AWS re:Inforce：费城这天不只拼进球，还拼生成式AI安全

无论是来费城的火车车厢里，还是费城瑞汀车站市场的人群中，甚至费城艺术博物馆前的阶梯上，随处可见身披球衣、手举围巾的球迷。6月17日，2025年FIFA世俱杯的小组赛将在在费城开赛，巧合的是，同一天，AWS re:Inforce大会也在这里火热举行。

一场关于体育竞技与云安全的“双赛场”，让费城这座城市热闹非凡。

在每一道关口设防，构建安全“护城河”

最近刚刚出任亚马逊云科技 CISO的Amy Herzog称自己是个新人，AWS re:Inforce也成为她的首次亮相。在加入亚马逊云科技之前，她曾担任亚马逊设备与服务、媒体与娱乐以及广告业务的CISO，负责监督Alexa+和Ring等消费技术产品的安全性，并在“Kuiper项目”的安全开发中发挥了关键作用。

亚马逊云科技 CISO Amy Herzog

Amy Herzog一上来就强调了她在亚马逊所一直坚持的观点：所有一切始于安全。

“如果没有坚实的安全基础，我们根本无法真正保障AI或其他任何技术的安全。”Amy Herzog对这一点深信不疑。

她并不认为，在快速创新和高安全性之间必须做选择。她我相信在速度和规模并存的环境中，安全性可以更进一步。企业需要在每个阶段的每一层都要通过设计实现安全，包含身份与访问管理、监控与事件响应、数据和网络保护、迁移与现代化。

因为正是安全这一基础使创新成为可能。

身份与访问管理

身份与访问管理如果没有做好，一切都无从谈起。目前亚马逊云科技的身份和访问管理服务API每秒被调用12亿次，目标是确保用户和系统仅拥有完成其职责所必需的最小权限，也就是“最小权限原则”，遵循这一原则可以显著降低攻击面，从而减少因账户泄露、内部人员威胁或误操作所带来的潜在损害。

但权限配置是一个持续的过程，AWS IAM Access Analyzer可以提供权限管理，识别谁在你的亚马逊云科技组织中可以访问哪些资源。新功能Internal Access Findings可以清晰地了解公司内部谁能够访问亚马逊云科技中的关键资源，深入解读各种策略类型，包括身份策略、资源策略、服务控制策略，并识别出哪些IAM用户和角色拥有对特定资源的访问权限。

如今的IAM Access Analyzer能够为企业的关键资产提供一个全面的访问视图，使得发现和修复安全问题变得更加容易。

监控与事件响应

虽然“最小权限原则”至关重要，但接下来企业还需要消除长期凭证的必要性。2024年12月到2025年4月，亚马逊云科技阻止了未经授权的加密尝试次数达到9.436亿次。这有赖于全面的身份和访问管理能力，涵盖了IAM实例配置文件、联邦身份验证、IAM角色、任何地方的IAM角色。

MFA是保护账户免遭未授权访问最有效的安全实践，亚马逊云科技是首家要求强制使用MFA的云服务提供商，用于管理账户和具有根访问权限的独立账户。AWS Certificate Manager则可以导出公共证书，以便在亚马逊云科技内部和外部使用。

数据和网络保护

虽然身份与访问管理可以控制谁能访问你的资源，但保护数据还需要额外的防护层和控制机制。

Amazon Shield推出一项新的预览功能Network Security Director，不仅提供DDoS防护，还覆盖整个网络安全管理层面。该服务能够绘制客户的安全资源图谱，从而发现常见攻击方式的脆弱点，例如SQL注入（攻击者利用网站表单访问数据的常见手段）和分布式拒绝服务（DDoS）攻击（攻击者通过大量虚假流量使网站瘫痪）。

现在Amazon Shield提供一个直观的仪表板，按严重程度标记问题，并提供详细的逐步操作指南，帮助客户快速修复。此外，客户还可以使用 Amazon Q，通过简单的对话就能获得指导。

AWS Web Application Firewall（AWS WAF）则会同步拦截针对应用程序的利用行为。全新的WAF简化控制台体验，将原本繁杂的Web应用与API安全配置流程，整合为一个统一的引导式配置流程。这项改进可将初始安全配置所需的步骤减少80%，让安全团队从耗时数小时，转变为几分钟内即可完成防护配置。

