亞馬遜云科技在 re:Inforce 2024全球大會(huì)上宣布推出多項(xiàng)安全服務(wù)新功能，涵蓋惡意軟件防護(hù)、生成式 AI 驅(qū)動(dòng)安全、身份訪問(wèn)和管理等，幫助用戶更輕松、安全地在亞馬遜云科技上進(jìn)行構(gòu)建。

具體包括將 Amazon GuardDuty 惡意防護(hù)功能擴(kuò)展至 Amazon Simple Storage Service（Amazon S3） ，推出 Amazon CloudTrail Lake 基于生成式AI的自然語(yǔ)言查詢功能（預(yù)覽版），Amazon Identity and Access Management (Amazon IAM)支持使用通行密鑰作為第二個(gè)身份驗(yàn)證因素，Amazon IAM 訪問(wèn)分析器提供針對(duì)未使用的訪問(wèn)權(quán)限建議以達(dá)成最小權(quán)限以及為公共和關(guān)鍵資源的訪問(wèn)提供策略訪問(wèn)，Amazon Cloud WAN 推出服務(wù)嵌入功能，Amazon Private Certificate Authority (Amazon Private CA) 引入了對(duì)簡(jiǎn)單證書注冊(cè)協(xié)議(SCEP)的支持等等。

亞馬遜云科技首席信息安全官 Chris Betz

01  Amazon GuardDuty Malware Protection 

惡意軟件防護(hù)現(xiàn)已支持 Amazon S3

Amazon GuardDuty 惡意軟件防護(hù)功能現(xiàn)已支持 Amazon S3，該服務(wù)由亞馬遜云科技完全托管，幫助客戶運(yùn)營(yíng)計(jì)算基礎(chǔ)設(shè)施，減輕企業(yè)管理數(shù)據(jù)掃描管道所帶來(lái)的操作復(fù)雜性和管理成本。

Amazon GuardDuty 幫助客戶保護(hù)數(shù)百萬(wàn)個(gè) Amazon S3 存儲(chǔ)桶和亞馬遜云科技賬戶。該擴(kuò)展功能允許用戶掃描新上傳到 Amazon S3 存儲(chǔ)桶的對(duì)象，以檢測(cè)潛在的惡意軟件、病毒和其他可疑上傳內(nèi)容，并在這些對(duì)象被注入到后續(xù)流程之前采取隔離措施。該功能還為應(yīng)用所有者提供了更多控制 Amazon S3 存儲(chǔ)桶安全性的能力，即使他們沒(méi)有在其賬戶中啟用 Amazon GuardDuty 的基礎(chǔ)功能，仍然可以為 Amazon S3 啟用 Amazon GuardDuty 惡意軟件防護(hù)功能。應(yīng)用所有者會(huì)通過(guò) Amazon EventBridge 自動(dòng)接收到掃描結(jié)果通知，從而構(gòu)建下游工作流，例如將可疑對(duì)象移動(dòng)到隔離存儲(chǔ)桶，或使用標(biāo)簽（防止用戶或應(yīng)用訪問(wèn)某些對(duì)象）定義存儲(chǔ)桶策略。

02  推出 Amazon CloudTrail Lake 基于生成式 AI 的自然語(yǔ)言查詢功能（預(yù)覽版）

Amazon CloudTrail Lake 新推出的基于生成式 AI 的自然語(yǔ)言查詢功能（預(yù)覽版），可以使企業(yè)無(wú)需編寫復(fù)雜的 SQL 查詢，即可輕松地在 CloudTrail Lake 中分析亞馬遜云科技的活動(dòng)事件?，F(xiàn)在，通過(guò)這項(xiàng)新功能，用戶可以用自然語(yǔ)言提問(wèn)有關(guān)亞馬遜云科技 API 及其用戶活動(dòng)相關(guān)問(wèn)題，例如“過(guò)去一周內(nèi)每個(gè)服務(wù)記錄了多少錯(cuò)誤，每個(gè)錯(cuò)誤的原因是什么？”或“顯示昨天通過(guò)控制臺(tái)登錄的所有用戶？”，Amazon CloudTrail 就會(huì)生成一個(gè) SQL 查詢，用戶可以直接運(yùn)行該查詢或?qū)υ摬樵冞M(jìn)行微調(diào)，以滿足您的使用場(chǎng)景需求。

03  Amazon IAM 現(xiàn)在支持使用通行密鑰作為第二個(gè)身份驗(yàn)證因素

Amazon IAM 現(xiàn)在支持使用通行密鑰(passkey)作為第二個(gè)身份驗(yàn)證因素，為用戶多個(gè)設(shè)備提供更簡(jiǎn)單、更安全的登錄。

