文章分享自亞馬遜云科技 Community Builder：李少奕

2023年6月14日，一年一度的亞馬遜云科技 re:Inforce 全球大會在美國安納海姆落下了帷幕。re:Inforce 是亞馬遜云科技全球最大的盛會之一，匯集了來自全球各地的安全專家，共同學習、討論云安全創(chuàng)新技術(shù)，主要圍繞了六大話題：應用安全、數(shù)據(jù)隱私保護、安全合規(guī)、身份驗證與授權(quán)、網(wǎng)絡和基礎設施安全與威脅檢測和事件響應等話題。作為開發(fā)者社區(qū)代表，作者和亞馬遜云科技的安全產(chǎn)品團隊一同參與了本次大會。

隨著國內(nèi)《個人信息保護法》、《數(shù)據(jù)安全法》、《網(wǎng)絡安全法》等安全領域法律法規(guī)的出臺，安全與合規(guī)成為了企業(yè)業(yè)務發(fā)展進程中的剛需。數(shù)據(jù)安全、數(shù)據(jù)治理都成為了企業(yè)在云上遷移、數(shù)字化轉(zhuǎn)型過程中要面對的挑戰(zhàn)。這次 re:Inforce 全球大會的舉辦以及大會中發(fā)布的創(chuàng)新安全服務，就為企業(yè)解決安全合規(guī)問題提供了更好的實踐方案。

“安全是我們的首要優(yōu)先級”

在今年6月的亞馬遜云科技 re:Inforce 全球大會上，亞馬遜云科技首席信息安全官? CJ Moses?強調(diào)“安全是我們的首要優(yōu)先級”，這表示出亞馬遜云科技對于云安全的重視程度。云安全已經(jīng)不再是簡單的業(yè)務要求，更是成為了主動、自發(fā)且持續(xù)的思維觀念，早已發(fā)展為業(yè)務的核心競爭力之一。

“用云本身的安全保障云上用戶業(yè)務的安全”

CJ 首先介紹了亞馬遜云科技是如何利用安全技術(shù)創(chuàng)新，實現(xiàn)從底層芯片?Nitro System、虛擬化層 Nitro Hypervisor 到應用層 DevSecOps 的深層全棧式安全保護，讓云上用戶的服務安全“無懈可擊”。

同時，他介紹了亞馬遜云科技如何幫助用戶將安全左移，協(xié)助用戶將安全保護在程序設計階段就考慮其中，并貫穿開發(fā)、構(gòu)建、測試、發(fā)布整個開發(fā)生命周期，讓開發(fā)者實時發(fā)現(xiàn)并修復程序中的漏洞、威脅以及弱點，增強代碼安全、減小安全攻擊面，實現(xiàn)云上的 DevSecOps。代表性服務有在 IDE 中實時掃描代碼，檢測漏洞并給出修復建議的開發(fā)插件 Amazon CodeWhisperer 和集成在整個開發(fā)生命周期的代碼審查工具 Amazon CodeGuru Secuirty。

• Nitro System
  

  https://aws.amazon.com/cn/ec2/nitro/

• Amazon CodeWhisperer

  https://aws.amazon.com/cn/codewhisperer

• Amazon CodeGuru Secuirty

  https://https://aws.amazon.com/cn/codeguru

“利用AI賦能云安全，進而賦能開發(fā)者”

談到云安全，當然不能少了最近大熱的 AI/ML。這次亞馬遜云科技 re:Inforce 全球大會里，CJ 也介紹了在大語言模型時代下，由于黑客可以利用生成式 AI 編寫惡意代碼，會讓安全攻擊/威脅的成本和門檻變得更低。亞馬遜云科技正積極地從白帽角度將 AI/ML 的創(chuàng)新技術(shù)融入其云安全服務中，以應對頻繁出現(xiàn)的威脅活動。

用戶可以利用安全服務中的 AI/ML 技術(shù)實現(xiàn)云上安全防護，如亞馬遜云科技4月發(fā)布的大語言模型 Amazon Bedrock 來開發(fā)自己的安全威脅與惡意程序獵殺、安全事件分析模型，用于 Amazon Lambda 中代碼及其依賴包漏洞掃描的 Amazon Inspector Code scans for Lambda 以及集成到 IDE 以及 CI/CD 發(fā)布流程的靜態(tài)代碼工具 Amazon CodeGuru Security，在整個開發(fā)流程中進行 SCA、SAST、DAST 代碼安全性測試。

