AI News HubLIVE
站内改写2 分钟阅读

AWS 开始监控微软云服务

AWS 宣布扩展 Security Hub 以监控 Azure 资源,并推出多项保护 AI 工作负载的新工具,包括 GuardDuty AI Protection、AI 驱动调查和 AI 资产清单。

来源The New Stack AI作者: Frederic Lardinois

AWS 于本周二宣布扩展其安全运营服务 Security Hub,新增对 Microsoft Azure 资源的监控能力,并推出多项用于保护 AI 工作负载的新工具。这是 Security Hub 首次原生监控 AWS 以外的云资源。

此次发布共包含四项主要更新:Azure 资源监控、Amazon GuardDuty AI Protection、GuardDuty AI 驱动调查以及 Security Hub AI 资产清单。除 AI 驱动调查功能在 10 个 AWS 区域处于预览状态外,其余功能均已正式可用。这些更新兑现了 AWS 在 3 月 RSA 大会前承诺的多云扩展计划。

AWS 保障 Azure 安全

最引人注目的更新是支持监控 Azure 资源。Security Hub 可自动发现客户的 Azure 虚拟机、容器镜像、无服务器函数应用和身份,并依据 CIS Azure Foundations Benchmark 检查它们是否存在配置错误、互联网暴露和易受攻击的软件。所有来自 Azure 的发现结果会与 AWS 的发现结果一起显示在同一个优先级队列中,并可触发团队已构建的自动化工作流。

AWS 安全服务总监 Michael Fuller 在发布博客中写道:“你的工作负载迁移到新云,你的安全应该已经在那里等着。”

监控 Azure 资源的费用与监控同等 AWS 资源相同,无附加平台费,并提供 30 天免费试用。

保护 AI 工作负载

相比之下,GuardDuty AI Protection 是一款偏重 AWS 生态的产品。它旨在检测 Amazon Bedrock 和 SageMaker 工作负载的特定威胁,包括异常模型调用、提示注入(通过与 Bedrock Guardrails 集成)以及 AWS 所谓的“成本盗用”——攻击者利用窃取的凭证在他人账户中产生推理费用。

Fuller 指出这是他反复看到的模式:“我最近与一位安全负责人交谈,他的团队直到财务部门发现账单异常,才发现一个被攻破的服务账户调用了基础模型数千次。”

AI 驱动调查(目前处于预览阶段)会对 GuardDuty 发现进行自动初筛,区分真实威胁与噪音。每次调查返回一个处置结果,包含置信度分数、MITRE ATT&CK 分类和修复建议,基于 90 天的相关活动数据。AWS 声称该分析“在几分钟内完成以前需要数小时的工作”。

AI 资产清单现已包含在 Security Hub 的 Essentials 计划中,无需额外费用。它跨组织目录化 AI 资产,包括 Bedrock、SageMaker 和 AgentCore 等托管服务,客户在 EC2、ECS 或 EKS 上自行运行的模型,以及内部工作负载调用的外部模型 API。该清单还将每个资产与其底层基础设施关联,并连接到相关的 GuardDuty 发现。

竞争激烈的领域

AWS 并非首个监控竞争对手云的超大规模云提供商。Microsoft Defender for Cloud 自 2021 年底起就为 AWS 提供态势管理,2022 年初扩展至 Google Cloud。Google 于 3 月完成了对 Wiz 的 320 亿美元收购——就在 AWS 预发布此扩展的第二天。Wiz 的平台覆盖三大主流云。目前 Security Hub 仅支持 Azure,AWS 未透露是否会跟进支持 Google Cloud。

AI 保护功能也进入了一个竞争激烈的市场。Wiz、Palo Alto Networks 和 CrowdStrike 均提供 AI 安全态势管理服务。

AWS 押注,上多云客户会希望 Security Hub 成为跟随他们的一站式控制台和统一账单。“多云”在多久内仅限于 Azure,将是检验这一赌注严肃性的首个考验。