AWS雲端安全會議強調資安文化，揭露多項幕後資安利器

「追根究底，資安文化是一切的根源。」AWS資安長Chris Betz在今（11）日於美國費城舉辦的雲端安全會議re:Inforce 2024中強調資安文化的重要性。

「正是文化，促使組織改變習慣，優先從資安的角度考量；正是文化，驅使我們以資安為本設計系統（Security by Design）；也因為文化的關係，我們將資安賦權於個人，讓整個組織都落實資安，同時也保持敏捷，從而讓業務運作不因資安而妥協。」不過，Chris也指出：「資安文化並非一蹴可幾，如果沒有持續強化與投資，建立起來的文化也會逐漸流失。」

Chris Betz在擔任AWS資安長之前是美國金融機構Capital One資安長，在企業端身為多年客戶的他雖然理解AWS資安，但擔任資安長後對於AWS整體資安文化才有更深入的體會。他指出，高階主管對資安的重視程度是建立文化的重要關鍵，AWS執行長與資安主管固定每週五與各部門總經理、產品經理與開發人員面對面討論資安問題，由執行長固定撥出時間討論資安，足以傳達高階主管對資安的重視程度。

「在這個會議中會深入討論資安的挑戰，據以制定產品發展藍圖，要求作出改變，並帶來真正的業務影響。」Chris表示：「這同時也是一次徹底的檢查，對資安文化產生深遠的影響。」

AWS高階主管親自與各部門討論資安，也強化人人都必須承擔資安責任的重要性。Chris指出，每個團隊對自己負責的產品服務是最了解的，若再有資安當責意識，就能夠在產品設計的早期主動採取正確決策，不淪為被動補漏洞。而為了讓資安落實能擴及全組織，AWS也透過資安守護者計畫，將資安團隊的資安專家派駐在各個部門，一起參與軟體開發流程，從Spring衝刺規畫會議、站立會議到資安審核，提供資安觀點的建議，既協助開發安全的軟體，也將資安最佳作法傳播到全公司上下。

同時，AWS也推動員工自主決策的文化，任何同仁發現資安問題時，都有權力自主判斷將資安問題立即升級至必要的等級。Chris指出，在他過往任職的經驗中，資安問題等級的提升往往代表負面意涵，然而在AWS的資安文化中，反而是要獎勵能及早意識到問題嚴重性，從而讓組織可以更快速採取行動的同仁。

此外，Chris也揭露AWS為了打造安全的雲端平臺，在這幾年來從硬體自主設計、安全程式語言的選擇、自動化測試驗證、威脅偵測阻擋與合規等方面所做的改變。

在硬體自主設計方面，AWS擁有自主設計的Graviton與Nitro晶片，去年推出的最新Graviton 4晶片，首度增加傳輸介面加密功能，包括DRAM記憶體、PCIe匯流排到Nitro加速卡，以及多處理器架構中Graviton之間傳輸介面的通訊加密，有助於防範硬體層面的攻擊。而Nitro除了藉由執行環境的隔離，確保用戶的資料無法被其他人，包括平臺營運者AWS所取得，亦新增端對端加密功能，提供用戶將需要加密保護的敏感人工智慧模型資料載入隔離保護的環境。

在安全程式語言方面，Chris指出，Amazon與AWS近年來都大力擁抱記憶體安全程式語言Rust，在去年，Amazon營運中的應用程式已有高達98%都採用Rust開發，而AWS也在去年將內部以Rust開發的AWS Web Crypto函式庫開源釋出，提供支援FIPS加密標準與後量子密碼（PQC）加密功能。

在測試與驗證方面，Chris也提及AWS鮮少討論的自動推理（Automated Reasoning），他指出，自動推理是利用數學方法，證明系統設計或實作是否遵守規格，以及證明系統是否依照預期的方式運作，而透過這個作法可以達到大規模的驗證。例如，AWS IAM身分存取管理平臺每秒要處理超過10億個API存取，而透過自動推理所開發的驗證工具—AWS去年開源的Cedar，才有辦法確保如此大規模存取行為的正確性。此外，自動推理也運用在驗證IPv6存取控制清單，每日可處理8萬次的存取控制清單的驗證，確保其網路架構的安全性。而在法遵方面，Chris也指出，目前AWS已通過143個資安標準與認證。

此外，自AWS去年公開MedPot全球蜜罐網路之後，Chris也首度揭露用於偵測惡意攻擊行為的Sonaris系統，他表示，Sonaris會分析AWS基礎架構的網路流量與日誌服務，以偵測惡意攻擊行為，同時會結合資安情資自動發出警報、提供威脅緩解建議或是自動觸發緊急應變措施，例如若IAM用戶的權限設定存在風險，Sonaris檢測到就會通報防詐欺團隊以進一步處理，目前包括AWS Shield、VPC、Amazon S3與WAF都會受到Sonaris系統的保護。

Chris指出，在過去12個月中，Sonaris已經阻止超過240億次針對S3 Bucket的惡意存取行為，也阻擋了超過2.6兆次試圖掃描EC2主機漏洞的攻擊。

在re:Inforce 2024首日主題演講中，Chris也發表多項AWS雲端安全新服務，包括Amazon GuardDuty Malware Protection惡意程式防護首度支援Amazon S3，可掃描檢測S3儲存物件是否潛在病毒、惡意程式，並移至隔離區阻絕；Amazon IAM身分存取管理平臺繼提供多因素認證之後，更進一步支援Fido標準的Passkey無密碼登入作為第二個身分驗證方式，用戶可以透過裝置的身分驗證機制，如Windows Hello臉部辨識或Apple Touch ID等，以達到更便利同時確保安全的無密碼登入。此外，Amazon IAM Analyzer也利用自動推理技術，發掘久未使用的帳戶，提供管理者建議縮減帳戶權限，同時，亦可在部署前分析檢測具有存取關鍵資源或對外存取權限的帳戶，以降低風險。

Amazon CloudTrail Lake稽核資料湖，亦首度整合生成式AI技術，提供自然語言查詢介面，讓管理者不需撰寫複雜的SQL查詢語法。而AWS Private CA也支援SCEP通訊協定發布憑證。