無論是來費城的火車車廂里，還是費城瑞汀車站市場的人群中，甚至費城藝術博物館前的階梯上，隨處可見身披球衣、手舉圍巾的球迷。6月17日，2025年FIFA世俱杯的小組賽將在在費城開賽，巧合的是，同一天，AWS re:Inforce大會也在這里火熱舉行。

一場關于體育競技與云安全的“雙賽場”，讓費城這座城市熱鬧非凡。

在每一道關口設防，構建安全“護城河”

最近剛剛出任亞馬遜云科技 CISO的Amy Herzog稱自己是個新人，AWS re:Inforce也成為她的首次亮相。在加入亞馬遜云科技之前，她曾擔任亞馬遜設備與服務、媒體與娛樂以及廣告業務的CISO，負責監督Alexa+和Ring等消費技術產品的安全性，并在“Kuiper項目”的安全開發中發揮了關鍵作用。

亞馬遜云科技 CISO Amy Herzog

Amy Herzog一上來就強調了她在亞馬遜所一直堅持的觀點：所有一切始于安全。

“如果沒有堅實的安全基礎，我們根本無法真正保障AI或其他任何技術的安全?！盇my Herzog對這一點深信不疑。

她并不認為，在快速創新和高安全性之間必須做選擇。她我相信在速度和規模并存的環境中，安全性可以更進一步。企業需要在每個階段的每一層都要通過設計實現安全，包含身份與訪問管理、監控與事件響應、數據和網絡保護、遷移與現代化。

因為正是安全這一基礎使創新成為可能。

身份與訪問管理

身份與訪問管理如果沒有做好，一切都無從談起。目前亞馬遜云科技的身份和訪問管理服務API每秒被調用12億次，目標是確保用戶和系統僅擁有完成其職責所必需的最小權限，也就是“最小權限原則”，遵循這一原則可以顯著降低攻擊面，從而減少因賬戶泄露、內部人員威脅或誤操作所帶來的潛在損害。

但權限配置是一個持續的過程，AWS IAM Access Analyzer可以提供權限管理，識別誰在你的亞馬遜云科技組織中可以訪問哪些資源。新功能Internal Access Findings可以清晰地了解公司內部誰能夠訪問亞馬遜云科技中的關鍵資源，深入解讀各種策略類型，包括身份策略、資源策略、服務控制策略，并識別出哪些IAM用戶和角色擁有對特定資源的訪問權限。

如今的IAM Access Analyzer能夠為企業的關鍵資產提供一個全面的訪問視圖，使得發現和修復安全問題變得更加容易。

監控與事件響應

雖然“最小權限原則”至關重要，但接下來企業還需要消除長期憑證的必要性。2024年12月到2025年4月，亞馬遜云科技阻止了未經授權的加密嘗試次數達到9.436億次。這有賴于全面的身份和訪問管理能力，涵蓋了IAM實例配置文件、聯邦身份驗證、IAM角色、任何地方的IAM角色。

MFA是保護賬戶免遭未授權訪問最有效的安全實踐，亞馬遜云科技是首家要求強制使用MFA的云服務提供商，用于管理賬戶和具有根訪問權限的獨立賬戶。AWS Certificate Manager則可以導出公共證書，以便在亞馬遜云科技內部和外部使用。

數據和網絡保護

雖然身份與訪問管理可以控制誰能訪問你的資源，但保護數據還需要額外的防護層和控制機制。

Amazon Shield推出一項新的預覽功能Network Security Director，不僅提供DDoS防護，還覆蓋整個網絡安全管理層面。該服務能夠繪制客戶的安全資源圖譜，從而發現常見攻擊方式的脆弱點，例如SQL注入（攻擊者利用網站表單訪問數據的常見手段）和分布式拒絕服務（DDoS）攻擊（攻擊者通過大量虛假流量使網站癱瘓）。

現在Amazon Shield提供一個直觀的儀表板，按嚴重程度標記問題，并提供詳細的逐步操作指南，幫助客戶快速修復。此外，客戶還可以使用 Amazon Q，通過簡單的對話就能獲得指導。

AWS Web Application Firewall（AWS WAF）則會同步攔截針對應用程序的利用行為。全新的WAF簡化控制臺體驗，將原本繁雜的Web應用與API安全配置流程，整合為一個統一的引導式配置流程。這項改進可將初始安全配置所需的步驟減少80%，讓安全團隊從耗時數小時，轉變為幾分鐘內即可完成防護配置。

