大规模证明安全性与自动推理

||评论 (

经常有客户问我怎么AWS在规模保持安全,我们将继续如此迅速地增长。他们希望确保他们的数据是在AWS的云安全,他们希望了解如何更好地保护自己,因为他们成长。

我们有一个共同的责任模式在AWS中,我们负责安全云,你是负责安全云端。这使您能够专注于战略性工作,同时AWS负责作战任务。

AWS拥​​有数百万活跃用户,每个用户在IT安全不同程度的能力的。许多用户希望专注于自己的客户,而不是认识事物如虚拟私有云(室性早搏)或资源政策的语义差别。幸运的是,除了丰富的安全资源和专家的指导,AWS有(没有的话)的秘密武器,有助于保护我们和我们的客户,自动推理。

自动推理的一类搜索的复杂系统的正确性的数学证明算法技术。例如,自动推理工具可以分析策略和网络架构的配置和证明不存在不期望的配置,有可能暴露脆弱的数据。我们称之为可证明安全性。它提供了保证可能的云的关键安全特性,如访问控制策略或亚马逊弹性计算云(Amazon EC2)实例的网络曝光的最高水平。我谈到的自动化安全AWS圣克拉拉峰会,现在我想潜水的一个更深层次的方式来处理这个。

在这篇文章中,我将分享更多有关证明安全倡议及其各种自动推理支持的技术,如榉和泰罗斯。我们应用证明安全,以我们自己的基础设施,使我们能够达到的最高安全水平,同时我们的服务快速增长。现在,我们把这个相同的保证能力给你。

自动推理技术

我们的自动推理集团(ARG)适用于创新的方法来云安全和法规遵从为我们的客户和我们自己的AWS开发形式验证技术。必威体育精装版app官网该集团包括自动推理谁认为这是一个机会,他们的工作的应用开拓到云专家。

自动推理是用来提供由我们内部团队使用的核心AWS代码更高水平的安全保证,以及在工具是客户跨多种AWS安全服务的访问。让我们来仔细看看其中的两个工具,泰罗斯

是为客户提供持续的洞察他们的访问控制权限,提醒他们随时有违反安全最佳实践的技术。

榉利用自动推理来分析政策,如那些用于做此AWS身份和访问管理(IAM)亚马逊简单存储服务(Amazon S3的)betway88体育官网。这些定义权限并规定了每个用户(或不能)做的。榉转化成政策精确的数学语言,然后使用自动推理工具来检查他们的财产。

这些工具包括从策略进行自动推理称为满足性模理论(SMT)求解器,它可以自动证明或超过常量,字符串反驳了公式,正则表达式,日期和IP地址。因为它是基于数学和证明,而不是启发式,模式匹配,或模拟榉可以使所有的资源请求广泛的声明。

榉可以帮助客户满足他们的安全和法规遵从的责任。例如,Amazon S3使betway88体育官网用榉检查每个桶的政策,如果未经授权的用户能够读取或写入他们的斗警告客户。当一个桶是“公开”,这意味着有被允许访问桶一些公共的请求。如果一个桶是“不公开”,所有公共请求被拒绝。这使您可以轻松地识别潜在的访问管理问题。

再举一个例子,榉权力亚马逊S3座公共访问功能。betway88体育官网座公共访问的水桶禁止公共访问控制列表(ACL)和亚马逊S3对象。betway88体育官网它还可以防止桶的政策,将允许公众访问。对于现有的政策,允许公众访问,该功能不允许从桶里账户的外部访问。

榉还用于:

  • AWS配置,使用户的业务进行评估,审计和评估他们的AWS资源的配置。AWS配置不断审核AWS资源配置和现在包括基于榉管理规则,如:
    • S3斗公共读取禁止
    • S3桶公有制禁止写
    • 启用S​​3桶的服务器端加密,
    • S3桶-SSL-请求,只
    • 拉姆达功能公有制禁止访问
  • AWS值得信赖的顾问,一个在线工具,为用户提供实时的指导,帮助他们提供以下的AWS资源的最佳实践。AWS值得信赖的顾问有助于提高客户的AWS环境的安全性,包括分析资源政策。
  • 亚马逊Macie,安全服务,它使用机器学习来自动发现,分类,并在AWS保护敏感数据。
  • 亚马逊GuardDuty,威胁检测服务,不断地监控恶意活动和未经授权的行为,以帮助保护您的帐户AWS和工作量。
  • AWS物联网设备后卫,帮助客户服务确保他们的物联网设备的车队。AWS物联网设备后卫连续审计客户的物联网配置,以确保它们不会从安全最佳实践偏离。

泰罗斯

泰罗斯与自动推理技术构建的另一种工具。泰罗斯映射的网络机制,包括从开放的互联网可访问性之间的联系。

对于一个大公司,它的关键,以确保敏感数据是安全的,但手动确认所有可能的数据路径和相关的控制可能需要数月甚至数年。泰罗斯可以检查以毫秒为单位所有的网络路径和数据权限级别。除了使用泰罗斯来帮助保护我们自己的基础设施,泰罗斯也在提供给您的产品,如使用亚马逊督察

其中的榉和泰罗斯的最重要的好处是,用户可以利用这些工具的任何数据被暴露之前,以帮助确定在设计阶段的差距。此外,该技术是自动化,消除手工的人为干预,以帮助提供更好的可伸缩性。最后,它可证明,通过问题转换成基于逻辑的数学公式,它可以用数学确定性证明。

展望未来

自动推理正在帮助AWS全球客户,并保护他们的环境中,它只是为这种技术的开始。在AWS ARG团队一直着眼于未来,并有更多的项目,这将进一步推动云安全,如自动化合规性验证计划。

例如,一个数学证明可以用来证明有没有弱密钥的情况下进行,在整个系统中的任何地方使用。这不仅仅是没有弱密钥的“合理保证”,这是客观的说,审计人员使用传统高得多吧。

与以往的工具,审计师无法评估所有在所有可能的配置代码,也不可以评估,其中正在使用的密钥实例。与自动推理,客户可以使用证明的方式来检查整个系统一定值洞察他们的环境。这为超越当今先进的控制措施,如自动化控制,预防控制,或侦探控制安全性更高的标准。

我们(和我们的审计师)非常激动这种可能性。系统变得非常复杂,它是越来越难用传统的方法,现在的数学证明可以为我们做的测试环境。

概要

了解如何在云规模的安全只是组织今天应对IT安全挑战之一。云安全继续与各创新,如自动推理的应用发展。这是至关重要的,我们的建设者社区了解这些变化又意味着什么你各自组织的安全性。

这就是为什么AWS创建了一个新的年度会议的重点是云安全:AWS重:INFORCE。在波士顿会展中心发生的6月25日至26日,AWS的与会者重新:INFORCE可以期待安全,身份和法规遵从性学习和社区建设了整整两天。

对于有兴趣了解更多关于自动推理和证明安全性的人,这是一个很好的机会,从我们的专家获取最新的更新。乍得伍尔夫,安全保障的AWS副总裁和拜伦库克的AWS ARG主任,会坐下来与Coalfire,AWS”独立安全评估的一个代表。其会议将覆盖可证明安全倡议是如何创造新的,对审计师和客户更高的保证型号。拜伦也将被赋予一个会议该潜水深入的逻辑是如何在可证明安全技术使用的基本面。最后,ARG首席工程师,NEHA Rungta,将请讲与杰出安全工程师埃里克Brandwine有关证明安全性是如何开始并迅速成长为AWS。

看看我们的网站了解更多信息可证明安全性

我们希望看到你在AWS重:INFORCE今年!

评论

博客评论由Disqus