来自亚马逊云科技的安全洞察与创新_亚马逊云汇报-优快云博客

来自亚马逊云科技的安全洞察与创新

关键字: [Amazon Web Services re:Invent 2024，亚马逊云科技， Nitro System， Security Culture， Security Ownership， Security Innovation， Confidential Computing， Threat Intelligence]

导读

从亚马逊云科技首席信息安全官Chris Betz那里获得洞见，了解如何利用亚马逊云科技的变革性安全创新来快速前进并保持安全。了解亚马逊云科技如何赋能组织将安全自信地整合和自动化到他们的产品、服务和流程中，使安全团队能够将时间集中在为业务带来最高价值的工作上。听听亚马逊云科技如何应用其经验、知识和最佳实践来消除安全方面的无差别重复性工作。Chris还分享了亚马逊云科技如何通过扩展安全创新和投资安全社区来帮助提高互联网的安全性。

演讲精华

以下是小编为您整理的本次演讲的精华。

主旨演讲由亚马逊云科技首席信息安全官Chris Betts开场，他强调安全是客户对公司最重要的期望。他表示亚马逊云科技每天都在努力寻求比前一天更加安全的方式。值得注意的是，安全部门直接向亚马逊云科技首席执行官汇报，实现了三个关键目标:首先，向整个组织发出信号，安全是头等大事;其次，让首席执行官和领导层了解重要的安全计划;第三，帮助Chris随着业务需求的变化，与首席执行官的优先事项保持紧密一致。

亚马逊云科技投资的最关键的安全能力之一是其长达18年的安全文化。除了技术工具和流程，文化是亚马逊云科技安全战略的关键要素。Chris强调了所有权的重要性，它代表了对组织安全的个人投资和对安全最佳实践的真正承诺。在亚马逊，无论职级高低，每个人都被期望成为拥有者，将升级视为推动变革的强大催化剂。Chris解释说，在亚马逊云科技的规模下，他的团队为工程和服务团队提供了许多关键能力和服务，以有效履行其安全职责，例如培训、咨询、威胁建模工具、自动化代码扫描框架和工具、设计评审、渗透测试、自动化API框架等等。

Chris随后介绍了守护者计划，他的团队培训每个服务团队的开发人员成为安全冠军。守护者帮助开发人员在开发过程的早期做出正确的安全决策，将安全更深入地嵌入到他们的解决方案中。该计划减少了安全发现、加快了审查流程，并在整个亚马逊云科技范围内提高了整体安全性。Chris举了一个例子说:“与大多数组织一样，我们的软件工程师比安全工程师多，我们要求每个新服务、功能、解决方案、供应商应用程序、硬件等在上线前都要由我们自己的应用程序安全工程师进行安全审查。”

澳大利亚联邦银行首席技术官Rodrigo Castillo分享了他们的DevSecOps转型经验，这是一种为客户构建未来银行所采取的文化方法。该银行创建了一个专注于团队成熟度而非特定工具的12项能力模型。这种方法使交付到生产环境的变更数量翻了一番，并减少了影响客户的事件数量和持续时间。Castillo表示:“在短短一年内，我们交付到生产环境的变更数量就翻了一番，影响客户的事件数量和持续时间也有所下降。我们的网络安全审查速度提高了4倍，每项能力都高度自动化，彻底改变了我们监控控制措施的方式。过去我们每年只能审查约2500个控制属性，而现在每月就有超过12000个，增长巨大，而且我们还有更多的控制审查流程要自动化。”该银行还在其工程团队中培训了800多名安全冠军，推动了安全所有权的文化转变。Castillo提到:“如今，工程团队正在承担大部分安全设计工作。他们正在全面负责包括安全在内的端到端服务，不再认为安全是其他团队为他们做的。安全工作是由他们自己的团队完成的。”

Chris随后深入探讨了亚马逊云科技在幕后的安全创新，从为高级安全功能(如加密内存和硬件接口、指针认证和分支目标识别)而设计的Graviton 4处理器开始。他说:“Graviton 4完全加密了所有高速物理硬件接口，有助于防范硬件攻击。存储在内存中的数据在任何时候都是加密的，即使在操作期间也是如此，有助于防止对敏感信息的未经授权访问。”亚马逊云科技 Nitro系统消除了人工管理访问，并提供了实时更新功能，而不会影响客户应用程序。Chris提到:“Nitro系统的每个关键元素都经过设计，可以实时更新，而不会影响您的应用程序。我们可以更新Nitro卡上的固件，甚至Nitro虚拟机监控程序本身，而无需重新启动您的实例。”

亚马逊云科技还提供了始终开启的保密计算功能Nitro Enclaves，用于隔离处理高度敏感数据的计算环境。Chris解释说:“Enclaves是单独的虚拟机，经过强化和高度约束。它们没有持久存储、交互式访问和外部网络。Nitro Enclaves使用Nitro虚拟机监控程序进一步隔离了Enclave的CPU和内存，与父实例上的用户应用程序和库相隔离。”Chris提供了一个使用案例示例:“例如，在负责任的人工智能测试中，专门从事测试方法的组织可能希望以一种方式向人工智能模型提供商提供其测试，使模型提供商只能看到测试结果，而没有任何观察或记录这些测试的机制。”

Chris讨论了亚马逊云科技如何将这种安全模型扩展到无服务器计算，使用专为无服务器工作负载而设计的虚拟机监控程序Firecracker。他强调亚马逊云科技使用自动推理来验证加密协议、授权逻辑、存储系统和安全机制(如防火墙和入侵检测系统)的正确性。亚马逊云科技是唯一一家在这种规模上使用自动推理的云提供商，使得安全性、合规性和可用性等关键属性可以自动为大规模云架构进行证明。

