Graviton處理器在芯片級(jí)別提供多層次的防護(hù)。最新的Graviton 4完全加密了所有高速物理硬件接口。而且，它利用Arm服務(wù)器的單核輸出單線程設(shè)計(jì)，巧妙地避免了超線程（SMT）技術(shù)帶來(lái)的安全隱患。

此外，Graviton 4通過(guò)引入指針認(rèn)證和分支目標(biāo)識(shí)別來(lái)防御常見(jiàn)的編程攻擊，搭配Amazon Linux 2023，讓這些能夠被實(shí)際應(yīng)用到操作系統(tǒng)和軟件中。更有意思的是，這些都是在芯片層面進(jìn)行的安全設(shè)計(jì)，能讓用戶以更低的成本獲得這些安全特性。

對(duì)于沒(méi)有使用Graviton處理器的亞馬遜云科技的用戶而言，肯定還都會(huì)用到Amazon Nitro系統(tǒng)。Nitro不僅能通過(guò)單獨(dú)的硬件設(shè)計(jì)所具備的隔離性來(lái)提高安全性，還能通過(guò)KMS和Nitro Enclaves的集成方案，提高數(shù)據(jù)在存儲(chǔ)、傳輸和處理過(guò)程中的安全性。

在上層軟件服務(wù)方面，為了提高安全性，亞馬遜云科技不惜代價(jià)用Rust語(yǔ)言來(lái)重寫(xiě)了很多服務(wù)。Rust是近幾年來(lái)很火的編程語(yǔ)言，亞馬遜云科技看中其在內(nèi)存安全等方面的優(yōu)勢(shì)，將它用在多個(gè)關(guān)鍵服務(wù)中。還發(fā)布了一個(gè)用Rust語(yǔ)言設(shè)計(jì)的開(kāi)源加密庫(kù)，被業(yè)內(nèi)廣泛采用。

Chris Betz提到了自動(dòng)推理，它利用形式邏輯技術(shù)和工具來(lái)分析和驗(yàn)證軟件系統(tǒng)、加密協(xié)議等正確性的方法，它通過(guò)考慮系統(tǒng)、算法和配置的無(wú)限可能輸入，提高安全性。自動(dòng)推理已成為亞馬遜云科技基礎(chǔ)設(shè)施安全策略的重要組成部分，被用在IAM等關(guān)鍵服務(wù)當(dāng)中。

此外，Chris Betz還首次對(duì)外介紹了內(nèi)部在用的網(wǎng)絡(luò)流量分析工具Sonaris。過(guò)去一年間，Sonaris拒絕了超過(guò)240億次掃描客戶存儲(chǔ)在Amazon S3中的數(shù)據(jù)的嘗試，并阻止了近2.6萬(wàn)億次發(fā)現(xiàn)客戶Amazon EC2虛擬服務(wù)器上運(yùn)行的易受攻擊服務(wù)的嘗試。

亞馬遜云科技的安全服務(wù)取得了很多令人矚目的成就，然而，安全似乎永無(wú)止境，更多創(chuàng)新的安全服務(wù)還在路上。

第三，以更新的安全服務(wù)提高安全防護(hù)水平和防護(hù)效率

零信任是一種安全理念，默認(rèn)就不信任任何設(shè)備、用戶或服務(wù)。去年的re:Inforce大會(huì)上，亞馬遜云科技推出了Amazon Verified Permissions、Amazon Management Console Private Access和Amazon Verified Access，幫助客戶落地零信任架構(gòu)。

今年，為了幫助企業(yè)更容易實(shí)施其零信任架構(gòu)，這次大會(huì)上，亞馬遜云科技又發(fā)布了Amazon Private CA來(lái)減少管理公鑰基礎(chǔ)設(shè)施操作所需的時(shí)間和成本。同時(shí)，還發(fā)布了IAM Access Analyzer幫助用戶發(fā)現(xiàn)和處理未使用的訪問(wèn)權(quán)限。

此外，Amazon IAM還新增了支持用戶使用密鑰作為第二個(gè)身份驗(yàn)證因素。今年早些時(shí)候，亞馬遜云科技計(jì)劃將強(qiáng)制根用戶賬戶使用MFA來(lái)降低賬戶被盜的風(fēng)險(xiǎn)，為了使MFA更快落地采用，這次又宣布讓IAM支持使用密鑰作為第二種身份驗(yàn)證方法，它比常規(guī)的密鑰更安全。

Amazon GuardDuty 亞馬遜云科技在2017年發(fā)布的威脅檢測(cè)服務(wù)，它通過(guò)持續(xù)監(jiān)控和分析云環(huán)境中的日志和流量，利用機(jī)器學(xué)習(xí)、行為分析和威脅情報(bào)來(lái)檢測(cè)潛在的安全威脅和異?；顒?dòng)。

今天，新增的Amazon GuardDuty的惡意軟件防護(hù)功能支持對(duì)Amazon S3上的數(shù)據(jù)進(jìn)行掃描，這是一項(xiàng)托管服務(wù)，可以檢測(cè)到Amazon S3桶里潛在的惡意軟件、病毒和其他可疑內(nèi)容，并在這些對(duì)象被注入到后續(xù)流程之前采取隔離措施。

最后，Chris Betz還提到了生成式AI與安全的關(guān)系。

首先，生成式AI的三層堆棧當(dāng)中都充分考慮了安全問(wèn)題。底層硬件可以防止未經(jīng)授權(quán)的訪問(wèn)，保護(hù)數(shù)據(jù)隱私。中間層的Amazon Bedrock也都支持IAM和KMS等安全手段，還支持Guardrail還進(jìn)行安全防護(hù)。最上層的Amazon Q也可以提供安全漏洞掃描和修復(fù)等功能。

這一次，亞馬遜云科技還推出了Amazon CloudTrail Lake，這是一個(gè)基于生成式AI的自然語(yǔ)言查詢功能。它允許用戶用自然語(yǔ)言在CloudTrail Lake中分析活動(dòng)事件，系統(tǒng)會(huì)自動(dòng)生成相應(yīng)的SQL查詢。此功能大大簡(jiǎn)化了數(shù)據(jù)分析過(guò)程，提高了查詢的便捷性和效率。

這也是亞馬遜云科技在用生成式AI提高安全性方面的最有代表性的產(chǎn)品。

結(jié)束語(yǔ)

與此前想象中有所不同，亞馬遜云科技并沒(méi)有很快推出更多采用生成式AI技術(shù)的安全產(chǎn)品，而是采取了更為保守的手段，慎重并且克制地將生成式AI技術(shù)用于安全場(chǎng)景。

雖然很多人對(duì)于生成式AI的能力非常樂(lè)觀，但考慮到要將其作為嚴(yán)肅的商業(yè)服務(wù)，生成式AI本身要解決的問(wèn)題還有很多。

所以，冒然將生成式AI用于安全方面可能會(huì)引發(fā)安全和隱私等問(wèn)題，本身是不負(fù)責(zé)任的行為，亞馬遜云科技目前的做法其實(shí)更為穩(wěn)妥。

zhupb