AWS 開始監控微軟雲服務
AWS 宣佈擴充套件 Security Hub 以監控 Azure 資源,並推出多項保護 AI 工作負載的新工具,包括 GuardDuty AI Protection、AI 驅動調查和 AI 資產清單。
AWS 於本週二宣佈擴充套件其安全運營服務 Security Hub,新增對 Microsoft Azure 資源的監控能力,並推出多項用於保護 AI 工作負載的新工具。這是 Security Hub 首次原生監控 AWS 以外的雲資源。
此次釋出共包含四項主要更新:Azure 資源監控、Amazon GuardDuty AI Protection、GuardDuty AI 驅動調查以及 Security Hub AI 資產清單。除 AI 驅動調查功能在 10 個 AWS 區域處於預覽狀態外,其餘功能均已正式可用。這些更新兌現了 AWS 在 3 月 RSA 大會前承諾的多雲擴充套件計劃。
AWS 保障 Azure 安全
最引人注目的更新是支援監控 Azure 資源。Security Hub 可自動發現客戶的 Azure 虛擬機器、容器映象、無伺服器函式應用和身份,並依據 CIS Azure Foundations Benchmark 檢查它們是否存在配置錯誤、網際網路暴露和易受攻擊的軟體。所有來自 Azure 的發現結果會與 AWS 的發現結果一起顯示在同一個優先順序佇列中,並可觸發團隊已構建的自動化工作流。
AWS 安全服務總監 Michael Fuller 在釋出部落格中寫道:“你的工作負載遷移到新雲,你的安全應該已經在那裡等著。”
監控 Azure 資源的費用與監控同等 AWS 資源相同,無附加平臺費,並提供 30 天免費試用。
保護 AI 工作負載
相比之下,GuardDuty AI Protection 是一款偏重 AWS 生態的產品。它旨在檢測 Amazon Bedrock 和 SageMaker 工作負載的特定威脅,包括異常模型呼叫、提示注入(透過與 Bedrock Guardrails 整合)以及 AWS 所謂的“成本盜用”——攻擊者利用竊取的憑證在他人賬戶中產生推理費用。
Fuller 指出這是他反覆看到的模式:“我最近與一位安全負責人交談,他的團隊直到財務部門發現賬單異常,才發現一個被攻破的服務賬戶呼叫了基礎模型數千次。”
AI 驅動調查(目前處於預覽階段)會對 GuardDuty 發現進行自動初篩,區分真實威脅與噪音。每次調查返回一個處置結果,包含置信度分數、MITRE ATT&CK 分類和修復建議,基於 90 天的相關活動資料。AWS 聲稱該分析“在幾分鐘內完成以前需要數小時的工作”。
AI 資產清單現已包含在 Security Hub 的 Essentials 計劃中,無需額外費用。它跨組織目錄化 AI 資產,包括 Bedrock、SageMaker 和 AgentCore 等託管服務,客戶在 EC2、ECS 或 EKS 上自行執行的模型,以及內部工作負載呼叫的外部模型 API。該清單還將每個資產與其底層基礎設施關聯,並連線到相關的 GuardDuty 發現。
競爭激烈的領域
AWS 並非首個監控競爭對手雲的超大規模雲提供商。Microsoft Defender for Cloud 自 2021 年底起就為 AWS 提供態勢管理,2022 年初擴充套件至 Google Cloud。Google 於 3 月完成了對 Wiz 的 320 億美元收購——就在 AWS 預釋出此擴充套件的第二天。Wiz 的平臺覆蓋三大主流雲。目前 Security Hub 僅支援 Azure,AWS 未透露是否會跟進支援 Google Cloud。
AI 保護功能也進入了一個競爭激烈的市場。Wiz、Palo Alto Networks 和 CrowdStrike 均提供 AI 安全態勢管理服務。
AWS 押注,上多雲客戶會希望 Security Hub 成為跟隨他們的一站式控制台和統一賬單。“多雲”在多久內僅限於 Azure,將是檢驗這一賭注嚴肅性的首個考驗。