亚马逊云科技更新三大安全功能 强化生成式AI防御体系

　　亚马逊云科技于本月在其年度云安全大会 re:Inforce 2025 上宣布推出一系列新的安全能力，帮助客户强化在生成式AI时代的防御体系。其中，Amazon Security Hub、Amazon Shield 和 Amazon GuardDuty 的三项核心服务更新尤为引人关注，代表了其在云安全体系化、智能化方向上的持续演进。

　　Amazon Security Hub是“安全指挥中心”的存在，它将来自Amazon GuardDuty、Amazon Inspector、Amazon Macie等服务的威胁发现能力汇聚在一个统一视图下，借助此次升级，企业安全团队能够更快速识别活跃威胁，按照风险等级自动排序，并将相关指标与漏洞情报关联，减少人工分析干预。同时，它强化了跨账户、跨区域的统一分析能力，这对于拥有多云账户结构的企业尤为关键。

　　Amazon Shield此次推出的“网络安全分析器”(Network Security Director)功能，正是要把“配置不当”变成可视、可修复的安全问题。这项功能能够自动识别云环境中未受保护或配置不合理的网络资源，例如开放端口未设访问控制、SQL注入风险点未启用WAF、或某些流量路径未被Shield Advanced覆盖等问题。Shield通过绘制一张网络拓扑图，并结合亚马逊云科技安全最佳实践进行评分与分级，最终形成一份可执行的修复清单，并通过自然语言与Amazon Q助手交互，降低操作门槛。除了DDoS(分布式拒绝服务)攻击，Amazon Shield的保护面已延伸至常见的Web攻击向量，例如SQL注入等。

　　亚马逊云科技此次宣布将Amazon GuardDuty的“扩展威胁检测”(Extended Threat Detection)能力扩展至Amazon EKS环境，瞄准的正是容器安全中最难监测的——多阶段攻击路径。GuardDuty通过关联EKS审计日志、运行时行为、恶意软件执行和云API操作，形成“攻击序列识别”模型。例如，当攻击者入侵容器后获取服务账户权限，并尝试访问机密配置或横向移动至其他节点时，GuardDuty会即时发现、生成高危告警，并映射至MITRE ATT&CK®框架的攻击战术。MITRE ATT&CK 是全球广泛采用的网络攻击行为模型库，帮助安全团队理解攻击者在入侵生命周期中采取的各类战术与技术手段。通过将检测结果与此框架对齐，GuardDuty不仅报告问题，更解释“攻击者在做什么、接下来可能做什么”。