「追根究底，资安文化是一切的根源。」AWS资安长Chris Betz在今（11）日于美国费城举办的云端安全会议re:Inforce 2024中强调资安文化的重要性。

「正是文化，促使组织改变习惯，优先从资安的角度考量；正是文化，驱使我们以资安为本设计系统（Security by Design）；也因为文化的关系，我们将资安赋权于个人，让整个组织都落实资安，同时也保持敏捷，从而让业务运作不因资安而妥协。」不过，Chris也指出：「资安文化并非一蹴可几，如果没有持续强化与投资，创建起来的文化也会逐渐流失。」

Chris Betz在担任AWS资安长之前是美国金融机构Capital One资安长，在企业端身为多年客户的他虽然理解AWS资安，但担任资安长后对于AWS整体资安文化才有更深入的体会。他指出，高级主管对资安的重视程度是创建文化的重要关键，AWS首席执行官与资安主管固定每周五与各部门总经理、产品经理与开发人员面对面讨论资安问题，由首席执行官固定呼出时间讨论资安，足以传达高级主管对资安的重视程度。

「在这个会议中会深入讨论资安的挑战，据以制定产品发展蓝图，要求作出改变，并带来真正的业务影响。」Chris表示：「这同时也是一次彻底的检查，对资安文化产生深远的影响。」

AWS高级主管亲自与各部门讨论资安，也强化人人都必须承担资安责任的重要性。Chris指出，每个团队对自己负责的产品服务是最了解的，若再有资安当责意识，就能够在产品设计的早期主动采取正确决策，不沦为被动补漏洞。而为了让资安落实能扩及全组织，AWS也通过资安守护者计划，将资安团队的资安专家派驻在各个部门，一起参与软件开发流程，从Spring冲刺规画会议、站立会议到资安审核，提供资安观点的建议，既协助开发安全的软件，也将资安最佳作法传播到全公司上下。

同时，AWS也推动员工自主决策的文化，任何同仁发现资安问题时，都有权力自主判断将资安问题立即升级至必要的等级。Chris指出，在他过往任职的经验中，资安问题等级的提升往往代表负面意涵，然而在AWS的资安文化中，反而是要奖励能及早意识到问题严重性，从而让组织可以更快速采取行动的同仁。

此外，Chris也揭露AWS为了打造安全的云端平台，在这几年来从硬件自主设计、安全编程语言的选择、自动化测试验证、威胁侦测阻挡与合规等方面所做的改变。

在硬件自主设计方面，AWS拥有自主设计的Graviton与Nitro芯片，去年推出的最新Graviton 4芯片，首度增加传输界面加密功能，包括DRAM内存、PCIe总线到Nitro加速卡，以及多处理器架构中Graviton之间传输界面的通信加密，有助于防范硬件层面的攻击。而Nitro除了借由运行环境的隔离，确保用户的数据无法被其他人，包括平台营运者AWS所取得，亦添加端对端加密功能，提供用户将需要加密保护的敏感人工智能模型数据加载隔离保护的环境。

在安全编程语言方面，Chris指出，Amazon与AWS近年来都大力拥抱内存安全编程语言Rust，在去年，Amazon营运中的应用程序已有高达98%都采用Rust开发，而AWS也在去年将内部以Rust开发的AWS Web Crypto函数库开源发布，提供支持FIPS加密标准与后量子密码（PQC）加密功能。

在测试与验证方面，Chris也提及AWS鲜少讨论的自动推理（Automated Reasoning），他指出，自动推理是利用数学方法，证明系统设计或实作是否遵守规格，以及证明系统是否依照预期的方式运作，而通过这个作法可以达到大规模的验证。例如，AWS IAM身分存取管理平台每秒要处理超过10亿个API存取，而通过自动推理所开发的验证工具—AWS去年开源的Cedar，才有办法确保如此大规模存取行为的正确性。此外，自动推理也运用在验证IPv6存取控制清单，每日可处理8万次的存取控制清单的验证，确保其网络架构的安全性。而在法遵方面，Chris也指出，目前AWS已通过143个资安标准与认证。

此外，自AWS去年公开MedPot全球蜜罐网络之后，Chris也首度揭露用于侦测恶意攻击行为的Sonaris系统，他表示，Sonaris会分析AWS基础架构的网络流量与日志服务，以侦测恶意攻击行为，同时会结合资安情资自动发出警报、提供威胁缓解建议或是自动触发紧急应变措施，例如若IAM用户的权限设置存在风险，Sonaris检测到就会通报防诈欺团队以进一步处理，目前包括AWS Shield、VPC、Amazon S3与WAF都会受到Sonaris系统的保护。

Chris指出，在过去12个月中，Sonaris已经阻止超过240亿次针对S3 Bucket的恶意存取行为，也阻挡了超过2.6兆次试图扫描EC2主机漏洞的攻击。

在re:Inforce 2024首日主题演讲中，Chris也发表多项AWS云端安全新服务，包括Amazon GuardDuty Malware Protection恶意程序防护首度支持Amazon S3，可扫描检测S3存储对象是否潜在病毒、恶意程序，并移至隔离区阻绝；Amazon IAM身分存取管理平台继提供多因素认证之后，更进一步支持Fido标准的Passkey无密码登录作为第二个身分验证方式，用户可以通过设备的身分验证机制，如Windows Hello脸部辨识或Apple Touch ID等，以达到更便利同时确保安全的无密码登录。此外，Amazon IAM Analyzer也利用自动推理技术，发掘久未使用的帐户，提供管理者建议缩减帐户权限，同时，亦可在部署前分析检测具有存取关键资源或对外存取权限的帐户，以降低风险。

Amazon CloudTrail Lake稽核数据湖，亦首度集成生成式AI技术，提供自然语言查找界面，让管理者不需撰写复杂的SQL查找语法。而AWS Private CA也支持SCEP通信协定发布凭证。