Written by: AWS Community Builder Wang Sheng Hau 在2023/7/13 - 14 兩天的議程中,針對了 AWS Security 的產品有近一步的更新
這邊節錄了一些重點內容分享給大家
- Amazon Verified Permissions — Verified Permissions 是針對您構建的應用程序的可擴展權限管理和細粒度授權服務。該服務通過外部化授權和集中策略管理來幫助您的開發人員更快地構建安全的應用程序。開發人員可以通過在應用程序內實施最小權限和持續驗證來使應用程序訪問符合零信任原則。安全和審計團隊可以更好地分析和審計誰有權訪問應用程序內的內容。亞馬遜驗證權限使用Cedar,一種用於訪問控制的開源策略語言,使開發人員和管理員能夠使用上下文感知訪問控制的角色和屬性來定義基於策略的訪問控制。
- Amazon Inspector 對 Lambda 函數進行代碼掃描— Amazon Inspector現在支持對AWS Lambda進行代碼掃描函數,擴展了掃描 Lambda 函數和相關層以查找應用程序包依賴項中的軟件漏洞的現有功能。Lambda 函數的 Amazon Inspector 代碼掃描會掃描您在 Lambda 函數中編寫的自定義專有應用程序代碼,以查找安全漏洞,例如注入缺陷、數據洩漏、弱加密或缺失加密。在檢測到 Lambda 函數或層中的代碼漏洞後,Amazon Inspector 會生成可操作的安全結果,其中提供了多個詳細信息,例如安全檢測器名稱、受影響的代碼片段以及解決漏洞的修復建議。結果匯總在 Amazon Inspector 控制台中,並與AWS Security Hub和Amazon EventBridge集成簡化工作流程自動化。
- Amazon Inspector SBOM 導出— Amazon Inspector 現在能夠以多種行業標準格式(包括 CycloneDx 和軟件包數據交換 (SPDX))導出整個組織中監控的資源的綜合軟件物料清單 (SBOM)。借助這項新功能,您可以使用自動化且集中管理的 SBOM 來了解有關軟件供應鏈的關鍵信息。這包括有關資源中使用的軟件包的詳細信息以及相關的漏洞。SBOM 可以導出到Amazon Simple Storage Service (Amazon S3)存儲桶並下載以使用Amazon Athena或Amazon QuickSight進行分析可視化軟件供應鏈趨勢。只需在 Amazon Inspector 控制台中單擊幾下或使用 Amazon Inspector API 即可使用此功能。
- Amazon CodeGuru Security — Amazon CodeGuru Security提供了一套全面的 API,旨在與您現有的管道和工具無縫集成。CodeGuru Security 是一種靜態應用程序安全測試 (SAST) 工具,它使用機器學習來幫助您識別代碼漏洞並提供可用作修復的一部分的指導。CodeGuru Security 還針對某些類別的漏洞提供上下文代碼補丁,幫助您減少修復代碼所需的工作量。
- Amazon EC2 Instance Connect 終端節點— Amazon Elastic Compute Cloud (Amazon EC2)宣布支持通過 Amazon EC2 Instance Connect 終端節點 (EIC 終端節點) 在私有子網中使用 SSH 或 RDP 連接到實例。借助此功能,您可以使用 SSH 或 RDP 從互聯網連接到您的實例,而無需公共 IPv4 地址。
- AWS 內置合作夥伴解決方案— AWS 內置合作夥伴解決方案是與 AWS 專家共同構建的,有助於確保嚴格遵循 AWS Well-Architected 安全參考架構指南和最佳安全實踐。AWS 內置合作夥伴解決方案可以在您開始遷移或現代化計劃時獲得正確的雲開發構建塊,從而為您節省寶貴的時間和資源。AWS 內置解決方案還可以自動執行部署,並將安裝時間從數月或數週減少到一天。客戶經常向我們的合作夥伴尋求創新並幫助“正確使用雲”。現在,擁有 AWS 內置解決方案的合作夥伴可以幫助您提高效率,並推動合作夥伴軟件和 AWS 原生服務的業務價值。
- AWS 網絡保險合作夥伴— AWS 與領先的網絡保險合作夥伴合作,幫助簡化獲得網絡保險的流程。現在,您可以直接從經過驗證的 AWS 網絡保險合作夥伴那裡尋找和購買網絡保險,從而降低業務風險。為了減少文書工作量並節省時間,請從AWS Security Hub下載並共享您的AWS 基礎安全最佳實踐標準詳細報告並與您選擇的 AWS 網絡保險合作夥伴共享該報告。通過經過 AWS 審查的網絡保險合作夥伴,您可以確信這些保險公司了解 AWS 安全狀況並根據最新的 AWS 安全最佳實踐評估您的環境。現在,您只需兩個工作日即可獲得完整的網絡保險報價。
