無(wú)論是來(lái)費(fèi)城的火車(chē)車(chē)廂里，還是費(fèi)城瑞汀車(chē)站市場(chǎng)的人群中，甚至費(fèi)城藝術(shù)博物館前的階梯上，隨處可見(jiàn)身披球衣、手舉圍巾的球迷。6月17日，2025年FIFA世俱杯的小組賽將在在費(fèi)城開(kāi)賽，巧合的是，同一天，AWS re:Inforce大會(huì)也在這里火熱舉行。

一場(chǎng)關(guān)于體育競(jìng)技與云安全的“雙賽場(chǎng)”，讓費(fèi)城這座城市熱鬧非凡。

在每一道關(guān)口設(shè)防，構(gòu)建安全“護(hù)城河”

最近剛剛出任亞馬遜云科技 CISO的Amy Herzog稱(chēng)自己是個(gè)新人，AWS re:Inforce也成為她的首次亮相。在加入亞馬遜云科技之前，她曾擔(dān)任亞馬遜設(shè)備與服務(wù)、媒體與娛樂(lè)以及廣告業(yè)務(wù)的CISO，負(fù)責(zé)監(jiān)督Alexa+和Ring等消費(fèi)技術(shù)產(chǎn)品的安全性，并在“Kuiper項(xiàng)目”的安全開(kāi)發(fā)中發(fā)揮了關(guān)鍵作用。

亞馬遜云科技 CISO Amy Herzog

Amy Herzog一上來(lái)就強(qiáng)調(diào)了她在亞馬遜所一直堅(jiān)持的觀(guān)點(diǎn)：所有一切始于安全。

“如果沒(méi)有堅(jiān)實(shí)的安全基礎(chǔ)，我們根本無(wú)法真正保障AI或其他任何技術(shù)的安全。”Amy Herzog對(duì)這一點(diǎn)深信不疑。

她并不認(rèn)為，在快速創(chuàng)新和高安全性之間必須做選擇。她我相信在速度和規(guī)模并存的環(huán)境中，安全性可以更進(jìn)一步。企業(yè)需要在每個(gè)階段的每一層都要通過(guò)設(shè)計(jì)實(shí)現(xiàn)安全，包含身份與訪(fǎng)問(wèn)管理、監(jiān)控與事件響應(yīng)、數(shù)據(jù)和網(wǎng)絡(luò)保護(hù)、遷移與現(xiàn)代化。

因?yàn)檎�是安全這一基礎(chǔ)使創(chuàng)新成為可能。

身份與訪(fǎng)問(wèn)管理

身份與訪(fǎng)問(wèn)管理如果沒(méi)有做好，一切都無(wú)從談起。目前亞馬遜云科技的身份和訪(fǎng)問(wèn)管理服務(wù)API每秒被調(diào)用12億次，目標(biāo)是確保用戶(hù)和系統(tǒng)僅擁有完成其職責(zé)所必需的最小權(quán)限，也就是“最小權(quán)限原則”，遵循這一原則可以顯著降低攻擊面，從而減少因賬戶(hù)泄露、內(nèi)部人員威脅或誤操作所帶來(lái)的潛在損害。

但權(quán)限配置是一個(gè)持續(xù)的過(guò)程，AWS IAM Access Analyzer可以提供權(quán)限管理，識(shí)別誰(shuí)在你的亞馬遜云科技組織中可以訪(fǎng)問(wèn)哪些資源。新功能Internal Access Findings可以清晰地了解公司內(nèi)部誰(shuí)能夠訪(fǎng)問(wèn)亞馬遜云科技中的關(guān)鍵資源，深入解讀各種策略類(lèi)型，包括身份策略、資源策略、服務(wù)控制策略，并識(shí)別出哪些IAM用戶(hù)和角色擁有對(duì)特定資源的訪(fǎng)問(wèn)權(quán)限。

如今的IAM Access Analyzer能夠?yàn)槠髽I(yè)的關(guān)鍵資產(chǎn)提供一個(gè)全面的訪(fǎng)問(wèn)視圖，使得發(fā)現(xiàn)和修復(fù)安全問(wèn)題變得更加容易。

監(jiān)控與事件響應(yīng)

雖然“最小權(quán)限原則”至關(guān)重要，但接下來(lái)企業(yè)還需要消除長(zhǎng)期憑證的必要性。2024年12月到2025年4月，亞馬遜云科技阻止了未經(jīng)授權(quán)的加密?chē)L試次數(shù)達(dá)到9.436億次。這有賴(lài)于全面的身份和訪(fǎng)問(wèn)管理能力，涵蓋了IAM實(shí)例配置文件、聯(lián)邦身份驗(yàn)證、IAM角色、任何地方的IAM角色。

