大模型赋能的云原生应用安全平台-汉为软件NovaGuard

什么是NovaGuard  ？

NovaGuard Platform，是一款专为当代云环境设计的全方位云原生应用安全平台（ Cloud Native Application Protection Platform）。在数字化转型的浪潮中，越来越多的企业选择将业务迁移到AWS云平台。然而，随着云资产规模的不断扩大，如何确保云环境的安全性、合规性和可观测性成为了企业面临的重大挑战。

今天，我们为您介绍一款专为AWS环境量身打造的安全管理平台——NovaGuard 。NovaGuard 是一个专注于AWS资产管理、云服务安全审计、合规监控和日志分析的综合性安全管理平台。它深度集成了AWS的各项安全服务和能力，为企业提供统一的安全管理视角，帮助您轻松应对云安全挑战。

适合场景

• 企业云安全团队：多账户安全态势管理、安全配置基线检查、公共资源暴露检测、基于AI的安全报告分析
• 合规审计部门：基于SOC2、ISO27001、PCI-DSS等合规框架要求定期生成合规状态报告
• DevSecOps团队：扫描容器镜像漏洞
• 企业运维团队：无代理资源发现、AI运维助手、实时告警通知（集成飞书/钉钉/邮箱等）、多账户账单概览

NovaGuard Platform架构图

核心功能模块

1. 多账号资产管理与可视化

通过NovaGuard的资产管理功能，安全管理人员可以实现全局资源的可视化管理，建立统一的资产分类体系，有效降低”影子IT”风险，为后续的安全治理奠定基础。

（1） 仪表盘视图

提供企业级云安全态势、云资产的统一视图，通过实时数据聚合和可视化展示，让管理人员一目了然地掌握整体状况。收集NovaGuard平台扫描结果、安全态势事件、资产清单推送到仪表盘进行展示。

安全视图

资产视图

（2） 云资产清单展示

通过 100% 无代理扫描获得对云账号的全面可视性。持续发现您的云环境，涵盖基础架构、工作负载、身份和数据，以强大的方式可视化您的所有云资产并进行分类。

（3）多维度分类管理

支持按照业务、部门、环境（生产/测试）等维度进行资产筛选和分组，满足复杂组织架构下的精细化管理需求。

（4）多账户账单概览

整合多个AWS账户的成本数据，提供统一的成本可视化和分析能力，帮助优化云支出。

（5）多账户服务配额查询

统一查看多个AWS账户的服务配额使用情况，预防因配额不足导致的业务中断。

2. 云检测与响应(CDR) –主动防御威胁

NovaGuard Platform的云检测与响应模块提供了全方位的安全监控能力，通过Amazon Inspector等其他安全引擎扫描EC2、容器镜像及时发现潜在威胁。实时监控账户的AWS Health事件，通过多种渠道向企业运维、安全团队发送告警，确保快速响应处理。

（1）威胁检测

构建多层次的威胁检测体系，通过多种扫描引擎和监控手段，实现对自动检测操作系统、应用程序、容器镜像中的已知CVE漏洞、恶意软件、配置错误等。

（2）事件通知

建立多渠道、多层级的安全事件通知体系，确保关键安全事件能够及时传达给相关人员，实现快速响应。

集成SNS通知，sns队列处理流程:

创建Amazon EventBridge规则 →  事件触发 →  SNS服务 → 多渠道分发 → 接收确认

配置告警

告警事件

3. 云合规性检查与风险治理

NovaGuard Platform的CSPM模块专注于识别云基础设施中的配置错误和合规性问题。系统会根据行业最佳实践和安全基准，对云环境进行深度扫描，发现潜在的安全风险。

（1）合规框架

（2）风险评估

通过持续审查和评估云环境设置和配置来监控风险。通过将发现的风险与安全标准和策略进行映射，您可以实现并保持合规性，并轻松应对多云环境中的审计。利用针对 20 多个合规性框架（包括 SOC-2、GDPR、PCI DSS、HIPAA、NYDFS 等）的预构建报告并提供修复建议。

（3）定期自动检测

建立持续的自动化检测任务，确保云环境的合规性和安全性得到持续监控和改进。

4. 日志监控 – 全方位可观测性

通过调用AWS CloudTtail API，将多AWS账户的日志集成到NovaGuard Platform进行统一查询。

操作日志

登录日志

5. 云基础设施权限 (CIEM) – 精细化权限管理

在您的云安全基础设施中构建零信任。在不破坏任何内容的情况下，尽量减少服务和人员的过多权限。实现最小特权的途径始于对所有权利的完整而准确的了解。基于AWS Well-Architected Framework和标准合规性框架要求持续发现环境中的所有实体和策略（包括 IAM、资源、权限边界和 ACL）。

大模型Agent 深度赋能

1. 基于 Amazon Q Developer CLI的智能运维

NovaGuard Platform提供基于Amazon Bedrock、 Amazon Q Developer CLI 的智能 AWS 运维代理平台，旨在通过AI运维机器人自然语言交互，简化运维人员管理多AWS账号的工作，提升技术运维的整体效率和响应速度。

该模块支持以下功能：

（1）通过自然语言交互，快速定位、排查AWS账号下的技术问题，并提供修复建议；

（2）集成Amazon Q Developer CLI，可以将一个大的复杂任务进行拆解，拆解成多个思维步骤进行执行；

（3）结合了Amazon Bedrock Knowledge Bases Retrieval MCP Server 和 AWS Support MCP Server，结合知识库中的 runbook 来判断当前服务是否正常，根据工单模板 Q CLI 自动填充相关信息。

2. 基于AWS Strands SDK 构建的AI Agent提供安全报告分析

基于AWS Bedroc模型的安全报告分析平台，专门为NovaGuard Platform扫描的安全报告提供AI驱动的智能摘要服务。提供了强大的AI驱动文档分析能力，大大提升了安全报告的处理效率和分析质量。

该模块支持以下功能：

（1） 多模型AI摘要引擎（可以根据成本灵活选择模型）：支持Bedrock 上的所有模型，详见：https://docs.aws.amazon.com/bedrock/latest/userguide/models-supported.html

（2）多格式文档处理：支持JSON和HTML文件，将HTML文件进行Markdown转换，然后进行内容分块，再进行AI分析，支持多种格式的安全扫描报告；

（3）智能内容处理：智能边界检测避免在句子中间分割，并且上下文保持，保持分块间的逻辑连贯性；

定价和商务对接

目前该产品可通过Marketplace进行订阅AMI（独立部署版本），也可以联系汉为CTO 林总(jinfeng.lin@hanweie.com; 18905929871)订阅SaaS版。

总结

综上所述，本文详细介绍了NovaGuard Platform 一款专为当代云环境设计的全方位云原生应用安全平台。该产品一方面具备了AWS资产管理、云服务安全审计、合规监控和日志分析的综合性安全管理的功能。另一方面，结合AI技术，由生成式人工智能 (AI) 驱动的对话助手，可以帮助理解、构建、扩展和操作 AWS 应用程序，您可以咨询有关 AWS 架构、AWS 资源、最佳实践、文档、支持等方面的问题。

助力客户显著提升云原生应用安全防护效率、降低安全运维成本、优化开发运维体验，快速实现企业数字化安全转型与业务价值增长。

本篇作者