- AWS 全球合作夥伴安全計劃—通過 AWS 全球合作夥伴安全計劃,AWS 將利用我們全球系統集成商 (GSI) 合作夥伴的能力、規模和深厚的安全知識,共同開發端到端安全解決方案和託管服務。
- Amazon Detective 發現組— Amazon Detective擴展了其發現組功能,除了Amazon GuardDuty之外還包括 Amazon Inspector 發現結果發現。通過使用機器學習,這一發現組功能的擴展顯著簡化了調查過程,減少了所花費的時間,並有助於更好地識別安全事件的根本原因。通過對 Amazon Inspector 和 GuardDuty 的結果進行分組,您可以使用 Detective 來回答難題,例如“此 EC2 實例是否因漏洞而受到損害?” 或者“GuardDuty 的這一發現是否是由於意外的網絡暴露造成的?” 此外,Detective 將確定的發現及其相應的策略、技術和程序映射到 MITRE ATT&CK 框架,從而提高安全措施的整體有效性和一致性。
- [預告]適用於 Active Directory 的 AWS 私有證書頒發機構連接器 – AWS Private CA即將推出適用於 Active Directory (AD) 的連接器。AD 連接器將通過完全託管的無服務器解決方案幫助減少前期公鑰基礎設施 (PKI) 投資和持續維護成本。這項新功能將通過使用高度安全的硬件安全模塊 (HSM) 支持的 AWS 私有 CA 替換本地證書頒發機構來幫助降低 PKI 複雜性。您將能夠使用自動註冊功能自動部署證書到本地 AD 和適用於Microsoft Active Directory 的AWS Directory Service 。
- AWS 支付加密—在 re:Inforce 的前一天, AWS 支付加密正式發布。該服務簡化了雲託管支付應用程序中的加密操作。AWS 支付加密技術可根據各種 PCI 標準簡化您對用於保護支付處理中的數據和操作的加密功能和密鑰管理的實施。
- AWS WAF Fraud Control 推出賬戶創建欺詐預防功能— AWS WAF Fraud Control 宣布推出賬戶創建欺詐預防功能,這是一種針對 AWS WAF 的託管保護,旨在防止創建虛假或欺詐賬戶。欺詐者利用虛假賬戶發起活動,例如濫用促銷和註冊獎金、冒充合法用戶以及實施網絡釣魚策略。帳戶創建欺詐預防允許您持續監控異常數字活動的請求,並根據請求標識符和行為分析自動阻止可疑請求,從而幫助保護您的帳戶註冊或註冊頁面。
- AWS Security Hub 自動化規則— AWS Security Hub 是一項云安全態勢管理服務,可執行安全最佳實踐檢查、聚合警報並促進自動修復,現在具有近實時自動更新或抑制發現結果的功能。您現在可以使用自動化規則自動更新結果中的各個字段、隱藏結果、更新結果嚴重性和工作流程狀態、添加註釋等。
- Amazon S3 宣布推出雙層服務器端加密— Amazon S3 是唯一一個您可以在對象級別應用兩層加密並控制用於兩層的數據密鑰的雲對象存儲服務。使用AWS Key Management Service (DSSE-KMS)中存儲的密鑰進行雙層服務器端加密旨在遵守國家安全局國家安全系統政策委員會 (CNSSP) 15,以實現 FIPS 合規性和靜態數據功能包 ( DAR CP)兩層MFS U/00/814670-15 商業國家安全算法(CNSA) 加密的5.0 版指南。
- AWS CloudTrail Lake 儀表板— AWS CloudTrail Lake 是一個託管數據湖,可讓組織聚合、永久存儲、可視化和查詢其審核和安全日誌,宣布全面推出 CloudTrail Lake 儀表板。CloudTrail Lake 儀表板直接在 CloudTrail 控制台中提供來自審計和安全數據的開箱即用的可視化和關鍵趨勢圖表。它還可以靈活地深入了解其他詳細信息(例如特定用戶活動),以便使用 CloudTrail Lake SQL 查詢進行進一步分析和調查。
- AWS Well-Architected Profiles — AWS Well-Architected 引入了 Profiles,讓您可以根據業務目標定制 Well-Architected 評論。此功能創建了一種持續改進的機制,鼓勵您首先考慮特定目標來審查您的工作負載,然後完成其餘的 Well-Architected 審查問題。
ref : https://aws.amazon.com/tw/blogs/security/aws-reinforce-2023-key-announcements-and-session-highlights/
