利用 AI 賦能雲安全，亞馬遜雲科技的安全技術創新服務不斷賦能開發者

文章分享自亞馬遜雲科技 Community Builder：李少奕

2023年6月14日，一年一度的亞馬遜雲科技 re:Inforce 全球大會在美國安納海姆落下了帷幕。re:Inforce 是亞馬遜雲科技全球最大的盛會之一，彙集了來自全球各地的安全專家，共同學習、討論雲安全創新技術，主要圍繞了六大話題：應用安全、資料隱私保護、安全合規、身份驗證與授權、網路和基礎設施安全與威脅檢測和事件響應等話題。作為開發者社群代表，作者和亞馬遜雲科技的安全產品團隊一同參與了本次大會。

亞馬遜雲科技開發者社群為開發者們提供全球的開發技術資源。這裡有技術文件、開發案例、技術專欄、培訓影片、活動與競賽等。幫助中國開發者對接世界最前沿技術，觀點，和專案，並將中國優秀開發者或技術推薦給全球雲社群。如果你還沒有關注/收藏，看到這裡請一定不要匆匆劃過，點這裡讓它成為你的技術寶庫！

隨著國內《個人資訊保護法》、《資料安全法》、《網路安全法》等安全領域法律法規的出臺，安全與合規成為了企業業務發展程式中的剛需。資料安全、資料治理都成為了企業在雲上遷移、數字化轉型過程中要面對的挑戰。這次 re:Inforce 全球大會的舉辦以及大會中釋出的創新安全服務，就為企業解決安全合規問題提供了更好的實踐方案。

“安全是我們的首要優先順序”

在今年6月的亞馬遜雲科技 re:Inforce 全球大會上，亞馬遜雲科技首席資訊保安官 CJ Moses 強調“安全是我們的首要優先順序”，這表示出亞馬遜雲科技對於雲安全的重視程度。雲安全已經不再是簡單的業務要求，更是成為了主動、自發且持續的思維觀念，早已發展為業務的核心競爭力之一。

“用雲本身的安全保障雲上使用者業務的安全”

CJ 首先介紹了亞馬遜雲科技是如何利用安全技術創新，實現從底層晶片 Nitro System、虛擬化層 Nitro Hypervisor 到應用層 DevSecOps 的深層全棧式安全保護，讓雲上使用者的服務安全“無懈可擊”。

同時，他介紹了亞馬遜雲科技如何幫助使用者將安全左移，協助使用者將安全保護在程式設計階段就考慮其中，並貫穿開發、構建、測試、釋出整個開發生命週期，讓開發者實時發現並修復程式中的漏洞、威脅以及弱點，增強程式碼安全、減小安全攻擊面，實現雲上的 DevSecOps。代表性服務有在 IDE 中實時掃描程式碼，檢測漏洞並給出修復建議的開發外掛 Amazon CodeWhisperer 和整合在整個開發生命週期的程式碼審查工具 Amazon CodeGuru Secuirty。

Nitro System

https://aws.amazon.com/cn/ec2/nitro/?trk=cndc-detail

Amazon CodeWhisperer

https://aws.amazon.com/cn/codewhisperer?trk=cndc-detail

Amazon CodeGuru Secuirty

https://aws.amazon.com/cn/codeguru?trk=cndc-detail

“利用 AI 賦能雲安全，進而賦能開發者”

談到雲安全，當然不能少了最近大熱的 AI/ML。這次亞馬遜雲科技 re:Inforce 全球大會里，CJ 也介紹了在大語言模型時代下，由於駭客可以利用生成式 AI 編寫惡意程式碼，會讓安全攻擊/威脅的成本和門檻變得更低。亞馬遜雲科技正積極地從白帽角度將 AI/ML 的創新技術融入其雲安全服務中，以應對頻繁出現的威脅活動。

使用者可以利用安全服務中的 AI/ML 技術實現雲上安全防護，如亞馬遜雲科技4月釋出的大語言模型 Amazon Bedrock 來開發自己的安全威脅與惡意程式獵殺、安全事件分析模型，用於 Amazon Lambda 中程式碼及其依賴包漏洞掃描的 Amazon Inspector Code scans for Lambda 以及整合到 IDE 以及 CI/CD 釋出流程的靜態程式碼工具 Amazon CodeGuru Security，在整個開發流程中進行 SCA、SAST、DAST 程式碼安全性測試。

