AWS公佈雲端防資料外洩、防詐欺工具

本周在re:Invent大會上，AWS宣佈了自製ARM晶片Graviton 2、新版機器學習模型開發測試環境SageMaker、程式檢查平台CodeGuru等。此外AWS同一天也宣佈了可檢查資料外洩、防止資料竊取、防範線上詐欺及存取控管等4項安全及隱私工具。

之前傳聞許久的Amazon Detective旨在讓企業安全部門，可在其雲端環境發生駭客或惡意程式入侵等安全事件時，進行調查。它會自動蒐集AWS環境中所有log資料，並以機器學習、統計分析和圖論（graph theory）建立起資料關聯，加速調查作業的進行。這項服務整合VPC Flow Logs及AWS現有安全服務，像是AWS CloudTrail、Amazon GuardDuty，以及合作夥伴產品的資料，配合ETL（extract, transform and load）工具進行分析，並將結果統整在單一互動介面呈現，讓調查人員及用戶清楚看到事件發生過程。

其次是Amazon 詐欺偵測（Fraud Detection）。AWS是結合Amazon.com 20年防範詐欺交易的經驗、AWS專家及機器學習的全代管服務，協助零售業辨識可能的線上詐欺活動，像是支付詐騙或假帳號。AWS宣稱，這項服務用戶無需具備機器學習的知識，只要按幾個鍵將交易紀錄上傳雲端，再指定他們遇到過最常見的詐欺行為。Amazon詐欺偵測的AI系統即可據此判斷最適合的偵測演算法，再以用戶資料訓練模型。目前AWS已在美東地區推出預覽版服務。

為了防範駭客進入AWS雲端後掠奪資料，AWS新增了AWS Nitro Enclaves，確保個人可識別資料（PII）、醫療紀錄、金融資訊及研發智慧財產。這項服務利用AWS Nitro同樣的 Hypervisor技術，可在EC2執行個體中建立CPU及記憶體分區達到隔離效果。每個安全區（enclave）都有單獨的VM，用戶必須選擇每個安全區的執行個體種類及配置多少處理器和記憶體。

Nitro Enclaves還提供SDK讓用戶開發安全區應用程式，配合AWS金鑰管理服務對軟體提供加密驗證，以確保只有經授權的程式可在雲端上執行，以及經授權安全區（enclave）才能存取敏感資訊。

最後，AWS還為IAM控制台的新增身分與存取管理服務AWS IAM Access Analyzer功能。它會分析Amazon S3 buckets、AWS KMS（金鑰管理系統）、Amazon SQS（Simple Queue Service）、IAM角色和AWS Lambda功能相關政策，企業可用它來找出違反公司安全與治理規定的資源分享，並定期詳列違規情形。理論上可避免用戶資料流到設定錯誤的資料庫，並滿足GDPR及美國加州消費者隱私法的規範。

AWS指出這項服務利用一種名為自動推理（automated reasoning）的技術，可在幾秒鐘內評估完數百或上千條政策。IAM Access Analyzer包含在IAM控制台中，AWS企業用戶及AWS GovCloud用戶也可透過API免費取得。