• Amazon Bedrock
  

  https://aws.amazon.com/cn/bedrock/

• Amazon Inspector Code scans for Lambda

  https://aws.amazon.com/cn/inspector/

• Amazon CodeGuru Secuirty

  https://https://aws.amazon.com/cn/codeguru

亞馬遜云科技的安全技術(shù)創(chuàng)新服務

在今年6月的亞馬遜云科技 re:Inforce 全球大會上，也發(fā)布了能幫助開發(fā)者和企業(yè)構(gòu)建安全云上系統(tǒng)的熱門安全服務，提升安全在云上的可見性，保護云上的用戶數(shù)據(jù)安全。

安全基礎設施的搭建和維護管理過去曾一度成為企業(yè)安全阻力，如企業(yè)內(nèi)部的 SIEM 系統(tǒng)、身份驗證與授權(quán)模塊等。并且，在當今網(wǎng)絡威脅日益活躍、IT 架構(gòu)變得越來越龐大復雜的大背景下，云上的事件和系統(tǒng)訪問權(quán)限管理也變得更加有難度。這次發(fā)布的系列云服務，就能幫助企業(yè)大大減輕這部分負擔。

Amazon?Security?Lake

在5月末，Amazon Security Lake 服務正式上線。Security Lake 可以將用戶在亞馬遜云科技上、本地以及自定義源頭的安全相關數(shù)據(jù)集中到以 S3 為底座的數(shù)據(jù)湖中。用戶可以在組織賬戶下將跨賬戶和不同區(qū)域的數(shù)據(jù)集中統(tǒng)一管理，便于維護，讓用戶更全面地了解整個組織內(nèi)的安全數(shù)據(jù)，提升用戶云上的安全可見性。同時用戶可以將數(shù)據(jù)自定義地放在一個可用區(qū)或者多個區(qū)中以滿足數(shù)據(jù)監(jiān)管的要求。Security Lake 采用了 Open Cybersecurity Schema Framework (OCSF)?開源標準，該服務自動地將來自亞馬遜云科技和多種第三方服務的安全數(shù)據(jù)轉(zhuǎn)化為 OCSF 統(tǒng)一標準格式，提升安全事件查詢和響應的效率。

用戶可以將 Security Lake 與 OpenSearch 集成作為云上 SIEM 解決方案，也可以將其與 Athena 集成用于安全事件和威脅分析，或者將其與 Amazon SageMaker 集成利用自定義 ML/AI 模型做威脅和惡意軟件的檢測。

• Amazon Security Lake

  https://aws.amazon.com/cn/security-lake/

• Open Cybersecurity Schema Framework（OCSF）

  https://docs.aws.amazon.com/security-lake/latest/userguide/open-cybersecurity-schema-framework.html

• OpenSearch

  https://aws.amazon.com/cn/opensearch-service/?nc1=h_ls

• 零信任網(wǎng)絡

  https://www.amazonaws.cn/en/knowledge/what-is-zero-trust-network/

亞馬遜云科技高級首席工程師 Becky Weiss 也為大家介紹了如何利用亞馬遜云科技身份驗證和網(wǎng)絡服務構(gòu)建企業(yè)零信任網(wǎng)絡。零信任模型是目前安全領域最熱門的話題之一，隨著網(wǎng)絡安全行業(yè)監(jiān)管要求的加強，以及網(wǎng)絡邊界逐漸模糊的大背景下，每次用戶的系統(tǒng)訪問都需要進行持續(xù)的動態(tài)驗證和精細化授權(quán)，限制系統(tǒng)內(nèi)橫向移動，更好地保護敏感信息和云上資產(chǎn)。她介紹了以下兩個云服務幫助用戶構(gòu)建零信任安全框架：

Amazon?Verified Access

這項服務可以在讓用戶在不使用 VPN 的情況下，將個人設備接入到企業(yè)網(wǎng)絡中，訪問企業(yè)內(nèi)網(wǎng)中的內(nèi)部服務。該服務基于用戶身份和設備狀況的等信息驗證應用程序請求，并為每個系統(tǒng)應用定義細顆粒度訪問策略，大大簡化企業(yè)零信任框架的搭建。

