本周在re: Invent大会上,AWS宣布了自制ARM芯片Graviton 2、新版机器学习模型开发测试环境SageMaker、程序检查平台CodeGuru等。此外AWS同一天也宣布了可检查数据外泄、防止数据窃取、防范线上欺诈及访问管控等4项安全及隐私工具。
之前传闻许久的Amazon Detective旨在让企业安全部门,可在其云计算环境发生黑客或恶意程序入侵等安全事件时,进行调查。它会自动搜集AWS环境中所有log数据,并以机器学习、统计分析和图论(graph theory)创建起数据关联,加速调查作业的进行。这项服务集成VPC Flow Logs及AWS现有安全服务,像是AWS CloudTrail、Amazon GuardDuty,以及合作伙伴产品的数据,配合ETL(extract, transform and load)工具进行分析,并将结果规整在单一交互接口呈现,让调查人员及用户清楚看到事件发生过程。
其次是Amazon欺诈侦测(Fraud Detection)。AWS是结合Amazon.com 20年防范欺诈交易的经验、AWS专家及机器学习的全托管服务,协助零售业识别可能的线上欺诈活动,像是支付诈骗或假账号。AWS宣称,这项服务用户无需具备机器学习的知识,只要按几个键将交易记录上传云计算,再指定他们遇到过最常见的欺诈行为。Amazon欺诈侦测的AI系统即可据此判断最适合的侦测算法,再以用户数据训练模型。目前AWS已在美东地区推出预览版服务。
为了防范黑客进入AWS云计算后掠夺数据,AWS添加了AWS Nitro Enclaves,确保个人可识别数据(PII)、医疗记录、金融信息及研发知识产权。这项服务利用AWS Nitro同样的Hypervisor技术,可在EC2执行实例中创建CPU及内存分区达到隔离效果。每个安全区(enclave)都有单独的VM,用户必须选择每个安全区的执行实例种类及配置多少处理器和内存。
Nitro Enclaves还提供SDK让用户开发安全区应用程序,配合AWS密钥管理服务对软件提供加密验证,以确保只有经授权的程序可在云计算上执行,以及经授权安全区(enclave)才能访问敏感信息。
最后,AWS还为IAM控制台的添加身份与访问管理服务AWS IAM Access Analyzer功能。它会分析Amazon S3 buckets、AWS KMS(密钥管理系统)、Amazon SQS(Simple Queue Service)、IAM角色和AWS Lambda功能相关政策,企业可用它来找出违反公司安全与治理规定的资源分享,并定期详列违规情形。理论上可避免用户数据流到设置错误的数据库,并满足GDPR及美国加州消费者隐私法的规范。
AWS指出这项服务利用一种名为自动推理(automated reasoning)的技术,可在几秒钟内评估完数百或上千条政策。IAM Access Analyzer包含在IAM控制台中,AWS企业用户及AWS GovCloud用户也可通过API免费取得。