當開發者希望使用CloudFront進行內容分發時，他們需要通過多個步驟配置CloudFront分發實例?，F在Amazon CloudFront簡化配置體驗，讓開發者無論經驗如何，都能更輕松地完成端到端的內容分發與防護配置，快速、安全、可靠地將內容傳遞給用戶。

另外，Amazon Network Firewall現已增強支持主動威脅防御功能，能夠應對新興的、正在被利用的攻擊威脅。依托亞馬遜云科技全球基礎設施中獲得的威脅情報，快速識別風險，并自動應用由亞馬遜云科技管理的規則，攔截隱蔽的命令與控制通道、惡意網址以及其他攻擊行為。

Amazon GuardDuty引入增強功能Extended Threat Detection，可以保護運行在Amazon Elastic Kubernetes Service（Amazon EKS）上的容器化應用。Amazon GuardDuty能夠關聯客戶系統中的各種安全信號，能夠檢測出那些可能被忽視的復雜攻擊模式。

通過對Amazon EKS審計日志、運行時行為以及亞馬遜云科技環境中的活動進行持續監控，Amazon GuardDuty可以識別出復雜的多階段攻擊。在90天內，在美國數百萬個受監控賬戶中識別出超過13000條高置信度攻擊序列。

全新升級的Amazon Security Hub目前已提供預覽版本。Amazon Security Hub幫助客戶識別最關鍵的安全問題，并快速響應以降低風險。能夠將不同類型的安全警報與漏洞信息進行關聯分析，使安全團隊能夠快速發現其云系統中的活躍威脅，并確定處理的優先級。通過將所有信息集中到一個平臺，Amazon Security Hub不僅為企業提供了更清晰的整體安全態勢，還省去了從多個安全工具手動收集信息的繁瑣工作。

遷移與現代化

亞馬遜云科技還對AWS MSSP Specialization進行增強，更新了亞馬遜云科技安全服務提供商（MSSP）的分類，包含經過驗證的多云轉換解決方案，這些方案可與亞馬遜云科技ISV工具協同工作。

同時亞馬遜云科技的合作伙伴們正在利用生成式AI重塑安全行業。例如，Terra開發的生成式AI平臺，能夠實現持續、半自動的滲透測試。不僅能將攻擊面覆蓋范圍擴大一倍，還能顯著提升準確率，并將測試時長縮短 50% 以上；Twine開發的“數字員工”，專門用于身份認證流程，可將人工處理身份與訪問管理任務的工作量減少70%。

這只是未來眾多可能性的一小部分，亞馬遜云科技還專門設立了數據安全專項計劃，眾多合作伙伴都將隨時準備保護客戶的AI環境，應對不斷涌現的AI安全威脅。

案件處置提速 40%，日志分析快 50 倍，生成式AI正重塑安全運營

生成式AI已經成為安全變革里的主角。隨著代碼補全、開發輔助等AI能力的加持，軟件開發速度被大幅提升，安全防護也面臨新的挑戰。不過，AI本身也成了安全的新武器，幫亞馬遜云科技“從一堆針里找到那根關鍵的針”。

通過將生成式AI集成至案件管理系統，亞馬遜云科技將中等復雜度問題的平均處理時間縮短了超過40%，同時顯著提升了安全文檔的深度與一致性?；贏I驅動的結構化分診系統，現已能夠自動解答每個安全事件中超過50個關鍵問題，并智能生成后續探討項，使文檔記錄更高效、全面，同時助力統一事件優先級劃分與響應策略，提升整體處置節奏和一致性。

與此同時，為防止過度依賴AI輔助，亞馬遜云科技開發了“偏移檢測系統”，能夠實時分析當前問題，并在響應措施或文檔存在缺失時主動提示改進。

新推出的AI驅動日志分析系統實現了多個來源日志的自動處理，將原本完全依賴人工、耗時數小時的流程，壓縮至數分鐘內完成初步分析。系統采用實體驅動方法，自動提取和分析相關日志，識別可疑模式，繪制通信路徑，為安全工程師提供清晰、可追溯的調查起點。系統讓日志分析能力提升達50倍，極大提升了響應效率與威脅溯源能力。

Amy Herzog談到，隨著攻擊與防御技術同時進化，亞馬遜云科技也迎來了巨大的機會與責任：我們必須確保正在開發生成式AI與Agent解決方案的客戶，具備所需的防護機制、工具與配置，以安全的方式實現創新。

這就是Amy Herzog今年希望通過re:Inforce推動的重點之一。

總結而言，安全的使命并不是拖慢創新，而是要讓大家一起加速前行。