亚马逊云科技利用其规模提高了威胁情报的准确性，采用了一种强大的神经网络图模型，每天从亚马逊云科技各区域每天超过一万亿次DNS请求中平均检测到124，000个恶意域名。仅在2023年，主动防御服务就阻止了超过270亿次尝试枚举S3存储桶和近2.7万亿次尝试发现EC2上的漏洞服务。Chris表示:“尽管在过去3年中监控了超过8万亿次请求，但主动防御只产生了12次误报缓解建议。”

亚马逊云科技副总裁兼Distinguished EngineerBecky Weiss宣布了几项新的安全发布，包括资源控制策略、集中管理根访问权限、声明性策略、Amazon GuardDuty扩展威胁检测、亚马逊云科技安全事件响应以及与Amazon Security Lake和OpenSearch的零ETL集成。关于资源控制策略，她提到:“例如，您可以使用资源控制策略将其附加到您的组织，以强制规定不允许对任何S3存储桶进行外部访问。”关于集中管理根访问权限，她表示:“此功能允许您删除账户中的根凭证。这意味着，与其管理这些长期存在的高特权凭证，组织级安全管理员可以在出现需要它们的罕见情况时按需生成临时的、范围缩小的凭证。”关于GuardDuty扩展威胁检测，她提到:“在最近为期3个月的测试版中，跨越数万个亚马逊云科技账户，Guard Duty发现了数百个潜在威胁，甚至在客户报告之前就准确检测到了一次凭证泄露事件。”

Chris随后讨论了亚马逊云科技面向未来的安全计划，包括将安全嵌入服务的核心、利用抗量子技术以及保护生成式人工智能应用程序。他表示:“在过去十年中，我们一直积极参与后量子密码算法的标准化工作，与诸如NIST、ETSI和开放量子安全倡议等全球组织合作。”关于生成式人工智能，亚马逊云科技正在直接将新的隔离功能构建到GPU硬件中，包括Nitro端到端加密流程和亚马逊云科技自主设计的Trinium 2，以及基于NVIDIA即将推出的Blackwell架构的GPU实例。

Anthropic首席信息安全官Jason Clinton上台讨论了亚马逊云科技与Anthropic的合作伙伴关系、行业领先的Claude模型系列，以及安全处理敏感人工智能数据的新功能。

最后，Chris鼓励与会者试用安全冠军计划、查看更新的数据边界规范性指南并使用资源控制策略简化数据边界、实施VPC阻止公共访问，以及利用声明性策略在整个亚马逊云科技组织中为资源标准化所需的配置。他邀请与会者在re:Invent上探索更多安全学习机会，并参加即将在费城举行的re:Inforce活动，深入了解亚马逊云科技的安全创新。

下面是一些演讲现场的精彩瞬间：

Andy Jassy，亚马逊云科技首席执行官，欢迎各位来宾出席re:Invent大会，并强调亚马逊云科技对安全性的高度重视，承诺将分享最新的安全见解和创新成果。

亚马逊云科技 Graviton 4处理器提供了先进的安全功能、卓越的性价比以及高达60%的能源节省，适用于EC2实例。

亚马逊云科技通过始终开启的保密计算功能，提供了增强的数据隔离，在处理过程中保护代码和数据免受外部访问。

亚马逊云科技推出了Firecracker开源虚拟机监视器，结合了传统虚拟机的安全性和容器的速度和效率，实现了安全高效的无服务器计算。

亚马逊云科技开创性地采用自动推理技术，为云基础设施和服务提供可证明的安全性，规模前所未有。

亚马逊云科技推出了资源控制策略这一新功能，通过允许组织为整个组织中的资源附加单一的广泛策略，定义可授予的最大访问权限，从而简化了数据边界控制。

在reInvent2024大会上，您可以探索丰富的机会，从建立深厚的技术专长到应用基础最佳实践，并与亚马逊云科技专家和同行建立联系，了解更多关于安全性的信息。

总结

在一个安全至关重要的世界中，亚马逊云科技矗立为创新和坚定承诺的灯塔。首席信息安全官Chris Betts揭示了这家云计算巨头最新的安全见解和进展，强调了安全在其运营中的深远意义。

首先，亚马逊云科技培养了一种安全所有权文化，无论职位高低，每个人都应将升级视为变革的催化剂。这种积极主动的心态让团队能够提出疑虑并推动解决方案，确保持续改进。其次，亚马逊云科技投资了Graviton 4、Nitro系统和机密计算等尖端技术，在硅片级提供了强大的安全性和数据保护。这些创新不仅防范硬件攻击，还能够安全处理敏感数据。

第三，亚马逊云科技利用自动推理和形式逻辑方法来验证密码协议、授权逻辑和存储系统的正确性。这种“可证明的安全性”方法为云基础设施的安全性提供了无与伦比的保证。此外，亚马逊云科技利用其庞大规模提高了威胁情报的准确性，每天检测和阻止数十亿次恶意活动，让互联网变得更加安全。

最后，亚马逊云科技坚定不移地致力于安全创新，采用抗量子和人工智能技术来应对不断演变的威胁。通过丰富的学习机会和即将到来的re:Inforce活动，亚马逊云科技邀请客户深入了解其安全解决方案、与专家交流并加入通往更安全未来的征程。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。