当开发者希望使用CloudFront进行内容分发时，他们需要通过多个步骤配置CloudFront分发实例。现在Amazon CloudFront简化配置体验，让开发者无论经验如何，都能更轻松地完成端到端的内容分发与防护配置，快速、安全、可靠地将内容传递给用户。

另外，Amazon Network Firewall现已增强支持主动威胁防御功能，能够应对新兴的、正在被利用的攻击威胁。依托亚马逊云科技全球基础设施中获得的威胁情报，快速识别风险，并自动应用由亚马逊云科技管理的规则，拦截隐蔽的命令与控制通道、恶意网址以及其他攻击行为。

Amazon GuardDuty引入增强功能Extended Threat Detection，可以保护运行在Amazon Elastic Kubernetes Service（Amazon EKS）上的容器化应用。Amazon GuardDuty能够关联客户系统中的各种安全信号，能够检测出那些可能被忽视的复杂攻击模式。

通过对Amazon EKS审计日志、运行时行为以及亚马逊云科技环境中的活动进行持续监控，Amazon GuardDuty可以识别出复杂的多阶段攻击。在90天内，在美国数百万个受监控账户中识别出超过13000条高置信度攻击序列。

全新升级的Amazon Security Hub目前已提供预览版本。Amazon Security Hub帮助客户识别最关键的安全问题，并快速响应以降低风险。能够将不同类型的安全警报与漏洞信息进行关联分析，使安全团队能够快速发现其云系统中的活跃威胁，并确定处理的优先级。通过将所有信息集中到一个平台，Amazon Security Hub不仅为企业提供了更清晰的整体安全态势，还省去了从多个安全工具手动收集信息的繁琐工作。

迁移与现代化

亚马逊云科技还对AWS MSSP Specialization进行增强，更新了亚马逊云科技安全服务提供商（MSSP）的分类，包含经过验证的多云转换解决方案，这些方案可与亚马逊云科技ISV工具协同工作。

同时亚马逊云科技的合作伙伴们正在利用生成式AI重塑安全行业。例如，Terra开发的生成式AI平台，能够实现持续、半自动的渗透测试。不仅能将攻击面覆盖范围扩大一倍，还能显著提升准确率，并将测试时长缩短 50% 以上；Twine开发的“数字员工”，专门用于身份认证流程，可将人工处理身份与访问管理任务的工作量减少70%。

这只是未来众多可能性的一小部分，亚马逊云科技还专门设立了数据安全专项计划，众多合作伙伴都将随时准备保护客户的AI环境，应对不断涌现的AI安全威胁。

案件处置提速 40%，日志分析快 50 倍，生成式AI正重塑安全运营

生成式AI已经成为安全变革里的主角。随着代码补全、开发辅助等AI能力的加持，软件开发速度被大幅提升，安全防护也面临新的挑战。不过，AI本身也成了安全的新武器，帮亚马逊云科技“从一堆针里找到那根关键的针”。

通过将生成式AI集成至案件管理系统，亚马逊云科技将中等复杂度问题的平均处理时间缩短了超过40%，同时显著提升了安全文档的深度与一致性。基于AI驱动的结构化分诊系统，现已能够自动解答每个安全事件中超过50个关键问题，并智能生成后续探讨项，使文档记录更高效、全面，同时助力统一事件优先级划分与响应策略，提升整体处置节奏和一致性。

与此同时，为防止过度依赖AI辅助，亚马逊云科技开发了“偏移检测系统”，能够实时分析当前问题，并在响应措施或文档存在缺失时主动提示改进。

新推出的AI驱动日志分析系统实现了多个来源日志的自动处理，将原本完全依赖人工、耗时数小时的流程，压缩至数分钟内完成初步分析。系统采用实体驱动方法，自动提取和分析相关日志，识别可疑模式，绘制通信路径，为安全工程师提供清晰、可追溯的调查起点。系统让日志分析能力提升达50倍，极大提升了响应效率与威胁溯源能力。

Amy Herzog谈到，随着攻击与防御技术同时进化，亚马逊云科技也迎来了巨大的机会与责任：我们必须确保正在开发生成式AI与Agent解决方案的客户，具备所需的防护机制、工具与配置，以安全的方式实现创新。

这就是Amy Herzog今年希望通过re:Inforce推动的重点之一。

总结而言，安全的使命并不是拖慢创新，而是要让大家一起加速前行。