AWS 开始监控微软云服务
AWS 宣布扩展 Security Hub 以监控 Azure 资源,并推出多项保护 AI 工作负载的新工具,包括 GuardDuty AI Protection、AI 驱动调查和 AI 资产清单。
AWS 于本周二宣布扩展其安全运营服务 Security Hub,新增对 Microsoft Azure 资源的监控能力,并推出多项用于保护 AI 工作负载的新工具。这是 Security Hub 首次原生监控 AWS 以外的云资源。
此次发布共包含四项主要更新:Azure 资源监控、Amazon GuardDuty AI Protection、GuardDuty AI 驱动调查以及 Security Hub AI 资产清单。除 AI 驱动调查功能在 10 个 AWS 区域处于预览状态外,其余功能均已正式可用。这些更新兑现了 AWS 在 3 月 RSA 大会前承诺的多云扩展计划。
AWS 保障 Azure 安全
最引人注目的更新是支持监控 Azure 资源。Security Hub 可自动发现客户的 Azure 虚拟机、容器镜像、无服务器函数应用和身份,并依据 CIS Azure Foundations Benchmark 检查它们是否存在配置错误、互联网暴露和易受攻击的软件。所有来自 Azure 的发现结果会与 AWS 的发现结果一起显示在同一个优先级队列中,并可触发团队已构建的自动化工作流。
AWS 安全服务总监 Michael Fuller 在发布博客中写道:“你的工作负载迁移到新云,你的安全应该已经在那里等着。”
监控 Azure 资源的费用与监控同等 AWS 资源相同,无附加平台费,并提供 30 天免费试用。
保护 AI 工作负载
相比之下,GuardDuty AI Protection 是一款偏重 AWS 生态的产品。它旨在检测 Amazon Bedrock 和 SageMaker 工作负载的特定威胁,包括异常模型调用、提示注入(通过与 Bedrock Guardrails 集成)以及 AWS 所谓的“成本盗用”——攻击者利用窃取的凭证在他人账户中产生推理费用。
Fuller 指出这是他反复看到的模式:“我最近与一位安全负责人交谈,他的团队直到财务部门发现账单异常,才发现一个被攻破的服务账户调用了基础模型数千次。”
AI 驱动调查(目前处于预览阶段)会对 GuardDuty 发现进行自动初筛,区分真实威胁与噪音。每次调查返回一个处置结果,包含置信度分数、MITRE ATT&CK 分类和修复建议,基于 90 天的相关活动数据。AWS 声称该分析“在几分钟内完成以前需要数小时的工作”。
AI 资产清单现已包含在 Security Hub 的 Essentials 计划中,无需额外费用。它跨组织目录化 AI 资产,包括 Bedrock、SageMaker 和 AgentCore 等托管服务,客户在 EC2、ECS 或 EKS 上自行运行的模型,以及内部工作负载调用的外部模型 API。该清单还将每个资产与其底层基础设施关联,并连接到相关的 GuardDuty 发现。
竞争激烈的领域
AWS 并非首个监控竞争对手云的超大规模云提供商。Microsoft Defender for Cloud 自 2021 年底起就为 AWS 提供态势管理,2022 年初扩展至 Google Cloud。Google 于 3 月完成了对 Wiz 的 320 亿美元收购——就在 AWS 预发布此扩展的第二天。Wiz 的平台覆盖三大主流云。目前 Security Hub 仅支持 Azure,AWS 未透露是否会跟进支持 Google Cloud。
AI 保护功能也进入了一个竞争激烈的市场。Wiz、Palo Alto Networks 和 CrowdStrike 均提供 AI 安全态势管理服务。
AWS 押注,上多云客户会希望 Security Hub 成为跟随他们的一站式控制台和统一账单。“多云”在多久内仅限于 Azure,将是检验这一赌注严肃性的首个考验。