快速行动，保持安全： 面向未来的安全战略

关键字: [Amazon Web Services re:Invent 2023, Amazon Inspector, Security, Generative Ai, Zero Trust, Cybersecurity Community, Authentication]

本文字数: 2800, 阅读完需: 14 分钟

视频

快速行动，保持安全： 面向未来的安全战略

导读

随着企业适应和拥抱新技术，安全环境也在不断变化。在本讲座中，您将了解到可推动业务敏捷性的亚马逊云科技安全愿景。直接聆听安全领导者分享他们对零信任、开发者安全体验和生成式 AI 等关键主题的见解。了解亚马逊云科技如何在内部处理这些领域，并了解如何应用这些经验帮您实现安全目标。

演讲精华

以下是小编为您整理的本次演讲的精华，共2500字，阅读时间大约是12分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

首席安全官史蒂文·施密特在会议开始时向与会者表示欢迎，并强调在安全领域，人们往往过于关注技术细节，如最新的漏洞、恶意软件和检测工具。然而，他认为这种以技术为主导的方法存在根本性缺陷。施密特表示：“安全问题归根结底是人的问题。计算机不会互相攻击，每一次的敌对行动都是由人发起的。”问题的根源在于那些追求数据、金钱以及成功入侵所带来的虚荣心满足的人。作为亚马逊云科技的首席安全官，施密特将自己比喻成在玩“国际象棋”的同时还要研究心理学的游戏。要在安全领域取得成功，必须关注棋盘上的棋子移动和互动方式，同时了解人类行为的动机——包括自己的习惯和对手的激励因素。此外，还需要思考如何超出当前棋盘的范围，关注其他竞争对手正在进行的各种游戏。

施密特解释说，技术和人类要素之间的相互作用使得安全变得如此复杂。这并不是简单的因果关系，而是一个需要考虑的持续变化的织锦。敌人会不断演变，提高他们的技巧和工具来破坏企业。像施密特这样的防御者必须预测、预期、适应和应对这些变化。

与此同时，保护的企业也在采用新的技术并自行部署新的解决方案。因此，安全必须在支持创新的同时提高标准。这需要在所有安全层面实现持续的微小创新，一个领域的逐步改进可能会在另一个领域引发重大变革。

由于安全本质上是关于人的，施密特指出了该领域技能和人才的严重短缺。亚马逊云科技正致力于吸引更多的人才加入网络安全领域，并为已经在该行业的专业人士提供提升技能的机会。目标是自动化重复的任务，让工程师可以专注于最模糊、动态的问题，即软件尚未能解决的问题。亚马逊云科技的一些创新间接改善了客户的安全成果，而其他一些则是直接提供给客户的工具。

施密特还预告了会议将涉及的一些主题：

• 亚马逊云科技如何利用定制的大型语言模型（LLM）加速内部应用程序的安全审查。
• 生成式人工智能如何在提高客户解决漏洞速度和简化调查过程中发挥作用？

在每个案例中，AI都会借助更易获得的知识来增强决策，从而弥补人类技能的不足。然而，尽管有些营销声称AI可以完全取代安全工程师，但施密特认为AI无法独自完成这项工作。熟练的工程师仍然是确保正确处理每一层安全措施所必需的。关键在于将AI作为工具，使人更高效和有效。在适当的人为审查下，AI可以提高安全控制的有效性。

此外，施密特还介绍了费耶特维尔州立大学（FSU）的校长达里尔·艾利森博士，这是一所历史悠久的黑人学院和大学（HBCU）。艾利森博士解释说，FSU有7000多名学生，包括许多成人学习者和现役军人。该校提供满足21世纪劳动力需求的学位，如网络安全。

FSU拥有强大的STEM项目，并致力于通过带薪实习和认证来解决网络安全人才短缺问题。艾利森博士邀请科技公司为FSU学生提供实践经验的机会, 以帮助解决技能差距。在教育者和雇主之间建立合作关系是培养更多多样化和有资格的网络安全专业人才的关键。

回到AI的主题上，施密特承认营销声称有时会被夸大。现实更为复杂。他分享了一个内部例子，展示了亚马逊云科技如何使用定制LLM来加速应用程序安全性审查。亚马逊云科技的庞大代码库和多年的审查为其模型的训练和调整提供了有效的支持，使其能够识别潜在问题供工程师审查，而无需替代他们的技能。它提供概率性的而非确定的输出。因此，团队在保持决策权的同时，可以获得可操作的输出，同时不将所有决策权交给AI。LLM可以增强人类专家，提高准确性和完整性。 其他应用示例包括：

• 亚马逊Inspector使用生成型AI为漏洞创建定制代码补丁，分析具体情境。这使得开发人员能够迅速合并修复方案。
• 亚马逊Detective汇总发现结果，以提供更广泛的视角和安全知识，从而加速工作流程。

在使用生成性AI时，施密特提出了三个关键问题以确保其安全使用：

1. 数据来源于何处及如何处理这些数据？
2. 在提交给模型的查询和相关数据方面发生了什么？
3. 输出的适用性是否足以满足使用场景的需求？

在整个数据收集、训练和使用过程中，必须遵循安全性要求。查询和输出应根据敏感性及准确性要求进行评估。服务应与其合规义务保持一致。亚马逊云科技为用户提供了控制自身数据和模型选择的能力，以解决这些问题。