MFA是保護(hù)賬戶(hù)免遭未授權(quán)訪(fǎng)問(wèn)最有效的安全實(shí)踐，亞馬遜云科技是首家要求強(qiáng)制使用MFA的云服務(wù)提供商，用于管理賬戶(hù)和具有根訪(fǎng)問(wèn)權(quán)限的獨(dú)立賬戶(hù)。AWS Certificate Manager則可以導(dǎo)出公共證書(shū)，以便在亞馬遜云科技內(nèi)部和外部使用。

數(shù)據(jù)和網(wǎng)絡(luò)保護(hù)

雖然身份與訪(fǎng)問(wèn)管理可以控制誰(shuí)能訪(fǎng)問(wèn)你的資源，但保護(hù)數(shù)據(jù)還需要額外的防護(hù)層和控制機(jī)制。

Amazon Shield推出一項(xiàng)新的預(yù)覽功能Network Security Director，不僅提供DDoS防護(hù)，還覆蓋整個(gè)網(wǎng)絡(luò)安全管理層面。該服務(wù)能夠繪制客戶(hù)的安全資源圖譜，從而發(fā)現(xiàn)常見(jiàn)攻擊方式的脆弱點(diǎn)，例如SQL注入（攻擊者利用網(wǎng)站表單訪(fǎng)問(wèn)數(shù)據(jù)的常見(jiàn)手段）和分布式拒絕服務(wù)（DDoS）攻擊（攻擊者通過(guò)大量虛假流量使網(wǎng)站癱瘓）。

現(xiàn)在Amazon Shield提供一個(gè)直觀(guān)的儀表板，按嚴(yán)重程度標(biāo)記問(wèn)題，并提供詳細(xì)的逐步操作指南，幫助客戶(hù)快速修復(fù)。此外，客戶(hù)還可以使用 Amazon Q，通過(guò)簡(jiǎn)單的對(duì)話(huà)就能獲得指導(dǎo)。

AWS Web Application Firewall（AWS WAF）則會(huì)同步攔截針對(duì)應(yīng)用程序的利用行為。全新的WAF簡(jiǎn)化控制臺(tái)體驗(yàn)，將原本繁雜的Web應(yīng)用與API安全配置流程，整合為一個(gè)統(tǒng)一的引導(dǎo)式配置流程。這項(xiàng)改進(jìn)可將初始安全配置所需的步驟減少80%，讓安全團(tuán)隊(duì)從耗時(shí)數(shù)小時(shí)，轉(zhuǎn)變?yōu)閹追昼妰?nèi)即可完成防護(hù)配置。

當(dāng)開(kāi)發(fā)者希望使用CloudFront進(jìn)行內(nèi)容分發(fā)時(shí)，他們需要通過(guò)多個(gè)步驟配置CloudFront分發(fā)實(shí)例�，F(xiàn)在Amazon CloudFront簡(jiǎn)化配置體驗(yàn)，讓開(kāi)發(fā)者無(wú)論經(jīng)驗(yàn)如何，都能更輕松地完成端到端的內(nèi)容分發(fā)與防護(hù)配置，快速、安全、可靠地將內(nèi)容傳遞給用戶(hù)。

另外，Amazon Network Firewall現(xiàn)已增強(qiáng)支持主動(dòng)威脅防御功能，能夠應(yīng)對(duì)新興的、正在被利用的攻擊威脅。依托亞馬遜云科技全球基礎(chǔ)設(shè)施中獲得的威脅情報(bào)，快速識(shí)別風(fēng)險(xiǎn)，并自動(dòng)應(yīng)用由亞馬遜云科技管理的規(guī)則，攔截隱蔽的命令與控制通道、惡意網(wǎng)址以及其他攻擊行為。

Amazon GuardDuty引入增強(qiáng)功能Extended Threat Detection，可以保護(hù)運(yùn)行在Amazon Elastic Kubernetes Service（Amazon EKS）上的容器化應(yīng)用。Amazon GuardDuty能夠關(guān)聯(lián)客戶(hù)系統(tǒng)中的各種安全信號(hào)，能夠檢測(cè)出那些可能被忽視的復(fù)雜攻擊模式。

通過(guò)對(duì)Amazon EKS審計(jì)日志、運(yùn)行時(shí)行為以及亞馬遜云科技環(huán)境中的活動(dòng)進(jìn)行持續(xù)監(jiān)控，Amazon GuardDuty可以識(shí)別出復(fù)雜的多階段攻擊。在90天內(nèi)，在美國(guó)數(shù)百萬(wàn)個(gè)受監(jiān)控賬戶(hù)中識(shí)別出超過(guò)13000條高置信度攻擊序列。

全新升級(jí)的Amazon Security Hub目前已提供預(yù)覽版本。Amazon Security Hub幫助客戶(hù)識(shí)別最關(guān)鍵的安全問(wèn)題，并快速響應(yīng)以降低風(fēng)險(xiǎn)。能夠?qū)⒉煌��?lèi)型的安全警報(bào)與漏洞信息進(jìn)行關(guān)聯(lián)分析，使安全團(tuán)隊(duì)能夠快速發(fā)現(xiàn)其云系統(tǒng)中的活躍威脅，并確定處理的優(yōu)先級(jí)。通過(guò)將所有信息集中到一個(gè)平臺(tái)，Amazon Security Hub不僅為企業(yè)提供了更清晰的整體安全態(tài)勢(shì)，還省去了從多個(gè)安全工具手動(dòng)收集信息的繁瑣工作。

