AWS re:Invent 2024：安全、身份和合規回顧

AWS re:Invent 2024 於 12 月 2 日至 6 日在拉斯維加斯舉行，超過 54,000 名參與者參加了 2,300 多場會議和實作實驗室。這場會議是由 AWS 為全球雲端運算社群舉辦的創新和學習中心。

在這篇部落格文章中，我們將介紹隨選會議以及會議前後揭示的主要安全性、身份和合規性公告。不論您是否錯過了這場活動或想重溫重點，我們已為您整理了 AWS 安全性、身份和合規性的最新發展概況。今年的活動將零信任最佳實踐、生成式 AI 驅動的安全性、身份和存取管理、DevSecOps、網路和基礎設施安全性、資料保護以及威脅偵測和事件回應放在首位。

主要公告

在身份和存取管理方面，我們推出了多項新功能，幫助您在 AWS Organizations 中擴展權限管理。

資源控制政策 (RCPs) – RCPs 是一種新的組織政策類型，可用於集中創建和執行對您組織中 AWS 資源的預防性控制。使用 RCPs，您可以在 AWS 上擴展工作負載時集中設置 AWS 資源的最大可用權限。

集中管理根存取 – 使用集中管理根存取，您現在可以集中管理根憑證，簡化憑證審核，並在使用 AWS Organizations 管理的 AWS 成員帳戶中執行範圍緊密的特權任務。

宣告性政策 – 宣告性政策簡化了您在組織內執行持久意圖的方法，例如 AWS 服務的基線配置。

Amazon Cognito 宣布了四項新功能：

功能層級 – Amazon Cognito 推出了兩個使用者池功能層級：Essentials 和 Plus。Essentials 層級提供全面且靈活的使用者身份驗證和存取控制功能，幫助您實施安全、可擴展且自訂的註冊和登入體驗。Plus 層級為那些對其應用程式有較高安全需求的客戶提供對可疑登入的威脅保護功能。

開發者專注的控制台 – Amazon Cognito 現在提供了一個精簡的入門體驗，具有快速嚮導和特定用例的建議。這種方法幫助您更快、更有效地設置配置並到達最終使用者。

管理登入 – 這項功能是一種完全管理的託管登入和註冊體驗，您可以將其個性化以符合您的公司或應用程式品牌。管理登入幫助您卸下設計和維護自訂實作（如無密碼身份驗證和本地化）的繁重工作。

無密碼身份驗證 – 使用無密碼身份驗證，您可以使用通行密鑰、電子郵件和簡訊來保護使用者對應用程式的存取。如果您的使用者選擇使用通行密鑰登入，他們可以使用內建的身份驗證器，例如 Apple MacBooks 上的 Touch ID 和 PC 上的 Windows Hello 臉部識別。

為了發現您環境中的安全問題，Amazon GuardDuty 推出了擴展威脅偵測功能，您可以使用該功能識別針對您 AWS 帳戶、工作負載和資料的複雜多階段威脅。您現在可以使用涵蓋多個資源和資料來源的新威脅序列發現，讓您花更少時間進行一級分析，並花更多時間回應關鍵嚴重性威脅，以減少業務影響。

Amazon OpenSearch Service 現在提供與 Amazon Security Lake 的零 ETL 整合，讓您可以直接通過 OpenSearch Service 查詢和分析安全資料。這種整合讓您能夠高效探索以前因成本高昂而無法分析的大量資料來源，幫助您簡化安全調查並獲得安全環境的全面可見性。由於可以靈活選擇性地攝取資料且無需管理複雜的資料管道，您現在可以專注於有效的安全操作，同時可能降低分析成本。

AWS Security Incident Response 是一項新服務，幫助您回應環境中的安全問題。這項新服務結合了自動化監控和調查、加速的溝通和協調，以及直接 24/7 存取 AWS 客戶事件回應團隊的能力，以快速準備、回應和從安全事件中恢復。

在零信任領域，AWS Verified Access 和 Amazon VPC Lattice 都推出了存取非 HTTPS 資源的支持。Verified Access 讓您能夠通過 TCP、SSH 和 RDP 等協議為企業應用程式提供安全的無 VPN 存取。隨著 VPC 資源的推出，您現在可以通過 VPC Lattice 服務網路存取您的應用程式依賴項。您可以使用包括 TLS、HTTP、HTTPS 和現在的 TCP 在內的其他協議連接到託管在不同 VPC、帳戶和內部部署中的應用程式依賴項。觀看隨選會議以了解如何使用 AWS Verified Access 在非 HTTP(S) 協議上啟用零信任存取。

