週二,AWS 宣布 擴展其安全運營服務 Security Hub,新增監控 Microsoft Azure 資源的功能,同時推出更多保護 AI 工作負載的工具。這是該服務首次原生監控 AWS 以外的資源。

此次發布共包含四項重大更新:Azure 資源監控、Amazon GuardDuty AI Protection、GuardDuty AI 驅動調查,以及 Security Hub AI 清單。除了處於預覽階段且僅限 10 個 AWS 區域的調查功能外,其餘功能現已正式上線。這些功能共同兌現了 AWS 於 3 月在 RSA 大會前 承諾 的多雲擴展計畫。

AWS 協助保護 Azure 安全

不過,此次最重要的更新是支援監控 Azure 資源。Security Hub 可自動發現客戶的 Azure 虛擬機器、容器映像、無伺服器 Function App 及身分識別,然後使用 CIS Azure Foundations Benchmark 檢查其是否有設定錯誤、暴露於網際網路,以及存在易受攻擊的軟體。所有來自 Azure 的調查結果都會與 AWS 的調查結果並列在單一排序佇列中,並可觸發團隊已建立的自動化工作流程。

AWS 安全服務總監 Michael Fuller 在宣布此項發布的部落格文章中寫道:「您的工作負載若移轉至新雲端,您的安全防護也應已就緒。」

監控 Azure 資源的費用與監控同等 AWS 資源的費用相同,不另收取平台費用,並提供獨立的 30 天免費試用。

保護 AI 工作負載

相較之下,GuardDuty AI Protection 是一項以 AWS 為中心的產品。它旨在偵測 Amazon Bedrock 及 SageMaker 工作負載特有的威脅,包括異常模型呼叫及提示注入嘗試(透過與 Bedrock Guardrails 整合),以及 AWS 所謂的「成本收穫」攻擊——攻擊者利用竊取的憑證在他人帳戶中累積推論費用。

Fuller 指出,這是他持續觀察到的模式。他寫道:「我最近與一位安全主管談過,他的團隊直到財務部門發現帳單異常,才發現一個受損的服務帳戶正在呼叫基礎模型數千次。」

目前處於預覽階段的 AI 驅動調查功能,會對 GuardDuty 的調查結果進行自動化初步分析,以區分真實威脅與雜訊。每項調查結果會返回包含信心分數、MITRE ATT&CK 分類及修復建議的處置方式,分析依據為 90 天內的相關活動。AWS 表示,這項分析可在「數分鐘內完成原本需數小時的工作」。

已納入 Security Hub Essentials 方案且不額外收費的 AI 清單,會編錄組織內的 AI 資產,包括 Bedrock、SageMaker 及 AgentCore 等受管服務、客戶在 EC2、ECS 或 EKS 上自行執行的模型,以及內部工作負載呼叫的外部模型 API。該清單也會將每個資產與其底層基礎架構連結,並將資產與任何相關的 GuardDuty 調查結果建立關聯。

競爭激烈的市場

AWS 並非第一家監控競爭對手雲端的超大規模雲端供應商。Microsoft Defender for Cloud 自 2021 年底起即提供 AWS 姿勢管理功能,並自 2022 年初起支援 Google Cloud。Google 於 3 月 以 320 億美元收購 Wiz,而 Wiz 的平台涵蓋三大主要雲端——就在 AWS 預告此次擴展的隔天。Security Hub 的涵蓋範圍目前僅限 Azure,AWS 尚未表示是否會跟進支援 Google Cloud。

AI 防護功能也進入競爭激烈的市場。Wiz、Palo Alto Networks 及 CrowdStrike 目前均提供 AI 安全姿勢管理解決方案。

AWS 押注走向多雲的客戶會希望 Security Hub 成為單一主控台與單一帳單,伴隨他們跨雲運作。「多雲」是否僅限於 Azure,將是這項押注嚴肅程度的首次考驗。

YOUTUBE.COM/THENEWSTACK

科技發展迅速,別錯過任何一集。訂閱我們的 YouTube 頻道,即可觀看所有播客、訪談、示範及更多內容。

Group Created with Sketch.