【美国费城直击】落实Security by Design(设计即安全),已成为支撑现代企业发展的关键课题。作为全球三大云端服务供应商之一,AWS于今(17)日在美国费城举办年度资安会议re:Inforce 2025,会中不仅揭露了该公司在身分安全发展的最新成果,更强调企业现今需要更简便且具扩展性的方法,才能让资安基础更加稳固。
为了因应持续变化的攻击态势,AWS副总裁暨资安长Amy Herzog表示,Secure by design一向是他们秉持的重要核心概念,这让他们在技术、控制措施与实践上,都能扮演产业的领先角色。
而要彻底落实这件事,资安文化会是一大关键,我们去年看到AWS 已经强调此点,因为有了资安文化,才能促使组织优先从资安角度考量。
今年,AWS揭露了更进一步的发展策略,我们可以归纳出两大重点:
(一)AWS 不仅是要「落实」Secure by Design,更是朝「更容易落实」迈进,因此需要找出更简单、更具扩展性的方式。
(二)任何事都要优先从资安出发,在产品开发的每一层与每一个阶段都应彻底贯彻 Secure by Design。
特别是在身分识别与存取管理(IAM)领域,成为现场瞩目焦点,因为Amy Herzog宣布一项重大进展:「AWS已率先针对所有帐户的Root使用者强制启用多因素验证(MFA),成为全球首家采取此项强制措施的云端服务供应商。」
Amy Herzog进一步说明,这不仅是去年底AWS IAM加入根帐号凭证(Root Credentials)集中管理,以及根帐号登入Session监控的延续。还包括MFA机制支援FIDO2与passkey,让使用者可采用高强度的无密码MFA验证。甚至,为了降低因设备遗失导致锁帐的风险,AWS还支援每个Root或 IAM使用者可绑定最多8个MFA装置。
Amy Herzog强调,这突显AWS响应美国CISA所推动的「Secure by Design」倡议,并不止于口号,而是采取实际行动,并且已经相当重视Security by Default(预设即安全)的概念,让身分存取控管在预设情况下,就套用最佳安全实务。
如今,AWS不仅持续扩大这项政策,并将目标放在要让落实可以变得更加容易。
因此,AWS在前几年推出IAM Access Analyzer并持续改进,从识别并移除最近未使用的角色、使用者与权限,到新增政策验证与强化规则检查,并且还能根据CloudTrail日志自动产生最小权限的政策。如今2025年再推出名为内部存取发现(Internal access findings)的新功能。