6月16-18日,在费城举办的亚马逊云科技re:Inforce 2025大会上,亚马逊云科技副总裁兼首席信息安全官Amy Herzog宣布了一系列安全创新成果。从身份管理到威胁情报,从网络防火墙到证书管理,亚马逊云科技再次展现了在云安全领域的领先地位和创新精神。
本文将解读此次大会发布的13项重要安全功能和更新,以在日益复杂的数字世界中构建更安全、更具韧性的云端应用,为用户业务保驾护航,开启云安全的新纪元!
01.使用Amazon IAM Access Analyzer新功能,验证对关键亚马逊云科技资源的内部访问
Amazon IAM Access Analyzer的新功能通过自动推理评估多项策略,并在统一仪表盘中提供分析结果,帮助安全团队验证其亚马逊云科技组织内哪些主体可以访问Amazon S3存储桶、Amazon DynamoDB表和Amazon RDS快照等关键资源。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/verify-internal-access-to-critical-aws-resources-with-new-iam-access-analyzer-capabilities/
02.Amazon IAM现已对所有账户类型的根用户强制实施多因素认证(MFA)
新的多因素认证强制执行可预防99%以上的密码相关攻击。用户可以使用各种支持的IAM MFA方法,包括FIDO认证的安全密钥来加强亚马逊云科技账户的访问安全。亚马逊云科技支持FIDO2密钥作为用户友好的MFA实现方式,并允许每个根用户和IAM用户注册最多8个MFA设备。
🔗原文链接:
https://aws.amazon.com/cn/about-aws/whats-new/2025/06/aws-iam-mfa-root-users-across-all-account-types/
03.利用Amazon Network Firewall上的亚马逊威胁情报,提升安全防护能力
新的Network Firewall托管规则组为亚马逊云科技工作负载提供针对活跃威胁的保护。该功能使用亚马逊MadPot威胁情报系统持续跟踪攻击基础设施,包括恶意软件托管URL、僵尸网络命令控制服务器和加密货币挖矿池,识别活跃威胁的威胁指标(IOCs)。
🔗原文链接:
https://aws.amazon.com/cn/about-aws/whats-new/2025/06/aws-iam-mfa-root-users-across-all-account-types/
04.Amazon Certificate Manager推出可导出的公共SSL/TLS证书
用户现可使用Amazon Certificate Manager为需要安全TLS流量终止的亚马逊云科技、混合或多云工作负载签发可导出的公共证书。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/aws-certificate-manager-introduces-exportable-public-ssl-tls-certificates-to-use-anywhere/
05.Amazon WAF简化控制台体验
新的Amazon WAF控制台体验通过预配置的保护包将安全配置步骤减少多达80%。安全团队可以通过直观的界面快速为特定应用类型实施全面保护,并获得整合的安全指标和可定制的控制。
🔗原文链接:
https://aws.amazon.com/cn/about-aws/whats-new/2025/06/aws-waf-web-application-security-configuration-steps-expert-level-protection/
06.Amazon CloudFront通过优化界面,简化Web应用程序交付和安全性
Amazon CloudFront的简化控制台通过与Amazon WAF增强型规则包集成的界面,只需几次点击即可加速和保护Web应用程序,自动配置TLS证书、DNS和安全设置。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/amazon-cloudfront-simplifies-web-application-delivery-and-security-with-new-user-friendly-interface/
07.Amazon Shield新功能可在安全问题被利用前,发现网络安全隐患(预览版)
Shield网络安全态势管理功能可自动发现和分析跨亚马逊云科技账户的网络资源,基于亚马逊云科技最佳实践确定安全风险优先级,并提供可执行的补救建议,以防止SQL注入和DDoS攻击等威胁。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/
08.统一安全管理:全新Amazon Security Hub实现大规模风险优先级排序和响应(预览版)
Amazon Security Hub已经升级,可将安全信号转化为可执行的洞察,帮助安全团队大规模确定关键问题的优先级并做出响应。这个统一解决方案在减少管理多个安全工具复杂性的同时,提供了跨云环境的全面可见性。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/
09.Amazon GuardDuty扩展增强威胁检测覆盖范围至Amazon EKS集群
Amazon GuardDuty增强威胁检测现在支持Amazon EKS集群,通过关联Kubernetes审计日志、运行时行为和Amazon API活动的安全信号,帮助用户检测复杂的多阶段攻击。这一增强功能可自动识别可能被忽视的关键攻击序列,实现更快速的威胁响应。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/amazon-guardduty-expands-extended-threat-detection-coverage-to-amazon-eks-clusters/
10.Amazon MSSP能力认证项目新增类别
Amazon MSSP能力认证(原Amazon Level 1 MSSP能力认证)现在增加了新的类别,涵盖基础设施安全、工作负载安全、应用程序安全、数据保护、身份和访问管理、事件响应以及网络恢复。合作伙伴通过专门的安全运营中心提供全天候监控和事件响应服务。
🔗原文链接:
https://aws.amazon.com/cn/blogs/apn/updates-to-the-aws-mssp-competency-deliver-turnkey-security-solutions-for-customers/
11.Amazon Verified Permissions在几分钟内保护Express应用程序API
Amazon Verified Permissions宣布发布verified-permissions-express-toolkit开源工具包,使开发人员能够在几分钟内使用Amazon Verified Permissions为Express Web应用程序API实现授权。
🔗原文链接:
https://aws.amazon.com/cn/blogs/security/secure-your-express-application-apis-in-minutes-with-amazon-verified-permissions/
12.使用Amazon Inspector代码安全将漏洞检测前移
Amazon Inspector代码安全功能现已正式发布,通过快速识别和确定应用程序源代码、依赖项和基础设施即代码(IaC)中的安全漏洞和配置错误的优先级,帮助用户在生产环境部署前确保应用程序安全。
🔗原文链接:
https://aws.amazon.com/cn/blogs/security/shifting-vulnerability-detection-left-with-amazon-inspector-code-security-capabilities/
13.Amazon Backup为逻辑上隔离的存储库添加多方审批功能
Amazon Backup通过多方审批功能实现逻辑上隔离的存储库,使用户能够在亚马逊云科技账户遭到入侵时恢复备份数据,方法是利用指定的可信个人组成的审批团队的授权,使其能够与恢复账户共享存储库。
🔗原文链接:
https://aws.amazon.com/cn/blogs/aws/aws-backup-adds-new-multi-party-approval-for-logically-air-gapped-vaults/
期待你的分享 收藏 在看 点赞!
亚马逊的一小步,云计算的一大步!
点击阅读原文,获取更多精彩内容!
