re:Invent 2019：AWS推出三款云安全新产品

至顶网软件与服务频道消息： 今天在拉斯维加斯举行的AWS re:Invent年度大会上，AWS宣布推出了三款安全相关的新产品，旨在为客户提供“安全操作”的新服务和新功能。

其中最受关注的是传闻已久的Amazon Detective，这项新服务旨在让AWS客户更轻松地调查云实例中的安全问题。发布时该服务已经吸引了McAfee等公司，后者宣布MVISION Cloud for AWS从一开始就为客户提供相关支持。

据称，Amazon Detective可以帮助安全团队更快速更有效地展开调查，只需在AWS管理控制台中点击几下即可启用该服务。Amazon Detective自动使用来自AWS CloudTrail和Amazon Virtual Private Cloud Flow Logs的数据创建一个图形模型，该模型总结了在用户AWS环境中观察到的资源行为和交互情况。通过使用机器学习和统计分析，Amazon Detective提供了量身定制的可视化，以帮助客户检测AWS环境中的异常行为。

其次是AWS IAM Access Analyzer，这是一项新的AWS Identity and Access Management服务，旨在使安全团队和管理员更轻松地审核针对意外访问的资源策略。在不断暴露安全问题以及法律合规性要求日益严苛（例如欧盟的通用数据保护条例，以及即将颁布的加州消费者隐私法）的当下，这一点尤其重要。

AWS IAM Access Analyzer服务使用户能够分析与Amazon S3存储、AWS KMS密钥、Amazon SQS队列、IAM角色和AWS Lambda函数关联的策略。据称，该服务能够在几秒钟内分析整个客户环境中的数百甚至数千个策略，提供关于可从帐户外部访问的资源详细信息。从理论上讲，至少该服务可以在某种程度上帮助客户避免数据公开给所有人以及在配置错误的数据库中引发混乱局面。

最后一项功能是AWS Nitro Enclaves，这个一个新的Amazon EC2功能，据称可以通过在实例内划分计算和内存资源以创建隔离的计算环境，使客户轻松处理高度敏感的数据。

Nitro Enclaves旨在保护高度敏感数据，允许用户创建完全隔离的计算环境，用于处理高度敏感的数据。每个区域都是一个独立的虚拟机，有自己的核心、内存和处理器。用户选择一个实例类型，然后决定要为其分配多少处理器和内存资源。

此外，用户可以使用AWS Nitro Enclaves开源软件开发工具包套件来开发Enclave应用。AWS Nitro Enclaves SDK与AWS Key Management Service集成，让客户可以生成数据密钥并在安全区域内对其进行解密。

“安全负责人经常告诉我们，最令他们兴奋的一件事就是大幅减少团队花在琐事上的时间和资源，而这些琐事对于构建和运行安全环境的目标来说是微不足道的，”AWS首席信息安全官Steve Schmidt在一份声明中这样表示。“今天我们推出的每种产品都代表了一种帮助客户提高安全性的不同方法，但目标是都是为了减少安全团队在检查配置、汇总数据、设计自定义解决方案避免关键安全流程中的琐事等方面花费的时间。”

AWS IAM Access Analyzer从今天开始全面上市，Amazon Detective和AWS Nitro Enclaves从今天开始提供预览，全面上市时间尚未公布。