亚马逊云科技在 re:Inforce 2024上放大招，众多安全服务新功能亮相！

亚马逊云科技在 re:Inforce 2024全球大会上宣布推出多项安全服务新功能，涵盖恶意软件防护、生成式 AI 驱动安全、身份访问和管理等，帮助用户更轻松、安全地在亚马逊云科技上进行构建。

具体包括将 Amazon GuardDuty 恶意防护功能扩展至 Amazon Simple Storage Service（Amazon S3） ，推出 Amazon CloudTrail Lake 基于生成式AI的自然语言查询功能（预览版），Amazon Identity and Access Management (Amazon IAM)支持使用通行密钥作为第二个身份验证因素，Amazon IAM 访问分析器提供针对未使用的访问权限建议以达成最小权限以及为公共和关键资源的访问提供策略访问，Amazon Cloud WAN 推出服务嵌入功能，Amazon Private Certificate Authority (Amazon Private CA) 引入了对简单证书注册协议(SCEP)的支持等等。

亚马逊云科技首席信息安全官 Chris Betz

01  Amazon GuardDuty Malware Protection 

恶意软件防护现已支持 Amazon S3

Amazon GuardDuty 恶意软件防护功能现已支持 Amazon S3，该服务由亚马逊云科技完全托管，帮助客户运营计算基础设施，减轻企业管理数据扫描管道所带来的操作复杂性和管理成本。

Amazon GuardDuty 帮助客户保护数百万个 Amazon S3 存储桶和亚马逊云科技账户。该扩展功能允许用户扫描新上传到 Amazon S3 存储桶的对象，以检测潜在的恶意软件、病毒和其他可疑上传内容，并在这些对象被注入到后续流程之前采取隔离措施。该功能还为应用所有者提供了更多控制 Amazon S3 存储桶安全性的能力，即使他们没有在其账户中启用 Amazon GuardDuty 的基础功能，仍然可以为 Amazon S3 启用 Amazon GuardDuty 恶意软件防护功能。应用所有者会通过 Amazon EventBridge 自动接收到扫描结果通知，从而构建下游工作流，例如将可疑对象移动到隔离存储桶，或使用标签（防止用户或应用访问某些对象）定义存储桶策略。

02  推出 Amazon CloudTrail Lake 基于生成式 AI 的自然语言查询功能（预览版）

Amazon CloudTrail Lake 新推出的基于生成式 AI 的自然语言查询功能（预览版），可以使企业无需编写复杂的 SQL 查询，即可轻松地在 CloudTrail Lake 中分析亚马逊云科技的活动事件。现在，通过这项新功能，用户可以用自然语言提问有关亚马逊云科技 API 及其用户活动相关问题，例如“过去一周内每个服务记录了多少错误，每个错误的原因是什么？”或“显示昨天通过控制台登录的所有用户？”，Amazon CloudTrail 就会生成一个 SQL 查询，用户可以直接运行该查询或对该查询进行微调，以满足您的使用场景需求。

03  Amazon IAM 现在支持使用通行密钥作为第二个身份验证因素

Amazon IAM 现在支持使用通行密钥(passkey)作为第二个身份验证因素，为用户多个设备提供更简单、更安全的登录。

基于 FIDO(Fast IDentity Online)线上快速身份验证标准，passkey 采用公钥加密技术，将实现比密码更强大且抗钓鱼的身份验证。Amazon IAM 现在允许用户使用 passkey 进行多因素认证（MFA），并支持内置的身份验证器（如 Apple MacBook 上的 Touch ID 和 PC 上的 Windows Hello 面部识别），从而实现对亚马逊云科技账户的安全访问。用户可以通过硬件安全密钥或选择的 passkey 提供商使用您的指纹、面部识别或设备 PIN 创建 passkey，并可在设备间同步来登录亚马逊云科技账户。这项新功能不仅扩展了现有的多因素认证（MFA）功能，还有助于提高 MFA 的可用性和可恢复性。用户可以使用一系列支持的 IAM MFA 方法，包括 FIDO 认证的安全密钥，以增强对 Amazon 账户的访问保护。

04  Amazon IAM 访问分析器现提供针对未使用的访问权限建议以达成

最小权限

Amazon IAM 的访问分析器现在提供针对未使用的访问权限的可操作建议，指导用户修正对于未使用的角色、访问密钥和密码。企业的安全团队成员可使用 Amazon IAM 访问分析器获取企业在整个亚马逊云科技中未使用访问权限的可见性，并自动调整权限。

安全团队可以设置自动化工作流，以通知开发人员有关新的 Amazon IAM 访问分析器发现的情况。现在，用户可利用 Amazon IAM 访问分析器提供的建议，通知开发人员，以简化他们优化未使用权限的流程。

05  Amazon IAM 访问分析器现可为公共和关键资源的访问提供策略检查

Amazon IAM 访问分析器扩展了自定义策略的能力，可以在部署之前主动检测授予公共访问权限或授予对关键资源访问权限，以识别不符合要求的更新策略。安全团队可以利用这些检查来简化审查流程，自动批准符合其安全标准的策略，并在发现问题时进行更深入的检查。

06  Amazon Cloud WAN 推出

服务嵌入功能

Amazon Cloud WAN 推出了服务嵌入（service insertion）功能，这一功能简化了网络服务之间的整合，包括防火墙、入侵检测/预防系统以及其他需要集成到全球网络中的设备。管理成本不会随着网络扩大而增加。Amazon Cloud WAN 服务嵌入功能支持常见的用例和架构，包括 VPC 之间、不同亚马逊云科技区域之间、从本地到 VPC、以及从 VPC 或本地到互联网间的各种 Cloud WAN 流量检查。

07  Amazon Private CA 引入了对简单证书注册协议(SCEP)的支持

Amazon Private CA 是一个高可用性的多功能 CA，企业可以使用它来颁发私有证书，用于保护其应用程序和设备的安全。