re:Inforce 2023，亚马逊云科技在利用大语言模型的能力做安全

一家负责任的企业想要上云，安全肯定是首要考虑的问题。对于负责云上安全的人来说，安全方面的工作永远没有尽头。

2023年的re:Inforce于北京时间6月14日凌晨举办，亚马逊云科技宣布了安全技术领域的许多最新动态。

2023年re:Inforce上，亚马逊云科技带来了七项新服务，每一项服务代表亚马逊云科技在安全领域的关注重点。

在发布了零信任、安全合规等传统安全技术产品的同时，亚马逊云科技首席安全官CJ Moses还提到了如何利用大型语言模型强大功能的话题，新发布的多项服务都与AI相关。

第一项发布叫做Amazon Verified Permissions。

今天，Amazon Verified Permissions作为一项新的安全服务已经正式可用，它可以在用户构建和部署应用时，提供细粒度的认证和权限管理。

通过Amazon Verified Permissions，用户可以向应用资源提供安全的委托授权，并在应用中实施基于身份的持续授权，从而更好地在应用中落地零信任架构。

Amazon Verified Permissions采用的是一个叫Cedar的开源语言，这是一个专门用来做访问控制的策略语言。它的优势在于，可以让用户以易于理解的策略来实现精细的权限管理。

Amazon Verified Permissions可以基于角色和属性进行访问控制。此外，由于访问控制与应用程序是解耦的，这会有助于加快应用程序开发。

Amazon Verified Permissions通过集中的策略存储、可重复使用的策略模板和策略测试，帮助用户更快地构建安全的应用，节省时间。

Amazon Verified Permissions目前在多个地区可用，暂时不包括中国在内。

第二项发布叫做：Amazon EC2 Instance Connect Endpoint（端点）。

Amazon EC2有包括EC2 Instance Connect、会话管理器、SSH客户端和EC2串行控制台四大类连接方式。

此次发布是在EC2 Instance Connect的基础上，新增了EC2 Instance Connect端点（Endpoint）。

端点指的是一个弹性网络接口，这个网络接口允许用户通过私有的子网络来访问资源，使用的时候需要在VPC里创建一个这样的端点（Endpoint）。

访问的时候需要透过下方显示的私有IP地址进行访问，而原来的EC2 Instance Connect可以通过公网IP进行访问，很明显，私有IP地址的安全性更高。

EC2 Instance Connect Endpoint（端点）可以在用户访问目标主机之前，进行严格的身份验证和资源授权验证，以确保只有合法的用户可以访问这些资源。

它用起来很方便，可以在控制台操作，也支持用第三方的SSH工具连接。此外，它还支持用CloudTrail日志做审计。

第三项发布叫做：Amazon Inspector Code Scans For Lambda

Amazon Inspector Code Scans For Lambda扩大了Inspector的扫描范围，不仅支持对Lambda函数的代码进行安全扫描，还可以扫描到应用程序包依赖中的漏洞。

Amazon Inspector现在还可以扫描Lambda函数内的自定义专有应用代码，以查找代码安全漏洞，如注入缺陷、数据泄漏、弱加密或加密缺失的问题。

在检测到漏洞后，Amazon Inspector会生成一些关于漏洞的若干细节，指出受影响的代码片段，还会给出解决漏洞的建议。

所有信息都会在Amazon Inspector控制台中汇总，还可以无缝路由到AWS Security Hub，并推送到Amazon EventBridge以实现工作流程自动化。

第四项发布叫做：Amazon Inspector SBOM （软件物料清单）Export，可以帮助做安全合规。

SBOM是一份列出软件组件的清单，这个清单就像一个配料表。SBOM对于理解软件的构成，特别是在处理安全问题、许可证合规性以及供应链透明度时，非常关键。

Amazon Inspector的SBOM导出功能能够自动并集中地管理软件的构成元素清单（Software Bill of Materials，简称SBOM）的导出。

Amazon Inspector的SBOM导出功能可以一键导出到Amazon S3里，可以配合Amazon Athena或者Amazon QuickInsight来查询和获得洞察。

Amazon Inspector是一项漏洞管理服务，它能够持续地扫描包括EC2、ECR容器镜像、Lambda软件漏洞、代码漏洞等安全问题。

第五项发布叫做：AWS Built-in Partner Solutions.

顾名思义，这指的就是内置了亚马逊云科技能力的合作伙伴解决方案。

通过AWS Built-in Partner Solutions上，用户可以查找、购买和部署经过亚马逊云科技验证的合作伙伴软件，这些软件都与亚马逊云科技的基础服务做了集成。

集成，或者说内置了亚马逊云科技基础服务的方案，有助于用户实现云中的规模、简单性，有助于达成控制运营成本的目标。

第六项发布叫做：Amazon CodeGuru Security。

Amazon CodeGuru Security可以在应用开发工作流程的任何阶段识别并解决代码漏洞。

用户在开发阶段可以使用Code Whisperer来辅助写代码和扫描漏洞，在运行阶段可以Amazon Inspector来发现代码中的问题，而Amazon CodeGuru Security可以在应用开发工作流程的任何阶段识别并解决代码漏洞。

Amazon CodeGuru Security是一个静态应用安全测试（SAST）工具，使用机器学习技术来识别代码漏洞，并提供修复指导能力。CodeGuru Security还为某些类别的漏洞提供上下文中的代码补丁，减少修复代码漏洞的操作复杂度。

通过对代码进行语义分析，Amazon CodeGuru Security把漏洞误报率降到很低，从而可以更高效地发现并处理漏洞。

CodeGuru Security可标记各种问题，如日志注入、硬编码凭证和资源泄漏，并可在开发工作流程的不同阶段（代码库、CI/CD管道、容器注册处等）进行集成。

第七项发布叫做：Findings Groups for Amazon Detective

Findings Groups for Amazon Detective使用机器学习技术和图技术关联数千个离散的安全事件。

Findings Groups for Amazon Detective就像个侦探一样，在纷繁复杂的信息面前，抽丝剥茧，找出事件之间的关联性，最后定位出问题所在。

单独关注某一事件，都可能会让安全分析走入死胡同，随后便难于找出根本原因，亚马逊云科技通过图分析技术来解决这个问题，它可以用来推断调查结果之间的关系。

安全服务如何利用大语言模型的能力？

不久前，亚马逊云科技发布了Amazon Bedrock，用于帮助企业用户构建生成式AI服务，同一时间发布的还有自动写代码工具Amazon CodeWhisperer。

此次最新的七项新发布中，Amazon CodeGuru Security和Findings Groups for Amazon Detective都多多少少用了机器学习或者大语言模型的能力。

在CJ Moses的设想里，完全可以用生成式AI来对抗安全威胁，比如，用户只需要创建一个YARA规则，大语言模型就能帮用户对抗勒索软件。

下一阶段，预计还会有更多具体的安全服务会采用大语言模型等AI技术。

未经允许不得转载：DOIT » re:Inforce 2023，亚马逊云科技在利用大语言模型的能力做安全