从第一行代码开始，正确实施云和应用安全（由Wiz赞助）

从第一行代码开始，正确实施云和应用安全（由Wiz赞助）

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Wiz， Cloud Security， Application Security， Code Security， Cloud Environment， Risk Prioritization]

导读

随着软件供应链、应用程序和云环境变得越来越复杂，整个开发生命周期中的集成安全变得至关重要。将代码、管道和云环境分开处理的时代已经过去——现在安全应该在开发的每个阶段都统一起来。参加Wiz及其客户的这场会议，了解为什么应用程序安全不能再与云安全分开。探索如何通过从代码到云的方法，使您的开发人员能够以云的速度前进，同时不影响安全性。学习实用策略和真实案例，以有效保护您的亚马逊云科技环境。本次演讲由亚马逊云科技合作伙伴Wiz为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华。

在不断演进的云计算和应用程序开发领域，安全性已成为一个至关重要的问题。随着组织拥抱云的敏捷性和可扩展性，他们也面临着获取新技术可见性、识别和优先考虑风险以及将安全性融入云原生应用程序的挑战。这正是领先的网络安全公司Wiz介入的地方，提供全面的解决方案来解决这些紧迫的问题。

Wiz的覆盖范围惊人，为近50%的财富100强公司和数千家其他客户提供服务。他们的使命是确保云环境和开发流程的安全性，使组织能够安全地驾驭云的复杂性。Wiz的产品经理兼联合创始人Amino Kosika阐明了客户在过渡到云时面临的三大挑战。

第一个挑战围绕着获取云之旅所伴随的新技术和环境的可见性。随着组织采用人工智能(AI)等尖端解决方案，安全团队必须全面了解谁在使用这些技术、在何处部署以及由哪些团队使用。这种可见性对于实施有效的、量身定制的安全措施至关重要。

第二个挑战在于持续识别和优先考虑新的风险和威胁。随着组织采用新技术，他们必须保持警惕，识别和解决新出现的漏洞和攻击向量。然而，仅仅识别风险是不够的;真正的挑战在于以一种能够使开发团队采取可行行动并有效缓解最关键威胁的方式对风险进行优先排序。

Wiz方法的第三大支柱集中于在云中采用新的所有权模式。这涉及将安全性融入云应用程序的开发，从一开始就培养安全意识的实践文化。通过将安全原则植根于应用程序开发的核心，组织可以实现更高的弹性，减少对反应性措施的需求。

为了应对这些挑战，Wiz建立了一个框架，将安全性民主化分为三个不同阶段。第一阶段是获取云环境的可见性，使组织能够了解正在使用的技术和资源。第二阶段围绕着优先考虑风险，确保及时解决最关键的漏洞和威胁。第三阶段着眼于将这些风险民主化到开发团队和业务部门，培养对云应用程序安全性的共同责任。

Wiz的方法建立在一个无代理连接器之上，可与亚马逊云科技、Kubernetes等各种云平台无缝集成。该连接器使Wiz能够分析云环境的所有层面，从编排和工作负载到无服务器应用程序和容器镜像。Wiz的扫描能力不仅仅局限于基础设施分析，还包括漏洞、错误配置、暴露、AI风险和敏感数据。

关键的是，Wiz将这些发现整合到一个图形视图中，通过关联不同的问题来识别“有毒组合”或攻击路径。这种整体方法允许根据对环境的潜在影响进行有效的优先排序。Amino Kosika举了一个面向互联网的、易受攻击的容器可以访问敏感数据的例子，突出了及时解决此类风险的重要性。

通过将所有权归属于特定团队，Wiz使组织能够将优先考虑的风险直接路由到负责的开发人员，简化了补救过程。开发团队可以自动化他们响应风险的工作流程，培养主动的安全方法。最终目标是实现“零关键”基线，解决所有潜在的攻击向量，确保强大的安全态势。

Amino Kosika强调了“零日响应”的重要性，并以最近的Pano脚本漏洞为例。在最初的漏洞披露后的几天内，Wiz就能够识别出易受攻击的资产和面临即时风险的资产，使客户能够在公开利用出现之前采取迅速行动。这种主动方法对于减轻新出现威胁的影响和最小化暴露窗口至关重要。

随着组织在云之旅上的进步，Wiz认识到“安全开发”的需求。在云原生环境中，代码和云正变得越来越紧密相连，代码不仅定义了应用程序，还定义了网络配置、计算资源和编排层等基础设施组件。这种范式转变模糊了传统安全领域的界限，需要一种整体方法来确保整个应用程序生命周期的安全。

然而，传统的安全工具一直在孤岛中运作，导致可见性碎片化，开发团队缺乏优先考虑。Wiz的解决方案“Wiz Code”旨在弥合这一差距，通过扫描代码库中的漏洞、密钥、数据、恶意软件和错误配置。通过在云和代码之间协调政策，Wiz Code提供了安全风险的统一视图，使开发人员能够采取主动措施。

Wiz Code的一个关键特性是能够为代码提供云上下文。通过将代码库映射到云资源，Wiz Code使开发人员全面了解他们的代码对云环境的影响。这种上下文可以实现高效的补救，因为Wiz Code可以直接生成拉取请求，指导开发人员进行特定的代码更改以解决已识别的漏洞或错误配置。

