亚马逊云科技 re:Invent 2023：安全性、身份与合规性回顾

在这篇博客中，我们将分享与 AWS re:Invent 2023 上的安全性、身份与合规性相关的重要公告，并详细介绍如何通过点播式会议视频和相关博客了解更多信息。AWS re:Invent 于 2023 年 11 月在拉斯维加斯重新开幕。这场盛会包括 2250 多场会议和动手实验室，在五天时间内有超过 5.2 万名与会者参加。如果您未能亲临现场，或者想要回顾一下安全性、身份与合规性公告以及观看点播式会议，那么这篇博客非常适合您。

在 re:Invent 2023 上，以及贯穿各个 AWS 安全服务公告中，有一些重要主题强调了我们通过分享知识和持续开发原生安全服务，来帮助客户应对的各种安全挑战。这些重要主题包括协助您设计零信任、可扩展的身份和访问管理架构、尽早将安全性集成到开发周期中、增强容器安全性以及使用生成式人工智能，来协助改善安全服务和减少平均补救时间。

热门公告

为了协助您更有效地大规模管理身份和访问，我们推出了多项新功能：

• 就在举行 re:Invent 前的一周，我们宣布推出 Amazon Verified Permissions 的两项新功能：
  • 批量授权 – 批量授权是在应用程序中处理授权决策的一种新方式。您可以使用这个新的 API，只需单个 API 调用即可为单个主体或资源处理 30 项授权决策。这有助于您在用户体验（UX）权限中优化多个请求。
  • 可视化架构编辑器 – 这是一款新的可视化架构编辑器，提供了直接在 JSON 编辑器中编辑策略的替代方式。查看实体类型之间的关系，直观地管理主体和资源，并审核应用于应用程序架构的主体和资源类型的操作。
• 我们为 AWS Identity and Access Management（IAM）Access Analyzer 推出了两项新功能：
  • 未使用的访问信息 – 这款新的分析程序会持续监控 AWS Organizations 中您的企业或 AWS 账户内的 IAM 角色和用户，识别未使用的权限、访问密钥及密码。利用这项新功能，您可以从一个控制面板受益，该控制面板能够根据权限数量过多的情况以及对未使用的访问信息的调查发现，对需要关注的账户进行优先处理。您可以将 IAM Access Analyzer 与 Amazon EventBridge 集成，设置自动化通知工作流。此外，对于这些有关未使用的访问信息的新调查发现，您还可以将之与现有的 AWS Security Hub 调查发现相结合。
  • 自定义策略检查 – 利用此功能，您可以在部署 IAM 策略之前验证策略是否符合您的安全标准。自定义策略检查功能利用自动推理（这是以数学证明为后盾的安全保障）的力量，让安全团队能够主动检测不合规的策略更新。通过在持续集成和持续交付（CI/CD）管道内自动进行策略审查，您能够更快地将 AWS 应用程序从开发环境转移到生产环境。安全团队与开发人员合作，在 AWS CodePipeline 管道、AWS CloudFormation Hooks 挂钩、GitHub 操作和 Jenkins 任务中配置自定义策略检查，从而在部署之前自动进行策略审查。
• 我们宣布推出 AWS IAM Identity Center 可信身份传播功能，用于管理和审计各种 AWS 分析服务，包括 Amazon QuickSight、Amazon Redshift、Amazon EMR、AWS Lake Formation 以及通过 S3 Access Grants 使用的 Amazon Simple Storage Service（Amazon S3）。IAM Identity Center 的这项功能简化了对用户数据访问的管理，增强了审计粒度，并改善了分析用户在多种 AWS 分析应用程序内的登录体验。