• Amazon Verified Access

  https://aws.amazon.com/cn/verified-access/

Amazon Verified Permission

這項服務將零信任的能力延展到了用戶自己開發(fā)的應用程序里，用于開發(fā)人員授權(quán)用戶的資源訪問，在應用開發(fā)階段就落地零信任。

• Amazon Verified Permission

  https://aws.amazon.com/cn/verified-permissions/

現(xiàn)場云安全開發(fā)者實驗展區(qū)

今年6月的亞馬遜云科技 re:Inforce 全球大會，為開發(fā)者們準備了多場安全動手實驗和項目展示環(huán)節(jié)：

1. 持續(xù)評估IAM用戶冗余權(quán)限實現(xiàn)云安全合規(guī)（IAM354: Refining IAM permissions like a pro）

本次實驗是由 Professional Service Team 的 Senior Security Consultant: Bohan Li 主講，主要內(nèi)容為如何利用 IAM Access Analyzer、Lambda、EventBridge 等服務，通過 Python 腳本自動化持續(xù)主動檢測 IAM 冗余權(quán)限（包括涉及服務和操作），實現(xiàn)云上的最小權(quán)限原則。最后產(chǎn)生權(quán)限審計報告，通過 SNS 服務發(fā)送至合規(guī)團隊審計，實現(xiàn)云上安全可見性。

安全合規(guī)對于用戶的權(quán)限評估有著特殊的要求，如金融合規(guī) PCI-DSS 要求7.2.4就指出涉及到銀行卡敏感信息處理、存儲和傳輸業(yè)務的交易服務供應商需要每半年去評估云上系統(tǒng)的用戶權(quán)限。首先是通過監(jiān)控用戶權(quán)限的最近訪問時間，刪除特定時間內(nèi)（通常是90天內(nèi)，詳見 PCI DSS 要求8.1.4）未使用的權(quán)限，保障用戶云上用戶權(quán)限滿足最小權(quán)限原則，防止過量授權(quán)導致云資源的未授權(quán)訪問。同時也需要監(jiān)控業(yè)務關鍵權(quán)限的使用情況，保證獲授權(quán)的人員只能被分配與其角色匹配的權(quán)限（PCI DSS 要求7.2.2），保證最小權(quán)限原則（PoLP），降低云上誤操作以及未授權(quán)非法行為帶來的危害。同時，整個流程需要體現(xiàn)云上安全的可見性，需要有權(quán)限審計報告提供給內(nèi)部合規(guī)團隊做自我評估。

在亞馬遜云科技上，開發(fā)者可以通過下圖中的安全解決方案實現(xiàn)關于權(quán)限持續(xù)評估的需求。該解決方案主要由兩大部分組成，第一部分是通過 generate_service_last_accessed_details 和 get_service_last_accessed_details 兩個 Boto3 API 獲取各項云服務的最后訪問信息，列出特定時間內(nèi)未使用的 IAM 權(quán)限并生成審計報告。第二部分是在用戶添加 IAM 權(quán)限或權(quán)限修改時，通過 EventBridge 做事件規(guī)則匹配觸發(fā) Lambda，Lambda 會提取 Event 事件中的權(quán)限信息獲取具體的策略文檔，并與事先定義的業(yè)務關鍵權(quán)限列表做匹配，如匹配命中則通過 SNS 向權(quán)限管理員發(fā)送報警。

開發(fā)者可以掃描如下二維碼在線參與該項實驗 WorkShop 自己進行練習：

2. 利用亞馬遜云科技 IoT Device Defender 服務檢測并阻止設備入侵

這個實驗是由澳洲亞馬遜云科技 Professional Service ?團隊的 Cloud Architect: Xin Chen 和 Bin Liu 帶來的物聯(lián)網(wǎng)安全解決方案。參會的嘉賓們可以親自充當“黑客”，嘗試利用遠程設備入侵模擬無人駕駛汽車的智能車，并了解亞馬遜云科技是如何利用人工智能幫助用戶實現(xiàn)物聯(lián)網(wǎng)設備多層安全防護，打造安全物聯(lián)網(wǎng)平臺。

