re:Invent 2023 | 左移，右护板：用于保护应用程序的代码到云策略

关键字: [Amazon Web Services re:Invent 2023, Prisma Cloud, Code To Cloud Strategy, Securing Apps, Shifting Left, Shielding Right, App Security]

本文字数: 1200, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1ru4y137rD

导读

根据 42 号机组的数据，从妥协到渗出只需 5 天，几乎比两年前快了 10 倍。本论坛涵盖一种集成的代码到云方法，以大规模保护应用程序。这种方法通过对应用程序生命周期的上下文理解，降低风险，并保护运行时环境。深入研究 API 安全，因为它是最复杂和越，越普遍的云安全挑战之一。开始过程，实现零风险、零盲点和零违规的最终安全目标。本演示文稿由亚马逊云科技合作伙伴 Palo Alto Networks 为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华，共900字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

Amal Masur，作为Palo Alto Networks公司Prisma Cloud的资深副总裁，开始了他的演讲。他在网络安全领域拥有丰富的经验，曾就职于TRXA，并在AT&T负责企业安全。Masur随后概述了Palo Alto Networks公司的三个主要任务。

第一个任务是通过对提供一流的解决方案，包括硬件防火墙、虚拟管理服务以及市场领先的SaaS，来颠覆网络安全行业。第二个任务是利用数据分析和自动化集成方法改变安全运营方式。第三个任务，也是Masur演讲的重点，是确保应用程序从代码开发到公共云部署的安全。

支持这些任务的是Palo Alto的威胁研究、情报和响应团队，名为Unit 42。这个团队提供了关于不断变化的威胁环境的实际见解。

Masur探讨了现代应用开发所面临的创新与风险的完美风暴。在创新方面，应用程序现在由第一方和第三方组件组成，研究表明75%的代码使用了开发者无法控制的开源库。然而，80%的开源组件存在多个漏洞。新的CVE可以在发布后15分钟内被利用。

在速度方面，77%的组织每周发布软件，而安全人员努力跟上开发者与安全员10:1的比例。像GitHub Copilot这样的AI加速将使速度提高10倍，但也引入了新的风险，如Copilot生成代码的40%的漏洞率。

现代云应用程序分阶段从代码、开源、基础设施即代码、已部署实例和运行时组装而成。单个漏洞组件可能扩展成数千个已部署的漏洞。单点安全工具可以保护各个部分，但缺乏阶段之间的上下文共享，导致应急响应缓慢。例如，关键的警报平均需要145小时才能解决。

帕洛阿尔托的方法提供了端到端的可见性，实现大规模快速修复和运行时威胁预防。例如，云发现和应用DNA等新功能将风险与业务应用而非单个组件相对应。通过基于潜在的攻击路径而不是仅凭严重程度分数对风险进行优先排序，可以提供更好的保护。此外，提供影响应用程序等补救背景有助于加速响应。

关于开源，虽然其魔力在于任何人都可以使用它，但没有人必须维护安全的代码。在分析7万个存储库后，发现其中63%包含未修补的严重或高风险漏洞。这些漏洞还被用于供应链攻击，如SolarWinds和CodeCov事件。

尽管大量投资于点工具，但仍经常发生重大泄露。正确的方法应在整个生命周期中共享智能，以提供合理的保护机会。过去一年，帕洛阿尔托已经整合了各种能力，以提供云智能。

新的可视能力包括云发现和可视化已授权及阴影云资源。应用DNA能自动发现跨组件的应用程序边界，无需手动配置。这种背景叠加在风险上，以提供影响分析和受影响的应用程序及其负责人。

对于优先级排序，Prisma Cloud吸收了来自代码、图像、基础设施、身份等领域的信号，并将其输入到数据湖中。风险被关联成可能立即演变成泄露的潜在攻击路径。例如，一个具有关键漏洞、错误配置和访问敏感S3桶的允许IAM角色的互联网暴露实例就是一个严重的攻击路径。

修复能力包括云端和代码修复。云修复可根据策略进行自动化，例如修复错误配置。在代码中，运行时发现的安全漏洞可自动为负责的研发人员生成拉取请求，并依据问题根源进行追溯。