基于 FIDO(Fast IDentity Online)線上快速身份驗(yàn)證標(biāo)準(zhǔn)，passkey 采用公鑰加密技術(shù)，將實(shí)現(xiàn)比密碼更強(qiáng)大且抗釣魚的身份驗(yàn)證。Amazon IAM 現(xiàn)在允許用戶使用 passkey 進(jìn)行多因素認(rèn)證（MFA），并支持內(nèi)置的身份驗(yàn)證器（如 Apple MacBook 上的 Touch ID 和 PC 上的 Windows Hello 面部識(shí)別），從而實(shí)現(xiàn)對(duì)亞馬遜云科技賬戶的安全訪問(wèn)。用戶可以通過(guò)硬件安全密鑰或選擇的 passkey 提供商使用您的指紋、面部識(shí)別或設(shè)備 PIN 創(chuàng)建 passkey，并可在設(shè)備間同步來(lái)登錄亞馬遜云科技賬戶。這項(xiàng)新功能不僅擴(kuò)展了現(xiàn)有的多因素認(rèn)證（MFA）功能，還有助于提高 MFA 的可用性和可恢復(fù)性。用戶可以使用一系列支持的 IAM MFA 方法，包括 FIDO 認(rèn)證的安全密鑰，以增強(qiáng)對(duì) Amazon 賬戶的訪問(wèn)保護(hù)。

04  Amazon IAM 訪問(wèn)分析器現(xiàn)提供針對(duì)未使用的訪問(wèn)權(quán)限建議以達(dá)成

最小權(quán)限

Amazon IAM 的訪問(wèn)分析器現(xiàn)在提供針對(duì)未使用的訪問(wèn)權(quán)限的可操作建議，指導(dǎo)用戶修正對(duì)于未使用的角色、訪問(wèn)密鑰和密碼。企業(yè)的安全團(tuán)隊(duì)成員可使用 Amazon IAM 訪問(wèn)分析器獲取企業(yè)在整個(gè)亞馬遜云科技中未使用訪問(wèn)權(quán)限的可見性，并自動(dòng)調(diào)整權(quán)限。

安全團(tuán)隊(duì)可以設(shè)置自動(dòng)化工作流，以通知開發(fā)人員有關(guān)新的 Amazon IAM 訪問(wèn)分析器發(fā)現(xiàn)的情況?，F(xiàn)在，用戶可利用 Amazon IAM 訪問(wèn)分析器提供的建議，通知開發(fā)人員，以簡(jiǎn)化他們優(yōu)化未使用權(quán)限的流程。

05  Amazon IAM 訪問(wèn)分析器現(xiàn)可為公共和關(guān)鍵資源的訪問(wèn)提供策略檢查

Amazon IAM 訪問(wèn)分析器擴(kuò)展了自定義策略的能力，可以在部署之前主動(dòng)檢測(cè)授予公共訪問(wèn)權(quán)限或授予對(duì)關(guān)鍵資源訪問(wèn)權(quán)限，以識(shí)別不符合要求的更新策略。安全團(tuán)隊(duì)可以利用這些檢查來(lái)簡(jiǎn)化審查流程，自動(dòng)批準(zhǔn)符合其安全標(biāo)準(zhǔn)的策略，并在發(fā)現(xiàn)問(wèn)題時(shí)進(jìn)行更深入的檢查。

06  Amazon Cloud WAN 推出

服務(wù)嵌入功能

Amazon Cloud WAN 推出了服務(wù)嵌入（service insertion）功能，這一功能簡(jiǎn)化了網(wǎng)絡(luò)服務(wù)之間的整合，包括防火墻、入侵檢測(cè)/預(yù)防系統(tǒng)以及其他需要集成到全球網(wǎng)絡(luò)中的設(shè)備。管理成本不會(huì)隨著網(wǎng)絡(luò)擴(kuò)大而增加。Amazon Cloud WAN 服務(wù)嵌入功能支持常見的用例和架構(gòu)，包括 VPC 之間、不同亞馬遜云科技區(qū)域之間、從本地到 VPC、以及從 VPC 或本地到互聯(lián)網(wǎng)間的各種 Cloud WAN 流量檢查。

07  Amazon Private CA 引入了對(duì)簡(jiǎn)單證書注冊(cè)協(xié)議(SCEP)的支持

Amazon Private CA 是一個(gè)高可用性的多功能 CA，企業(yè)可以使用它來(lái)頒發(fā)私有證書，用于保護(hù)其應(yīng)用程序和設(shè)備的安全。