为了帮助您利用生成式人工智能和自动推理改善安全结果，我们推出了以下新功能：

• Amazon Inspector 通过生成式人工智能支持的补救功能扩展了 AWS Lambda 代码扫描功能 – 现在，您可以评估在自定义专有 AWS Lambda 代码中，是否存在注入缺陷和数据泄漏等安全问题。这项更新为您提供了切实可行的安全调查发现，包括受影响的代码片段以及补救建议，从而简化了对易受攻击代码的更新。
• Amazon CodeWhisperer 提供代码建议，有助于针对您的应用程序代码，修复已识别的特有的安全和代码质量问题。您可以放心地使用这项新功能，来帮助您快速审查和接受代码修复。安全扫描功能可用于 Java、Python、JavaScript，现在还可用于 TypeScript、C#、CloudFormation（YAML、JSON）、AWS CDK（TypeScript、Python）以及 HashiCorp Terraform。
• Amazon Detective 推出使用生成式人工智能的调查发现分组汇总 – 借助 Amazon Detective 调查发现分组汇总，您只需使用自然语言，即可更快地找到和查看有关调查发现分组中识别出的可疑活动的重要洞察。这使得调查和了解异常活动或可疑活动变得更加轻松。
• AWS Config 推出生成式人工智能支持的自然语言查询（预览版）– 借助此功能，您可以简化对 AWS 资源配置和合规性元数据的调查和搜索。

AWS Control Tower 推出了一组 65 个专用控件，旨在协助您满足数字主权需求。2022 年 11 月，我们发布了 AWS 数字主权承诺，承诺为所有 AWS 客户提供云端可用的最先进的主权控件和功能。推出支持数字主权的 AWS Control Tower 控件是我们在数据驻留、精细访问限制、加密和韧性能力路线图中的又一个步骤。AWS Control Tower 为您提供多个账户中的已启用控件、您的合规状态以及控件证据的综合视图。

我们宣布为 Amazon GuardDuty 扩展两项新的功能，从而提供最广泛的威胁检测覆盖范围：

• GuardDuty ECS 运行时监控 – 这项扩展引入了针对 Amazon Elastic Container Service（Amazon ECS）工作负载的运行时威胁检测功能，包括在 AWS Fargate 上运行的无服务器容器工作负载。现在，当您在 AWS 上运行容器工作负载时，GuardDuty 可以提供最为广泛的容器安全保障。
• Amazon EC2 的 GuardDuty 运行时监控（预览版）– 这项扩展为 Amazon Elastic Compute Cloud（Amazon EC2）工作负载引入了运行时威胁检测功能。GuardDuty EC2 运行时监控功能加强了对 Amazon EC2 工作负载的威胁检测范围。

除了针对 Lambda 函数的 Amazon Inspector 代码补救功能之外，我们还为 Amazon Inspector 推出了两项新功能，协助您大规模地检测软件漏洞：

• 增强容器映像安全性 – Amazon Inspector 现在与开发人员工具集成，引入了一组新的开源插件和一个 API。无论容器映像在何处运行，您都可以使用这项新功能，直接从 CI/CD 管道评估容器映像是否存在软件漏洞。
• 适用于 Amazon EC2 的 Amazon Inspector 无代理漏洞评估（预览版）– Amazon Inspector 无需安装代理或其他软件，即可持续监控您的 Amazon EC2 实例。

我们在 AWS Security Hub 中引入了四项新功能，可协助您消除整个企业的安全漏洞，增强安全团队的用户体验，提高可见性：

• 集中配置 – 简化您在多账户、多区域企业中设置和管理 Security Hub 的方式。通过集中配置，您可以将委派管理员账户用作单一管理位置来查看安全调查发现，也可以用于 Security Hub 中的企业配置。
• 自定义安全控制 – 您现在可以完善由 Security Hub 控件监控的最佳实践，从而满足更具体的安全要求。Security Hub 控件中提供对客户特定输入的支持，因此您可以在 AWS 上自定义安全态势监控。
• 为调查发现充实元数据 – 在此次充实中，将资源标签、新的 AWS 应用程序标签和账户名称信息添加到了提取到 Security Hub 的每项调查发现中。这包括来自 GuardDuty、Amazon Inspector 和 IAM Access Analyzer 等 AWS 安全服务的调查发现，以及庞大且不断增长的 AWS 合作伙伴网络（APN）解决方案。借助此增强功能，您可以更好地对安全调查发现执行情境分析、确定优先顺序并采取行动。
• 控制面板增强功能 – 您现在可以筛选和自定义控制面板视图，并访问我们精选的一组新的小工具，这些工具可反映出现代云安全威胁格局，并与您的 AWS 云环境中的潜在威胁和漏洞相关。这种改进让您可以更轻松地将注意力集中在需要注意的风险上，更全面地了解自己的云安全态势。

