周二,AWS 宣布对其安全运营服务 Security Hub 进行扩展,新增对 Microsoft Azure 资源的监控功能,同时推出更多用于保护 AI 工作负载的工具。这是该服务首次原生支持监控 AWS 之外的资源。
此次发布共包含四项重大更新:Azure 资源监控、Amazon GuardDuty AI Protection、GuardDuty AI 驱动的调查以及 Security Hub AI 资产清单。除处于预览阶段的调查功能(在 10 个 AWS 区域可用)外,其余功能均已正式发布。这些功能共同兑现了 AWS 在 RSA 大会前于 3 月 承诺 的多云扩展计划。
AWS 保障 Azure 安全
此次发布中最引人注目的更新是对 Azure 资源监控的支持。Security Hub 可自动发现客户的 Azure 虚拟机、容器镜像、无服务器 Function Apps 及身份信息,并使用 CIS Azure Foundations Benchmark 检查其是否存在配置错误、面向互联网的暴露以及易受攻击的软件。来自 Azure 的所有发现结果将与 AWS 发现结果一同显示在单个排序队列中,并可触发团队已构建的自动化工作流。
正如 AWS 安全服务总监 Michael Fuller 在发布公告的博文中所写:“你的工作负载迁移到新云端。你的安全也应已就位。”
监控 Azure 资源的费用与监控同等 AWS 资源相同,无额外平台费用,并提供单独的 30 天免费试用期。
保护 AI 工作负载
相比之下,GuardDuty AI Protection 是一款以 AWS 为中心的产品。它旨在检测 Amazon Bedrock 和 SageMaker 工作负载特有的威胁,包括异常模型调用和提示注入尝试(通过与 Bedrock Guardrails 集成),以及 AWS 所称的“成本收割”行为——攻击者利用被盗凭证在他人账户上产生大量推理费用。
Fuller 指出这是他反复观察到的模式。“我最近与一位安全负责人交谈,”他写道,“其团队仅因财务部门发现账单异常,才察觉到被入侵的服务账户正在调用基础模型数千次。”
现处于预览阶段的 AI 驱动调查功能,可对 GuardDuty 发现结果进行自动化初步分析,以区分真实威胁与噪声。每次调查将返回处置结果、置信度评分、MITRE ATT&CK 分类以及基于 90 天相关活动的修复建议。AWS 称该分析可在“数分钟内完成以往需数小时的工作”。
AI 资产清单现已包含在 Security Hub 的 Essentials 计划中,无需额外费用。该清单可编录组织内的 AI 资产,包括 Bedrock、SageMaker 和 AgentCore 等托管服务、客户在 EC2、ECS 或 EKS 上自行运行的模型,以及内部工作负载调用的外部模型 API。清单还将每个资产与其底层基础设施关联,并将资产与任何相关的 GuardDuty 发现结果连接。
竞争激烈的市场
AWS 并非首个监控竞争对手云服务的超大规模云提供商。Microsoft Defender for Cloud 自 2021 年底起已提供 AWS 态势管理,2022 年初起支持 Google Cloud。Google 于 3 月 完成对 Wiz 的 320 亿美元收购,其平台覆盖三大主流云——此举恰好在 AWS 预告此次扩展的次日。目前 Security Hub 的覆盖范围仅限于 Azure,AWS 尚未说明是否会推出 Google Cloud 支持。
AI 防护功能进入了一个同样竞争激烈的市场。Wiz、Palo Alto Networks 和 CrowdStrike 目前均提供 AI 安全态势管理解决方案。
AWS 押注于采用多云策略的客户将希望 Security Hub 成为唯一一个跟随他们进入多云环境的控制台和账单。 “多云” 仅指 Azure 的情况将持续多久,这将是检验这一押注严肃性的首个考验。
技术发展迅猛,勿失精彩。订阅我们的 YouTube 频道,观看全部播客、访谈、演示及更多内容。
Group Created with Sketch.
0 Comments
Log in to join the conversation.No comments yet. Be the first to share your thoughts.