

點(diǎn)擊圖片報(bào)名亞馬遜云科技 re:lnforce 2023中國(guó)站

本次亞馬遜云科技 re:Inforce 2023中國(guó)站也對(duì)國(guó)內(nèi)企業(yè)落地本地化云安全方案、AI/LLM 模型以及數(shù)據(jù)的保護(hù)和合規(guī)方案、利用 AI 構(gòu)建企業(yè)智能云安全服務(wù)有著極大的價(jià)值。

歡迎有意向參加本次 re:Inforce 2023中國(guó)站的開發(fā)者和企業(yè)代表，點(diǎn)擊上方圖片報(bào)名活動(dòng)，了解更多符合中國(guó)客戶需求的云安全內(nèi)容，包括：出海企業(yè)合規(guī)、AI 數(shù)據(jù)合規(guī)挑戰(zhàn)、在 AI+ 的浪潮下如何構(gòu)建企業(yè)智能化安全服務(wù)、如何全鏈路構(gòu)建端到端安全方案等。

除了有大咖嘉賓將為您帶來 AI 相關(guān)安全的新洞察、新見解與新思路外，更有面向開發(fā)人員的專屬體驗(yàn) —— Security Jam 大賽等你來戰(zhàn)！

Security Jam 大賽

這是一項(xiàng)游戲化、有趣的互動(dòng)式實(shí)踐活動(dòng)，是一種沉浸式體驗(yàn)式學(xué)習(xí)產(chǎn)品，可幫助學(xué)習(xí)者通過模擬真實(shí)世界的用例培養(yǎng)在云上構(gòu)建的技能。學(xué)習(xí)者組成團(tuán)隊(duì)并進(jìn)行友好競(jìng)爭(zhēng)，通過解決一系列安全挑戰(zhàn)在排行榜上名列前茅。學(xué)習(xí)者可以在基于實(shí)驗(yàn)室的云基礎(chǔ)設(shè)施中親自參與一系列安全挑戰(zhàn)。

溫馨提示：

限額免費(fèi)，報(bào)名從速。因?yàn)橛袆?dòng)手實(shí)驗(yàn)環(huán)節(jié)，請(qǐng)您自帶電腦。

歡迎大家積極參與，明天見！

本篇作者

李少奕

亞馬遜云科技安全與合規(guī)Community Builder，亞馬遜云科技培訓(xùn)與認(rèn)證“云領(lǐng)袖”合作作者，擁有豐富PCI-DSS等金融合規(guī)經(jīng)驗(yàn)，主要負(fù)責(zé)基于亞馬遜云科技的云平臺(tái)合規(guī)、本地合規(guī)、企業(yè)出海本地化安全合規(guī)等領(lǐng)域。

聽說，點(diǎn)完下面4個(gè)按鈕

就不會(huì)碰到bug了！