讨论转向了认证、授权和零信任等领域。施密特指出，随着内外部网络的传统模型逐渐过时，CISO希望获得更详细、灵活且频繁的访问控制决策。零信任依赖的是基于身份、属性和信号的持续自适应授权。亚马逊云科技长期将其原则融入到其云服务中，从亚马逊云科技身份和访问管理（IAM）开始，后者每秒处理数百亿次API调用。

其他创新包括：

• 亚马逊云科技验证访问，一种无需使用VPN即可安全访问应用程序的方法，以及使用上下文数据进行授权。
• Amazon Verified Permissions，允许在应用程序内使用Cedar策略语言进行细粒度的授权。
• VPC网格，提供跨VPC服务的集中访问控制以及对特定上下文的授权，而无传统的路由方式。
• Cedar，一个用于表达授权规则的一致且可分析的方式。
• 新IAM访问分析功能，有助于识别未使用的访问权限并根据标准验证权限。

尽管像生成性AI这样的技术取得了进步，但施密特强调，经验丰富的安全工程师仍需要进行复杂的决策。扩大人才库至关重要，亚马逊云科技在这方面进行了大量投资。授权领域的突出表现需要安全和建设者之间的紧密合作，以实现规模效率。亚马逊云科技提供了平衡安全和可用性的灵活执行选项，使网络和身份控制能够意识到彼此的存在。

此外，一些具体的数据点和指标：

• 亚马逊云科技通过IAM实现了每秒处理超过10亿次的API调用，展示了其巨大的运营规模。
• 生成性AI使得开发人员能够快速合并自定义漏洞补丁，从而减少修复问题所需的时间。
• 亚马逊云科技具有“令人难以置信的运营规模”，这使其能够在庞大的代码库和多年的安全审查基础上培训LLM。
• 从语言模型的概率输出和确定性证明中可以看出差异，这对于受监管行业来说是一个重要的区别。
• 访问分析器帮助识别出授予72%的 AWS 组织中的 IAM 角色和用户的未使用访问权限。
• 网络安全工作岗位的年增长率为74%,而工作力量的增长率仅为59%,导致72%的网络安全人才需求无法得到满足。

总结一下,视频涵盖了:

• 不断变化的技术和人为因素在安全性方面的贡献。
• 利用创新技术（如生成性AI）以提高人类安全专业人士的工作效率和成果。
• 亚马逊云科技合作伙伴关系正不断扩大网络安全技能的多样性。
• 数据控制、准确性和人工智能监督的重要性。
• 转向更细致、更灵活的访问控制和不信任任何人的模式。
• 亚马逊云科技长期的零信任基础和新的授权功能。
• 对更多安全人才的需求以及安全专家与安全建设者之间的合作。
• 亚马逊云科技以客户为中心的安全创新文化使得建设者受益。

下面是一些演讲现场的精彩瞬间：

安全问题主要涉及个人行为，而非技术层面。

亚马逊云科技正致力于创新网络安全培训和工具，以帮助人们更高效地应对各种攻击。

人工智能可以作为人类技能的有力补充，提高整体安全性。

领导者们讨论了过去十年中快速发展的云计算领域所面临的挑战。

通过使用经亚马逊验证的权限，如Cedar策略语言，可以精确地管理对应用程序的授权，从而根据用户角色、属性或上下文环境调整访问权限。

Cedar是一种简洁而强大的策略语言，能够实现自动推理，以理解复杂的授权规则。

总结

SEC737-INT:快速行动，保持安全——未来安全战略"是一场关注网络安全创新和未来发展的演讲。演讲首先强调，安全问题本质上是关于人，而不仅仅是技术。因为敌人是人类，所以防御者必须理解心理学和技术。接下来，演讲提出了关于安全创新的三个关键点：

1. 安全性需要在所有层面实现持续的渐进式创新，从提高检测能力到吸引更多进入该行业的人。一个领域的小创新可能能够推动另一个领域的重大变革。
2. 人工智能可以更有效地提供知识，成为人类安全工作的补充。然而，人工智能不能替代人类的判断和监督。例如，Amazon Inspector等工具使用AI帮助开发人员更快地解决漏洞问题。
3. 为了安全地使用AI，公司必须确保对其数据的控制。像Amazon Bedrock和CodeWhisperer等服务使客户能够控制自己的数据和模型。

演讲还讨论了用于验证和授权的“零信任”原则。关键原则包括从适合所有人的访问转向持续、适应性和细微差别化的访问控制决策。亚马逊云科技的服务，如Verified Access和Permissions,支持这种方法。

最后，演讲强调了通过像北卡罗来纳州农业与技术大学HBCU职业计划这样的项目扩大网络安全社区的重要性。构建者和安全团队之间需要更多的合作，以在确保安全的前提下实现业务目标。总之，演讲突出了安全和创新在亚马逊云科技文化中的重要性，以帮助客户变得更安全，同时使构建者能够快速解决问题。安全和创新是相辅相成的。

演讲原文

https://blog.csdn.net/weixin_46812959/article/details/134669307

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。