2024年6月12日 亚马逊云科技在re:Inforce 2024全球大会上宣布推出多项安全服务新功能,涵盖恶意软件防护、生成式AI驱动安全、身份访问和管理等,帮助用户更轻松、安全地在亚马逊云科技上进行构建。具体包括将Amazon GuardDuty恶意防护功能扩展至Amazon Simple Storage Service(Amazon S3),推出Amazon CloudTrail Lake基于生成式AI的自然语言查询功能(预览版),Amazon Identity and Access Management (Amazon IAM)支持使用通行密钥作为第二个身份验证因素,Amazon IAM访问分析器提供针对未使用的访问权限建议以达成最小权限以及为公共和关键资源的访问提供策略访问,Amazon Cloud WAN 推出服务嵌入功能,Amazon Private Certificate Authority (Amazon Private CA)引入了对简单证书注册协议(SCEP)的支持等等。
Amazon GuardDuty Malware Protection恶意软件防护现已支持Amazon S3
Amazon GuardDuty恶意软件防护功能现已支持Amazon S3,该服务由亚马逊云科技完全托管,帮助客户运营计算基础设施,减轻企业管理数据扫描管道所带来的操作复杂性和管理成本。Amazon GuardDuty帮助客户保护数百万个Amazon S3存储桶和亚马逊云科技账户。该扩展功能允许用户扫描新上传到Amazon S3存储桶的对象,以检测潜在的恶意软件、病毒和其他可疑上传内容,并在这些对象被注入到后续流程之前采取隔离措施。该功能还为应用所有者提供了更多控制Amazon S3存储桶安全性的能力,即使他们没有在其账户中启用Amazon GuardDuty的基础功能,仍然可以为Amazon S3启用Amazon GuardDuty恶意软件防护功能。应用所有者会通过Amazon EventBridge自动接收到扫描结果通知,从而构建下游工作流,例如将可疑对象移动到隔离存储桶,或使用标签(防止用户或应用访问某些对象)定义存储桶策略。
推出Amazon CloudTrail Lake基于生成式AI的自然语言查询功能(预览版)
Amazon CloudTrail Lake新推出的基于生成式AI的自然语言查询功能(预览版),可以使企业无需编写复杂的SQL查询,即可轻松地在CloudTrail Lake中分析亚马逊云科技的活动事件。现在,通过这项新功能,用户可以用自然语言提问有关亚马逊云科技API及其用户活动相关问题,例如“过去一周内每个服务记录了多少错误,每个错误的原因是什么?”或“显示昨天通过控制台登录的所有用户?”,Amazon CloudTrail就会生成一个SQL查询,用户可以直接运行该查询或对该查询进行微调,以满足您的使用场景需求。
Amazon IAM现在支持使用通行密钥作为第二个身份验证因素
Amazon IAM现在支持使用通行密钥(passkey)作为第二个身份验证因素,为用户多个设备提供更简单、更安全的登录。基于FIDO(Fast IDentity Online)线上快速身份验证标准,passkey采用公钥加密技术,将实现比密码更强大且抗钓鱼的身份验证。Amazon IAM现在允许用户使用passkey进行多因素认证(MFA),并支持内置的身份验证器(如Apple MacBook上的Touch ID和PC上的Windows Hello面部识别),从而实现对亚马逊云科技账户的安全访问。用户可以通过硬件安全密钥或选择的passkey提供商使用您的指纹、面部识别或设备PIN创建passkey,并可在设备间同步来登录亚马逊云科技账户。这项新功能不仅扩展了现有的多因素认证(MFA)功能,还有助于提高MFA的可用性和可恢复性。用户可以使用一系列支持的IAM MFA方法,包括FIDO认证的安全密钥,以增强对Amazon账户的访问保护。
Amazon IAM访问分析器现提供针对未使用的访问权限建议以达成最小权限
Amazon IAM的访问分析器现在提供针对未使用的访问权限的可操作建议,指导用户修正对于未使用的角色、访问密钥和密码。企业的安全团队成员可使用Amazon IAM 访问分析器获取企业在整个亚马逊云科技中未使用访问权限的可见性,并自动调整权限。安全团队可以设置自动化工作流,以通知开发人员有关新的Amazon IAM访问分析器发现的情况。现在,用户可利用Amazon IAM访问分析器提供的建议,通知开发人员,以简化他们优化未使用权限的流程。
Amazon IAM访问分析器现可为公共和关键资源的访问提供策略检查
Amazon IAM访问分析器扩展了自定义策略的能力,可以在部署之前主动检测授予公共访问权限或授予对关键资源访问权限,以识别不符合要求的更新策略。安全团队可以利用这些检查来简化审查流程,自动批准符合其安全标准的策略,并在发现问题时进行更深入的检查。
Amazon Cloud WAN推出服务嵌入功能
Amazon Cloud WAN推出了服务嵌入(service insertion)功能,这一功能简化了网络服务之间的整合,包括防火墙、入侵检测/预防系统以及其他需要集成到全球网络中的设备。管理成本不会随着网络扩大而增加。Amazon Cloud WAN服务嵌入功能支持常见的用例和架构,包括VPC之间、不同亚马逊云科技区域之间、从本地到VPC、以及从VPC或本地到互联网间的各种Cloud WAN流量检查。
Amazon Private CA引入了对简单证书注册协议(SCEP)的支持
Amazon Private CA是一个高可用性的多功能CA,企业可以使用它来颁发私有证书,用于保护其应用程序和设备的安全。