Amazon Bedrock

https://aws.amazon.com/cn/bedrock/?trk=cndc-detail

Amazon Inspector Code scans for Lambda

https://aws.amazon.com/cn/inspector/?trk=cndc-detail

Amazon CodeGuru Secuirty

https://aws.amazon.com/cn/codeguru?trk=cndc-detail

亞馬遜雲科技的安全技術創新服務

在今年6月的亞馬遜雲科技 re:Inforce 全球大會上，也釋出了能幫助開發者和企業構建安全雲上系統的熱門安全服務，提升安全在雲上的可見性，保護雲上的使用者資料安全。

安全基礎設施的搭建和維護管理過去曾一度成為企業安全阻力，如企業內部的 SIEM 系統、身份驗證與授權模組等。並且，在當今網路威脅日益活躍、IT 架構變得越來越龐大複雜的大背景下，雲上的事件和系統訪問許可權管理也變得更加有難度。這次釋出的系列雲服務，就能幫助企業大大減輕這部分負擔。

Amazon Security Lake

在5月末，Amazon Security Lake 服務正式上線。Security Lake 可以將使用者在亞馬遜雲科技上、本地以及自定義源頭的安全相關資料集中到以 S3 為底座的資料湖中。使用者可以在組織賬戶下將跨賬戶和不同區域的資料集中統一管理，便於維護，讓使用者更全面地瞭解整個組織內的安全資料，提升使用者雲上的安全可見性。同時使用者可以將資料自定義地放在一個可用區或者多個區中以滿足資料監管的要求。Security Lake 採用了 Open Cybersecurity Schema Framework (OCSF) 開源標準，該服務自動地將來自亞馬遜雲科技和多種第三方服務的安全資料轉化為 OCSF 統一標準格式，提升安全事件查詢和響應的效率。

使用者可以將 Security Lake 與 OpenSearch 整合作為雲上 SIEM 解決方案，也可以將其與 Athena 整合用於安全事件和威脅分析，或者將其與 Amazon SageMaker 整合利用自定義 ML/AI 模型做威脅和惡意軟體的檢測。

Amazon Security Lake

https://aws.amazon.com/cn/security-lake/?trk=cndc-detail

Open Cybersecurity Schema Framework（OCSF）

https://docs.aws.amazon.com/security-lake/latest/userguide/op...

OpenSearch

https://aws.amazon.com/cn/opensearch-service/?nc1=h_ls?trk=cn...

零信任網路

https://www.amazonaws.cn/en/knowledge/what-is-zero-trust-network/?trk=cndc-detail

亞馬遜雲科技高階首席工程師 Becky Weiss 也為大家介紹瞭如何利用亞馬遜雲科技身份驗證和網路服務構建企業零信任網路。零信任模型是目前安全領域最熱門的話題之一，隨著網路安全行業監管要求的加強，以及網路邊界逐漸模糊的大背景下，每次使用者的系統訪問都需要進行持續的動態驗證和精細化授權，限制系統內橫向移動，更好地保護敏感資訊和雲上資產。她介紹了以下兩個雲服務幫助使用者構建零信任安全框架：

Amazon Verified Access

這項服務可以在讓使用者在不使用 VPN 的情況下，將個人裝置接入到企業網路中，訪問企業內網中的內部服務。該服務基於使用者身份和裝置狀況的等資訊驗證應用程式請求，併為每個系統應用定義細顆粒度訪問策略，大大簡化企業零信任框架的搭建。

Amazon Verified Access

https://aws.amazon.com/cn/verified-access/?trk=cndc-detail

Amazon Verified Permission

這項服務將零信任的能力延展到了使用者自己開發的應用程式裡，用於開發人員授權使用者的資源訪問，在應用開發階段就落地零信任。

Amazon Verified Permission

https://aws.amazon.com/cn/verified-permissions/?trk=cndc-detail

現場雲安全開發者實驗展區

今年6月的亞馬遜雲科技 re:Inforce 全球大會，為開發者們準備了多場安全動手實驗和專案展示環節：

持續評估IAM使用者冗餘許可權實現雲安全合規（IAM354: Refining IAM permissions like a pro）

本次實驗是由 Professional Service Team 的 Senior Security Consultant: Bohan Li 主講，主要內容為如何利用 IAM Access Analyzer、Lambda、EventBridge 等服務，透過 Python 指令碼自動化持續主動檢測 IAM 冗餘許可權（包括涉及服務和操作），實現雲上的最小許可權原則。最後產生許可權審計報告，透過 SNS 服務傳送至合規團隊審計，實現雲上安全可見性。

