关键字: [Amazon Web Services re:Invent 2023, CodeWhisperer Customizations, Defense In Depth, Security Mechanisms, Access Controls, Encryption, Authorization Model, Multi-Tenant Architecture]

本文字数: 1100, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1194y1c76b

导读

亚马逊CodeWhisperer定制能力是一个令人兴奋的新型AI驱动服务,它可以帮助组织使用自己的源代码库对CodeWhisperer进行调优。由于这些代码库包含敏感的知识产权,CodeWhisperer定制能力旨在帮助确保组织的数据是独立的、安全使用的,并符合他们的预期。在本次会议中,我们将探讨用于增强深度防御的分层机制。

演讲精华

以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

埃里克·布兰德温，一位杰出的亚马逊安全团队工程师，开始了他的演讲。作为一位拥有近20年计算机科学经验的资深专家，他还是一位热衷于业余摄影的人。他找到了一种将这两者结合起来的创新方法，经常利用高超的摄影技术来处理显著的计算任务。为了说明这一点，他展示了全景照片拼接和高动态范围(HDR)成像的例子。

在全景拼接中，多张照片（有时多达90张源图像）无缝地融合在一起，以创建一个超出任何单张照片可以捕捉的宽广视野。这需要解决错位、失真、视差错误、镜头失真、投影和其他复杂变量的问题。同样，HDR摄影通过将同一场景的不同曝光的照片分层，通常在3个停止的曝光差异内，合成了一个最终图像，代表了更广泛的亮度范围。这使得我们可以在明亮的亮点和深色的阴影中看到细节，就像人类眼睛在一个真实的世界观中感知到的动态范围比相机一次拍摄所能捕捉到的范围更广一样。

埃里克将这些捕捉光线的多层次方法与他对深度防御安全愿景的见解进行了有趣的比较。传统上，深度防御包括在一系列中堆叠各种安全措施。每个保障都抓住了某些威胁，但没有单一的解决方案是万无一失的。然而，埃里克提倡一种更广泛的观点，包括额外的维度，如严格的测试、长期培养的组织文化等。正如他的拼接作品融合了空间、时间和亮度来表达相机独立捕捉的东西之外的东西一样，他认为安全解决方案应该包括多个平面上的深度。

严格的访问控制确保了员工的访问权限得到合理管理。通过采用硬件令牌和Mechanic工具实施的多重身份验证，只允许对预定义的必要操作进行访问。此外，对所有指令的广泛监控和审计也有助于降低内部安全风险。

为了从AmazonS3存储库安全地获取客户代码，会使用名为Forward Access Sessions的特殊系统来授予短期凭证。这些临时权限仅允许在需要时访问特定客户的桶。

在索引摄入的源代码方面，Amazon OpenSearch Serverless使用客户管理的亚马逊云科技密钥管理服务（KMS）密钥对所有静态数据进行加密。工作流在需要时仅授权访问指定的记录。

在处理授权方面，该服务与亚马逊验证许可一起使用。这允许开发人员在不构建复杂的自定义认证逻辑的情况下定义细粒度的策略，从而提高安全性。

对于低级别的机器学习计算，模型在专用的GPU硬件上进行隔离。所有数据访问都严格限制在这些分配的资源上，以防止数据的混合。

内部还遵循其他最佳实践，如生成随机系统ID以避免可能包含恶意脚本的可读字符串问题。加密上下文检查还可以防御因意外交叉租户数据混合而导致的困惑代理攻击。

最后，Eric强调，可靠的系统安全需要具体的机制，而不仅仅是良好的意图。通过持续的长期投资并将安全纳入组织文化，实现坚固的多层防御。

通过采用多种跨多个维度的策略，如运营控制、基础设施隔离、访问管理、审计和文化融合，亚马逊能够在CodeWhisperer定制服务中提供高度安全的多租户环境。该演讲提供了深入的安全案例分析，揭示了如何利用多层次的防御策略来实现全方位的安全保障。

下面是一些演讲现场的精彩瞬间：

演讲者谦虚地承认，为了展示的成果，许多团队付出了努力。

领导者们强调了在多租户服务中保护客户数据的重要性，通过采用适当的访问控制措施。

针对高价值账户和基础设施访问，他们建议启用多重身份验证（MFA）以防凭证泄露。

领导者们描述了Mechanan如何允许在主机上执行预定义和参数化的操作，从而减少对SSH访问的需求并实施最小权限访问控制。

身份防火墙服务不仅集中了安全功能，还能确保系统按预期运行，防止超出预期范围的访问。

领导者们强调了CodeWhisper如何允许人们在表面层命名事物，而底层机器生成的标识符仍然不透明，从而增强安全性。

亚马逊云科技的领导者鼓励观众随时间推移使用亚马逊云科技提供的服务来构建深度防御能力。

总结

埃里克·布兰德温，作为亚马逊的一名杰出工程师，在re:Invent上发表了一场关于如何将深度防御理念融入CodeWhisperer定制服务的演讲。这款新型的生成式AI服务，他首先通过解释全景摄影和高动态范围摄影如何借助拼接多张图像来创建增强的复合图像，从而将这一概念与多层安全防御联系起来。接着，他概述了主要的安全威胁，包括外部势力、内部威胁、软件漏洞和硬件故障。为了应对这些威胁，CodeWhisperer定制服务在不同方面采取了多种防御策略：

首先，实施严格的访问控制，例如多因素身份验证和特权访问管理，使得敌人伪装成员工或持续访问服务器变得非常困难。即使是对员工授权，其访问权限也严格限制在他们所需的内容范围内。

其次，该服务采用短暂的凭证和网络分割，以最大程度地减少和隔离对客户数据的访问。客户还可以使用自己的加密密钥来加密他们的数据。

第三，每个客户的数据在Amazon OpenSearch无服务器中逻辑上隔离为独立的集合。授权过程由Amazon Verified Permissions负责处理。

第四，在整个系统中使用系统生成的标识符，以避免诸如代码注入攻击等问题。

第五，使用加密上下文作为防止混淆代理攻击的防御措施。

总的来说，通过遵循最佳实践、自动化测试和强大机制，CodeWhisperer定制服务旨在随着时间的推移和服务的发展，通过多个层面实现深度防御。布兰德温先生向观众指出，有效的安全性并非一蹴而就，而是需要通过多年的不懈努力来积累。

演讲原文

https://blog.csdn.net/just2gooo/article/details/135136037

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键查看 re:Invent 2023 所有热门发布

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。