此外，Wiz Code在开发生命周期的各个阶段实施了防护栏，包括IDE、CI/CD管道和部署阶段。这些防护栏充当预防性控制，确保从一开始就将安全最佳实践嵌入到开发过程中，减少对反应性措施的需求。

Amino Kosika通过展示Wiz Code的统一报告功能证明了其强大功能。开发人员可以无缝切换云和代码实例的漏洞、软件材料清单(SBOM)和密钥，实现安全风险的整体视图。这种统一报告扩展到图形概念，Wiz Code将代码映射到云资源，提供端到端上下文，促进高效补救。

对于那些在云中面临威胁检测和响应挑战的组织，Wiz推出了创新解决方案“Wiz Defend”。该解决方案将来自各种来源的数据(包括云平台、Kubernetes、身份系统和运行时日志)进行关联，以提供准确的威胁检测，并支持有效的调查和搜寻。

Wiz Defend包含一个事件准备框架，分析并确保配置、日志和备份就绪，为潜在事件做好准备。此外，它包括基于MITRE框架和其他行业最佳实践的预构建检测规则，减轻了安全团队的检测工程负担。

Wiz Defend中的调查图提供了一种新颖的方法来调查云威胁。通过将事件和异常层层叠加到图形上，Wiz Defend提供了一个时间线，帮助分析师了解每个活动的上下文和影响，无论其起源于运行时、云平台还是Kubernetes层。这种综合视图简化了调查过程，使分析师能够有效地搜寻威胁。

此外，Wiz Defend提供了预构建的响应剧本，消除了组织从头开发剧本的需求。这些剧本为关键行动提供指导，如隔离受损机器、收集取证数据和实施遏制措施，使安全团队能够迅速有效地响应检测到的威胁。

Amino Kosika强调，Wiz致力于打破孤岛，为代码、管道、云和运行时安全提供一个单一平台。这种整体方法使组织能够转变其云运营模式，促进安全实践在整个应用程序生命周期中无缝集成。

为进一步说明Wiz解决方案的现实影响，西门子保护服务主管Bernd Bauer加入了会议，分享了西门子与Wiz的合作历程。西门子是一家全球性企业，在数字工业、智能基础设施和移动解决方案等领域拥有多元化的产品组合，已经经历了重大的数字化转型，在其运营中广泛采用了云技术。

Bernd Bauer承认，西门子在获得整个组织云采用的透明度和控制方面面临着挑战。在一个分散的IT环境中，拥有30万多名员工，确保一致的安全实践和可见性是一个艰巨的任务。西门子认识到需要一种无代理扫描能力的解决方案，与其多样化和分布式的基础设施保持一致。

西门子选择Wiz作为战略合作伙伴，认可其无代理扫描方法的价值。通过一个“云北极星”计划，西门子让IT和业务部门的利益相关者参与了推广过程，在整个组织内培养采用和实现价值。

从第一行代码开始，正确实施云和应用安全（由Wiz赞助）

下面是一些演讲现场的精彩瞬间：

Amino Kosika是Wiz的产品管理和联合创始人，在会议结束后，他介绍了来自Siemens保护服务的Bern Bauer，进行了小组讨论。

Wiz展示了其创新的“云到代码映射”功能，使开发人员能够直接从平台生成拉取请求，无缝修复漏洞，简化了修复过程。

亚马逊云科技强调了云安全成熟度的重要性，以及在云中进行有效威胁检测和响应的需求，解决了安全运营团队面临的挑战。

快速采用云安全解决方案导致发现的漏洞激增，促使成立了一个工作组，为修复提供中央支持和指导，在短时间内大幅降低了风险暴露。

强调了在构建与用户产生共鸣的解决方案时，共同创作和社区参与的重要性，从而带来更好的采用率，并通过渐进式步骤和开放式协作实现持续改进。

来自Siemens的Vern分享了他们与亚马逊云科技持续合作的鼓舞人心的故事，强调了这种令人惊叹的伙伴关系，并邀请观众进行更亲密的问答环节。

总结

在这个引人入胜的叙述中，Wiz公司的联合创始人Amino Kosika分享了该公司在云和应用程序安全方面的创新方法。他强调了组织在获取可见性、管理风险和接受云中新的所有权模式方面所面临的挑战。Wiz的无代理扫描和基于图形的分析能够识别“有毒组合”——造成实际威胁的漏洞、错误配置和暴露。

Kosika强调了通过直接与开发团队共享优先级风险来实现安全民主化的重要性，从而实现高效的补救。他介绍了Wiz Code，这是一种突破性的解决方案，统一了云和代码安全性，允许开发人员在源头修复漏洞并在整个开发生命周期中实施防护措施。

西门子保护服务主管Bernd Bauer加入了讨论，分享了西门子采用Wiz解决方案的经历。他强调了从一开始就让利益相关者参与、采取渐进式方法来建立透明度和预防性控制的价值。

这个叙述以号召行动作为结束，鼓励组织拥抱云原生思维，从第一行代码开始就优先考虑安全性，并在安全团队和开发人员之间建立协作，以实现安全高效的云之旅。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。