安全合規對於使用者的許可權評估有著特殊的要求，如金融合規 PCI-DSS 要求7.2.4就指出涉及到銀行卡敏感資訊處理、儲存和傳輸業務的交易服務供應商需要每半年去評估雲上系統的使用者許可權。首先是透過監控使用者許可權的最近訪問時間，刪除特定時間內（通常是90天內，詳見 PCI DSS 要求8.1.4）未使用的許可權，保障使用者雲上使用者許可權滿足最小許可權原則，防止過量授權導致雲資源的未授權訪問。同時也需要監控業務關鍵許可權的使用情況，保證獲授權的人員只能被分配與其角色匹配的許可權（PCI DSS 要求7.2.2），保證最小許可權原則（PoLP），降低雲上誤操作以及未授權非法行為帶來的危害。同時，整個流程需要體現雲上安全的可見性，需要有許可權審計報告提供給內部合規團隊做自我評估。

在亞馬遜雲科技上，開發者可以透過下圖中的安全解決方案實現關於許可權持續評估的需求。該解決方案主要由兩大部分組成，第一部分是透過 generate_service_last_accessed_details 和 get_service_last_accessed_details 兩個 Boto3 API 獲取各項雲服務的最後訪問資訊，列出特定時間內未使用的 IAM 許可權並生成審計報告。第二部分是在使用者新增 IAM 許可權或許可權修改時，透過 EventBridge 做事件規則匹配觸發 Lambda，Lambda 會提取 Event 事件中的許可權資訊獲取具體的策略文件，並與事先定義的業務關鍵許可權列表做匹配，如匹配命中則透過 SNS 向許可權管理員傳送報警。

開發者可以掃描如下二維碼線上參與該項實驗 WorkShop 自己進行練習：

利用亞馬遜雲科技 IoT Device Defender 服務檢測並阻止裝置入侵

這個實驗是由澳洲亞馬遜雲科技 Professional Service 團隊的 Cloud Architect: Xin Chen 和 Bin Liu 帶來的物聯網安全解決方案。參會的嘉賓們可以親自充當“駭客”，嘗試利用遠端裝置入侵模擬無人駕駛汽車的智慧車，並瞭解亞馬遜雲科技是如何利用人工智慧幫助使用者實現物聯網裝置多層安全防護，打造安全物聯網平臺。

在這個物聯網安全解決方案中，物聯網裝置為兩個配備了樹莓派的4輪驅動智慧車,用其來模擬無人駕駛汽車，並透過亞馬遜雲科技 IoT Core 服務將它們註冊至雲端，建立安全的 MQTT 資料連結。這兩輛智慧車被設定在在一個圓形預定義的軌道上執行。同時該方案利用了亞馬遜雲科技 IoT Device Management 服務遠端管理並保持卡車系統的更新，作為預防控制的一部分。參與展示的嘉賓將扮演一個“駭客”，透過遠端控制器接管其中一輛卡車實施侵入。這個方案利用 IoT Device Defender 服務持續收集並監控來自裝置的安全資料，使用者可以自定義 Security Profile 來選擇監控物聯網裝置的指標，並利用該服務原生的機器學習技術實時監測重要指標的異常去資料判斷是否有駭客入侵。若檢測到裝置入侵，該服務將安全發現匯入到亞馬遜雲科技 Security Hub 的展示系統安全狀態同時，會觸發 SES 郵件通知向管理員警報，最後透過 SNS 訊息觸發 Lambda 指令碼，建立 IoT Device Management 服務中的任務遠端自動修補漏洞和重新控制被攻陷的卡車，以此實現快速自動化事故檢測與響應，實現使用者業務的連續性。