统一的漏洞管理追踪整个生命周期的CVE，以回答诸如Log4j在哪里这样的问题。目前这利用了帕洛阿尔托的数据，但正在添加对如Tenable等合作伙伴的支持，以纳入第三方数据源。

为了防范潜在威胁，Prisma Cloud通过对配置、网络流量、网页流量、DNS日志等多种因素进行分析，以检测异常和已知攻击模式。通过行为建模等技术，轻量级的运行时代理可识别容器逃逸、恶意软件和异常行为。L7保护功能能侦测常见的Web应用攻击，例如注入和爬取。

全新的AI Copilot能够通过自然语言回答关于安全风险的问题，并提供相应的修复建议。它能够以简洁明了的语言解释风险问题，并在代码到云生命周期的各个阶段启动修复工作。演示过程中展示了Copilot如何检测出存在Log4j漏洞的位置并进行修复。

自定义收集功能使得团队、应用程序和业务部门能够利用相同的聚合数据来降低报告风险。这有助于了解公司不同部门如何随着时间的推移改善其风险状况。

总的来说，Palo Alto Networks采用了集成的策略来保护云应用程序的安全，重点关注端到端的可见性、智能共享和快速修复。演讲者强调，仅优先处理风险是不够的——解决方案必须能够支持快速的响应。他倡导使用集成解决方案而非脱节的点产品，以有效地降低风险并防止入侵。

Palo Alto Networks在保护超过1300万个容器以及每天处理万亿流量日志方面的经验，为其对现代威胁和漏洞的独特洞察提供了支持。演讲者鼓励与会者在Palo Alto Networks的re:Invent展区参观展示功能的现场演示。

下面是一些演讲现场的精彩瞬间：

领导者们讨论了帕洛阿尔托网络公司所面临的三项重大挑战和关键任务。

在re:Invent上，亚马逊云科技强调了自动化如何助力开发者通过自动将问题分派给合适的人员，从而迅速解决漏洞问题。

亚马逊云科技还创造了一种基于潜在泄露风险而非仅仅依赖CVSS评分对漏洞进行超级优先级排序的方法。

亚马逊云科技利用深度分析和机器学习技术，通过对云配置、审计轨迹、网络流量等进行分析，从而检测潜在威胁。

此外，领导者们讨论了如何通过使用生成性人工智能实现智能副手和自然语言搜索功能来提升用户体验。

亚马逊云科技从处理海量安全数据的经验中汲取了许多宝贵教训。

总结

亚马逊云科技作为顶级云计算活动的re:Invent，吸引了业界领导者和专家分享最新创新和最佳实践的见解。在由帕洛阿尔托网络公司的Amal Masur主持的会议上，他探讨了现代组织面临的关键挑战之一：抵御不断上升的安全威胁，以保护云应用程序。

Masur首先概述了当前的威胁格局，这是一个创新和风险形成的“完美风暴”。尽管软件开发的速度呈指数级增长，但安全团队很难跟上这一速度。这使得基于开源组件构建的应用程序容易受到供应链攻击的侵害。同时，人工智能正在加速软件功能和网络威胁的发展。

为了应对这一问题，帕洛阿尔托网络公司提出了一种集成的“从代码到云”的方法。通过在整个应用程序生命周期中提供智能，可以在风险在其运行时呈现之前识别并修复其源头。这包括发现影子IT资产的能力，以受影响应用程序的上下文可视化风险，以及实现从代码到云的漏洞和配置错误的自动化修复。

先进的分析和行为学习模型还可以根据大量的威胁研究实时检测威胁和异常。最新的创新是作为一个智能助手的AI Copilot，允许用户只需提问即可获得调查环境中问题的精确答案。

总的来说，Masur强调仅仅优先排序是不够的。组织需要提供驱动整个应用程序生命周期快速修复的行动智能的解决方案。凭借在规模上保护云环境六年的经验，帕洛阿尔托网络公司致力于提供这种集成的从代码到云的方法。

演讲原文

https://blog.youkuaiyun.com/just2gooo/article/details/134819856

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。