遷移與現(xiàn)代化

亞馬遜云科技還對(duì)AWS MSSP Specialization進(jìn)行增強(qiáng)，更新了亞馬遜云科技安全服務(wù)提供商（MSSP）的分類(lèi)，包含經(jīng)過(guò)驗(yàn)證的多云轉(zhuǎn)換解決方案，這些方案可與亞馬遜云科技ISV工具協(xié)同工作。

同時(shí)亞馬遜云科技的合作伙伴們正在利用生成式AI重塑安全行業(yè)。例如，Terra開(kāi)發(fā)的生成式AI平臺(tái)，能夠?qū)崿F(xiàn)持續(xù)、半自動(dòng)的滲透測(cè)試。不僅能將攻擊面覆蓋范圍擴(kuò)大一倍，還能顯著提升準(zhǔn)確率，并將測(cè)試時(shí)長(zhǎng)縮短 50% 以上；Twine開(kāi)發(fā)的“數(shù)字員工”，專(zhuān)門(mén)用于身份認(rèn)證流程，可將人工處理身份與訪(fǎng)問(wèn)管理任務(wù)的工作量減少70%。

這只是未來(lái)眾多可能性的一小部分，亞馬遜云科技還專(zhuān)門(mén)設(shè)立了數(shù)據(jù)安全專(zhuān)項(xiàng)計(jì)劃，眾多合作伙伴都將隨時(shí)準(zhǔn)備保護(hù)客戶(hù)的AI環(huán)境，應(yīng)對(duì)不斷涌現(xiàn)的AI安全威脅。

案件處置提速 40%，日志分析快 50 倍，生成式AI正重塑安全運(yùn)營(yíng)

生成式AI已經(jīng)成為安全變革里的主角。隨著代碼補(bǔ)全、開(kāi)發(fā)輔助等AI能力的加持，軟件開(kāi)發(fā)速度被大幅提升，安全防護(hù)也面臨新的挑戰(zhàn)。不過(guò)，AI本身也成了安全的新武器，幫亞馬遜云科技“從一堆針里找到那根關(guān)鍵的針”。

通過(guò)將生成式AI集成至案件管理系統(tǒng)，亞馬遜云科技將中等復(fù)雜度問(wèn)題的平均處理時(shí)間縮短了超過(guò)40%，同時(shí)顯著提升了安全文檔的深度與一致性�；�于AI驅(qū)動(dòng)的結(jié)構(gòu)化分診系統(tǒng)，現(xiàn)已能夠自動(dòng)解答每個(gè)安全事件中超過(guò)50個(gè)關(guān)鍵問(wèn)題，并智能生成后續(xù)探討項(xiàng)，使文檔記錄更高效、全面，同時(shí)助力統(tǒng)一事件優(yōu)先級(jí)劃分與響應(yīng)策略，提升整體處置節(jié)奏和一致性。

與此同時(shí)，為防止過(guò)度依賴(lài)AI輔助，亞馬遜云科技開(kāi)發(fā)了“偏移檢測(cè)系統(tǒng)”，能夠?qū)崟r(shí)分析當(dāng)前問(wèn)題，并在響應(yīng)措施或文檔存在缺失時(shí)主動(dòng)提示改進(jìn)。

新推出的AI驅(qū)動(dòng)日志分析系統(tǒng)實(shí)現(xiàn)了多個(gè)來(lái)源日志的自動(dòng)處理，將原本完全依賴(lài)人工、耗時(shí)數(shù)小時(shí)的流程，壓縮至數(shù)分鐘內(nèi)完成初步分析。系統(tǒng)采用實(shí)體驅(qū)動(dòng)方法，自動(dòng)提取和分析相關(guān)日志，識(shí)別可疑模式，繪制通信路徑，為安全工程師提供清晰、可追溯的調(diào)查起點(diǎn)。系統(tǒng)讓日志分析能力提升達(dá)50倍，極大提升了響應(yīng)效率與威脅溯源能力。

Amy Herzog談到，隨著攻擊與防御技術(shù)同時(shí)進(jìn)化，亞馬遜云科技也迎來(lái)了巨大的機(jī)會(huì)與責(zé)任：我們必須確保正在開(kāi)發(fā)生成式AI與Agent解決方案的客戶(hù)，具備所需的防護(hù)機(jī)制、工具與配置，以安全的方式實(shí)現(xiàn)創(chuàng)新。

這就是Amy Herzog今年希望通過(guò)re:Inforce推動(dòng)的重點(diǎn)之一。

總結(jié)而言，安全的使命并不是拖慢創(chuàng)新，而是要讓大家一起加速前行。