「追根究底,资安文化是一切的根源。」AWS资安长Chris Betz在今(11)日于美国费城举办的云端安全会议re:Inforce 2024中强调资安文化的重要性。
「正是文化,促使组织改变习惯,优先从资安的角度考量;正是文化,驱使我们以资安为本设计系统(Security by Design);也因为文化的关系,我们将资安赋权于个人,让整个组织都落实资安,同时也保持敏捷,从而让业务运作不因资安而妥协。」不过,Chris也指出:「资安文化并非一蹴可几,如果没有持续强化与投资,建立起来的文化也会逐渐流失。」
Chris Betz在担任AWS资安长之前是美国金融机构Capital One资安长,在企业端身为多年客户的他虽然理解AWS资安,但担任资安长后对于AWS整体资安文化才有更深入的体会。他指出,高阶主管对资安的重视程度是建立文化的重要关键,AWS执行长与资安主管固定每周五与各部门总经理、产品经理与开发人员面对面讨论资安问题,由执行长固定拨出时间讨论资安,足以传达高阶主管对资安的重视程度。
「在这个会议中会深入讨论资安的挑战,据以制定产品发展蓝图,要求作出改变,并带来真正的业务影响。」Chris表示:「这同时也是一次彻底的检查,对资安文化产生深远的影响。」
AWS高阶主管亲自与各部门讨论资安,也强化人人都必须承担资安责任的重要性。Chris指出,每个团队对自己负责的产品服务是最了解的,若再有资安当责意识,就能够在产品设计的早期主动采取正确决策,不沦为被动补漏洞。而为了让资安落实能扩及全组织,AWS也透过资安守护者计划,将资安团队的资安专家派驻在各个部门,一起参与软体开发流程,从Spring冲刺规画会议、站立会议到资安审核,提供资安观点的建议,既协助开发安全的软体,也将资安最佳作法传播到全公司上下。
同时,AWS也推动员工自主决策的文化,任何同仁发现资安问题时,都有权力自主判断将资安问题立即升级至必要的等级。Chris指出,在他过往任职的经验中,资安问题等级的提升往往代表负面意涵,然而在AWS的资安文化中,反而是要奖励能及早意识到问题严重性,从而让组织可以更快速采取行动的同仁。
此外,Chris也揭露AWS为了打造安全的云端平台,在这几年来从硬体自主设计、安全程式语言的选择、自动化测试验证、威胁侦测阻挡与合规等方面所做的改变。
在硬体自主设计方面,AWS拥有自主设计的Graviton与Nitro晶片,去年推出的最新Graviton 4晶片,首度增加传输介面加密功能,包括DRAM记忆体、PCIe汇流排到Nitro加速卡,以及多处理器架构中Graviton之间传输介面的通讯加密,有助于防范硬体层面的攻击。而Nitro除了借由执行环境的隔离,确保用户的资料无法被其他人,包括平台营运者AWS所取得,亦新增端对端加密功能,提供用户将需要加密保护的敏感人工智慧模型资料载入隔离保护的环境。
在安全程式语言方面,Chris指出,Amazon与AWS近年来都大力拥抱记忆体安全程式语言Rust,在去年,Amazon营运中的应用程式已有高达98%都采用Rust开发,而AWS也在去年将内部以Rust开发的AWS Web Crypto函式库开源释出,提供支援FIPS加密标准与后量子密码(PQC)加密功能。
在测试与验证方面,Chris也提及AWS鲜少讨论的自动推理(Automated Reasoning),他指出,自动推理是利用数学方法,证明系统设计或实作是否遵守规格,以及证明系统是否依照预期的方式运作,而透过这个作法可以达到大规模的验证。例如,AWS IAM身分存取管理平台每秒要处理超过10亿个API存取,而透过自动推理所开发的验证工具—AWS去年开源的Cedar,才有办法确保如此大规模存取行为的正确性。此外,自动推理也运用在验证IPv6存取控制清单,每日可处理8万次的存取控制清单的验证,确保其网路架构的安全性。而在法遵方面,Chris也指出,目前AWS已通过143个资安标准与认证。
此外,自AWS去年公开MedPot全球蜜罐网路之后,Chris也首度揭露用于侦测恶意攻击行为的Sonaris系统,他表示,Sonaris会分析AWS基础架构的网路流量与日志服务,以侦测恶意攻击行为,同时会结合资安情资自动发出警报、提供威胁缓解建议或是自动触发紧急应变措施,例如若IAM用户的权限设定存在风险,Sonaris检测到就会通报防诈欺团队以进一步处理,目前包括AWS Shield、VPC、Amazon S3与WAF都会受到Sonaris系统的保护。
Chris指出,在过去12个月中,Sonaris已经阻止超过240亿次针对S3 Bucket的恶意存取行为,也阻挡了超过2.6兆次试图扫描EC2主机漏洞的攻击。
在re:Inforce 2024首日主题演讲中,Chris也发表多项AWS云端安全新服务,包括Amazon GuardDuty Malware Protection恶意程式防护首度支援Amazon S3,可扫描检测S3储存物件是否潜在病毒、恶意程式,并移至隔离区阻绝;Amazon IAM身分存取管理平台继提供多因素认证之后,更进一步支援Fido标准的Passkey无密码登入作为第二个身分验证方式,用户可以透过装置的身分验证机制,如Windows Hello脸部辨识或Apple Touch ID等,以达到更便利同时确保安全的无密码登入。此外,Amazon IAM Analyzer也利用自动推理技术,发掘久未使用的帐户,提供管理者建议缩减帐户权限,同时,亦可在部署前分析检测具有存取关键资源或对外存取权限的帐户,以降低风险。
Amazon CloudTrail Lake稽核资料湖,亦首度整合生成式AI技术,提供自然语言查询介面,让管理者不需撰写复杂的SQL查询语法。而AWS Private CA也支援SCEP通讯协定发布凭证。