在這個物聯(lián)網(wǎng)安全解決方案中，物聯(lián)網(wǎng)設備為兩個配備了樹莓派的4輪驅(qū)動智能車,用其來模擬無人駕駛汽車，并通過亞馬遜云科技 IoT Core 服務將它們注冊至云端，建立安全的 MQTT 數(shù)據(jù)鏈接。這兩輛智能車被設置在在一個圓形預定義的軌道上運行。同時該方案利用了亞馬遜云科技?IoT Device Management 服務遠程管理并保持卡車系統(tǒng)的更新，作為預防控制的一部分。參與展示的嘉賓將扮演一個“黑客”，通過遠程控制器接管其中一輛卡車實施侵入。這個方案利用 IoT Device Defender 服務持續(xù)收集并監(jiān)控來自設備的安全數(shù)據(jù)，用戶可以自定義 Security Profile 來選擇監(jiān)控物聯(lián)網(wǎng)設備的指標，并利用該服務原生的機器學習技術(shù)實時監(jiān)測重要指標的異常去數(shù)據(jù)判斷是否有黑客入侵。若檢測到設備入侵，該服務將安全發(fā)現(xiàn)導入到亞馬遜云科技 Security Hub 的展示系統(tǒng)安全狀態(tài)同時，會觸發(fā) SES 郵件通知向管理員警報，最后通過 SNS 消息觸發(fā) Lambda 腳本，創(chuàng)建 IoT Device Management 服務中的任務遠程自動修補漏洞和重新控制被攻陷的卡車，以此實現(xiàn)快速自動化事故檢測與響應，實現(xiàn)用戶業(yè)務的連續(xù)性。

• IoT Core
  

  https://aws.amazon.com/cn/iot-core/

• IoT Device Management

• https://aws.amazon.com/cn/iot-device-management/

• IoT Device Defender

  https://aws.amazon.com/cn/iot-device-defender/

• 亞馬遜云科技 Security Hub

  https://aws.amazon.com/cn/security-hub/

亞馬遜云科技 re:Inforce 2023中國站將于明天（8月31日）在北京嘉里大酒店舉行，主題將圍繞“AI 時代 全面智能的安全”。開發(fā)者將從上方亞馬遜云科技 re:Inforce 全球大會的精彩復盤中，提前了解到本次 re:Inforce 2023中國站的主要內(nèi)容，讓現(xiàn)場參與的效果更好。

點擊圖片報名亞馬遜云科技 re:lnforce 2023中國站

本次亞馬遜云科技 re:Inforce 2023中國站也對國內(nèi)企業(yè)落地本地化云安全方案、AI/LLM 模型以及數(shù)據(jù)的保護和合規(guī)方案、利用 AI 構(gòu)建企業(yè)智能云安全服務有著極大的價值。

歡迎有意向參加本次 re:Inforce 2023中國站的開發(fā)者和企業(yè)代表，點擊上方圖片報名活動，了解更多符合中國客戶需求的云安全內(nèi)容，包括：出海企業(yè)合規(guī)、AI 數(shù)據(jù)合規(guī)挑戰(zhàn)、在 AI+ 的浪潮下如何構(gòu)建企業(yè)智能化安全服務、如何全鏈路構(gòu)建端到端安全方案等。

除了有大咖嘉賓將為您帶來 AI 相關安全的新洞察、新見解與新思路外，更有面向開發(fā)人員的專屬體驗 —— Security Jam 大賽等你來戰(zhàn)！

Security Jam 大賽

這是一項游戲化、有趣的互動式實踐活動，是一種沉浸式體驗式學習產(chǎn)品，可幫助學習者通過模擬真實世界的用例培養(yǎng)在云上構(gòu)建的技能。學習者組成團隊并進行友好競爭，通過解決一系列安全挑戰(zhàn)在排行榜上名列前茅。學習者可以在基于實驗室的云基礎設施中親自參與一系列安全挑戰(zhàn)。

溫馨提示：

限額免費，報名從速。因為有動手實驗環(huán)節(jié)，請您自帶電腦。

歡迎大家積極參與，明天見！

本篇作者

李少奕

亞馬遜云科技安全與合規(guī)Community Builder，亞馬遜云科技培訓與認證“云領袖”合作作者，擁有豐富PCI-DSS等金融合規(guī)經(jīng)驗，主要負責基于亞馬遜云科技的云平臺合規(guī)、本地合規(guī)、企業(yè)出海本地化安全合規(guī)等領域。

聽說，點完下面4個按鈕

就不會碰到bug了！