除了 Amazon Detective 调查发现分组汇总之外，我们还为 Amazon Detective 增加了三项新功能，用于简化安全调查流程：

• 用于 IAM 的检测性调查 – 您可以利用这项功能调查 IAM 对象，例如用户和角色，以便获取漏洞指标（IOC）。此功能有助于确定是否有可能涉及 MITRE ATT&CK 框架中的已知策略。
• GuardDuty ECS 运行时监控的安全调查 – 现在，您可以使用 GuardDuty 中的新运行时威胁检测功能，以及 Detective 的 Amazon ECS 中的增强可视化效果以及其他检测上下文，协助改进对容器工作负载中潜在威胁的检测和响应。
• 从 Amazon Security Lake 检索日志 – Detective 与 Security Lake 进行了集成，因此您可以查询和检索存储在安全湖中的日志。当您在 Detective 中执行安全调查时，可以使用此集成从存储在 Security Lake 中的 AWS CloudTrail 日志和 Amazon Virtual Private Cloud（Amazon VPC）流日志中获取更多信息。

我们推出了 AWS Secrets Manager 密钥批量检索功能，只需调用 API 一次，即可识别和检索应用程序的一组密钥。新的 API BatchGetSecretValue 为常见开发人员工作流提供了更好的简便性，尤其是当您需要将多个密钥整合到应用程序中时。

我们与 AWS 合作伙伴密切合作，打造了可让您更轻松地保护云工作负载的产品：

• AWS 内置能力 – 无论使用案例或类别如何，AWS 内置能力合作伙伴解决方案都能够提供助力，让您最大限度地缩短找出最适合采用的 AWS 服务所需的时间。
• AWS 网络保险能力 – AWS 与领先的网络保险合作伙伴合作，帮助简化参与网络保险的流程。这样您可以更轻松地从 AWS 合作伙伴处找到负担得起的保险单方案，这些合作伙伴利用 Security Hub，通过用户友好的客户体验整合了他们的安全态势评估。

按需体验内容

如果您无法亲自参加会议或者希望再次观看会议，则可以观看许多以点播式方式提供的会议。

主题演讲、创新讲座和领导力会议

观看 AWS re:Invent 2023 主题演讲，其中 AWS 首席执行官 Adam Selipsky 分享了自己对云转型的看法，并独家首次介绍了 AWS 在生成式人工智能、机器学习、数据和基础设施进步方面的创新。您也可以回看其他 AWS re:Invent 2023 主题演讲。

随着企业适应新技术并加以采用，安全格局正在发生变化。本演讲探索了 AWS 对提高业务灵活性的安全愿景。观看 Amazon 的 Chief Security Officer Steve Schmidt 和 AWS 的 Chief Information Security Officer Chris Betz 主讲的创新演讲，了解他们对零信任、构建者安全体验和生成式人工智能等重要主题的洞察。

在 AWS，我们与客户密切合作，了解他们对关键工作负载的各种要求。我们与新加坡政府的智慧国家和数字政府小组（SNDGG）合作，为新加坡公民和企业建设智慧国家，相关的视频阐述了这种方法。观看 AWS Sovereign Cloud 的 Vice President Max Peterson 与新加坡政府 Chief Digital Technology Officer Chan Cheow Hoe 主讲的领导力会议，他们将分享 AWS 如何协助新加坡在建设智能国家的云之旅中向前大步迈进。

分组会议和新产品发布会

观看点播式分组会议和新产品发布会，了解以下主题：

• 了解 AWS、客户和合作伙伴如何携手合作，利用 AWS 基础设施和服务增强安全态势。
• 了解身份和访问管理、检测和响应、网络和基础设施安全、数据保护和隐私，以及监管、风险和合规方面的发展趋势。
• 全面了解我们的发布会！ 阅读安全专家的最新公告，了解新服务和解决方案如何协助您满足安全性和合规性的核心要求。

请务必预留时间，参加将于 6 月 10 日至 12 日在宾夕法尼亚州费城举行的 AWS re:Inforce 2024 大会，获得更多面对面了解安全形势的机会。我们期待您的参与！

如果您想要讨论这些新公告如何推动您的企业改善安全态势，请与 AWS 联系，我们随时准备为您提供帮助。立即联系您的 AWS 客户团队。

本篇作者