Amazon Route 53 Resolver DNS Firewall 推出了一項高級防火牆規則，具有一套新功能，您可以用來監控和阻止與高級 DNS 威脅相關的可疑 DNS 流量。

Amazon Virtual Private Cloud 推出了阻止公共存取，這是一個單擊宣告性控制，管理員可以集中實施以權威地阻止每個 VPC 的網際網路流量。

隨著越來越多的客戶將生成式 AI 工作負載部署到生產環境中，擁有適當的安全控制變得愈加重要。Amazon Bedrock 推出了兩項新功能來幫助實現這一目標：

自動推理檢查 – 自動推理檢查幫助檢測幻覺並提供可驗證的證明，證明大型語言模型的回應是準確的。通過自動推理檢查，領域專家可以更簡單地構建稱為自動推理政策的規範，將他們在運營工作流程和人力資源政策等領域的知識封裝在其中。Amazon Bedrock Guardrails 的使用者可以根據自動推理政策驗證生成的內容，以識別不準確和未明示的假設，並以可驗證的方式解釋為何聲明是準確的。

多模態毒性檢測（預覽） – Amazon Bedrock Guardrails 現在支持圖像內容的多模態毒性檢測，使組織能夠對圖像應用內容過濾器。這項功能目前處於公開預覽階段，消除了構建您自己的圖像資料保護措施或花費週期進行可能容易出錯且繁瑣的手動評估的繁重工作。

AWS 繼續與合作夥伴密切合作，以推動客戶成功。在 AWS re:Invent 上推出了三個新的合作夥伴計畫：

AI 安全類別 – AWS 安全能力中的 AI 安全類別幫助您識別具有深厚經驗的 AWS 合作夥伴，這些合作夥伴能夠保護 AI 環境並防禦 AI 工作負載免受高級威脅。此類別中的合作夥伴已通過驗證其在防止敏感資料洩露、防止注入威脅、安全姿態管理和實施負責任的 AI 過濾方面的能力。

AWS 安全事件回應專業化 – 今天，AWS 客戶依賴各種第三方工具和服務來支持其內部安全事件回應能力。為了更好地幫助客戶和合作夥伴，AWS 推出了 AWS 安全事件回應，這是一項新服務，幫助您準備、回應和從安全事件中恢復。與經過批准的 AWS 合作夥伴一起，AWS 安全事件回應監控、調查並升級從 Amazon GuardDuty 和其他威脅偵測工具中篩選出的安全發現。安全事件回應旨在識別並升級僅高優先級事件。

Amazon Security Lake Ready 專業化 – 此專業化認可已技術驗證其軟體解決方案與 Amazon Security Lake 整合並展示成功客戶部署的 AWS 合作夥伴。這些解決方案已通過 AWS 合作夥伴解決方案架構師的技術驗證，證明其架構健全並取得客戶成功。

隨選體驗內容

如果您無法親自參加或想再次觀看會議，您可以查看可隨選的會議。觀看 CEO Matt Garman 的主題演講，了解 AWS 如何重新定義基礎構建塊，並開發全新體驗，為 AWS 客戶和合作夥伴提供他們所需的工具，以構建更美好的未來。您還可以重播其他 re:Invent 2024 的主題演講。

觀看 AWS CISO Chris Betz 的安全創新講座，了解最新的 AWS 創新如何幫助客戶快速行動並保持安全。了解 AWS 如何授權組織自信地將安全性整合到其產品、服務和流程中，以便安全團隊能夠專注於為業務帶來最高價值的工作。Chris 還分享了 AWS 如何通過擴展安全創新和投資於安全社群來幫助使網際網路更安全。

隨選串流任何 AWS 安全性、身份和合規性分組會議和新推出的講座，以了解以下關鍵主題，及更多：

考慮加入我們，參加更多面對面的安全學習機會，請記下 AWS re:Inforce 2025 的日期，該活動將於 6 月 16 日至 18 日在賓夕法尼亞州費城舉行。我們期待在那裡見到您！

如果您想討論這些新公告如何幫助您的組織改善其安全姿態，AWS 隨時為您提供幫助。今天就聯繫您的 AWS 帳戶團隊。

如果您對這篇文章有反饋，請在下方的評論區提交評論。如果您對這篇文章有疑問，請在 AWS Security, Identity, & Compliance re:Post 上開啟新線程或聯繫 AWS 支援。