导读

参加本次会议，探索Prisma Cloud（由Palo Alto Networks提供）如何利用精准AI革新云安全。了解Prisma Cloud’s AI驱动的行动计划如何以精确度加速复杂威胁的优先级排序和修复。探索由精准AI支持的行动计划如何提供最小努力即可缓解风险的步骤。学习如何在解决多个相关风险的同时应对关键漏洞。了解如何通过行动计划和基于AI的安全平台增强亚马逊云科技上的安全性，并发现可行的见解来加强您的云基础设施。本次演示由亚马逊云科技合作伙伴Palo Alto Networks为您呈现。

演讲精华

以下是小编为您整理的本次演讲的精华。

在不断演进的云计算领域，敏捷性和可扩展性占据主导地位，强大的安全措施变得至关重要。随着企业越来越多地采用公有云，确保应用程序和数据安全的复杂性也呈指数级增长。正是在这一背景下，Palo Alto Networks的Prisma Cloud产品管理总监Bart Schwartz在2024年亚马逊云科技 re:Invent大会上发表演讲，展示了他们革命性的云安全方法——利用人工智能(AI)的力量来彻底改变风险优先级排序和补救措施。

Schwartz首先介绍了Palo Alto Networks这家网络安全巨头，它提供了一套全面的解决方案，旨在应对现代数字环境中不断演变的安全挑战。在他们的产品中，Prisma Cloud就是组织应对公有云中云原生应用程序安全复杂性的一线希望。作为一个云原生应用程序保护平台(CNAPP)，Prisma Cloud使客户能够加固在公有云中运行的应用程序，尤其侧重于无处不在的亚马逊云科技生态系统。

在Prisma Cloud创建之初，安全方法就像一个沉默的哨兵，仔细审查配置、策略和潜在漏洞。这种细致的过程会产生大量警报，每一个都标志着潜在的安全隐患，无论是错误配置的数据库、过于宽松的身份和访问管理(IAM)角色，还是潜伏在工作负载中的漏洞。虽然这种方法确保了全面的覆盖，但它也带来了一个艰巨的挑战——大量警报使得很难辨别真正的优先事项，并将发现结果关联成一个连贯的叙述。

认识到这种方法的局限性，Palo Alto Networks通过推出CNAPP 2.0带来了一场范式转变。这一进化使市场接受了相关策略的概念，将分散的安全发现结果缝合在一起，揭示潜在的攻击路径。与单独发出一个警报来指出错误配置的Elastic Compute Cloud (EC2)实例、暴露的包含敏感数据的Amazon Simple Storage Service (S3)存储桶和过于宽松的IAM角色不同，Prisma Cloud现在可以将这些点连接起来，揭示攻击者可能从互联网出发，通过EC2实例利用IAM角色最终访问存储在S3存储桶中的敏感数据的可能性。这种整体方法大大减少了警报数量，因为重点从单个发现转移到了全面的攻击路径。

然而，尽管取得了这一进步，优先级排序和补救措施仍然在很大程度上依赖人工操作，需要大量的人力和专业知识。Schwartz量化了这种影响，他说:“我们看到了非常大的减少。所以相关性本身，相关部分现在已经自动化了，但如果我们考虑优先级排序——我们实际上需要处理什么，我们接下来要处理什么——更不用说补救措施了，这些仍然需要大量的人工工作。”

正是这一认识推动Palo Alto Networks走向了下一个前沿——CNAPP 3.0——在这里，AI的集成将自动化优先级排序和补救措施的过程，为云安全的效率和效力带来新的时代。Schwartz概述了这一变革之旅的四个关键项目:

1.           自动攻击路径识别:利用AI，Prisma Cloud现在可以自动识别和缝合相关的安全问题，揭示可能危及云环境的潜在攻击路径。这种能力消除了手动关联的需求，使对威胁环境有了更全面的理解。

2.           计算影响范围:通过模拟攻击者在环境中的立足点，Prisma Cloud可以计算“影响范围”——攻击者可能实现的潜在影响和横向移动的范围。这种分析考虑了网络连接、API访问和权限等因素，为了解违规的潜在后果提供了宝贵的见解。

3.           改进风险优先级排序:利用AI模型的力量，Prisma Cloud现在可以根据多种因素对安全发现进行上下文化和优先级排序。这些因素包括漏洞严重性评分等安全属性、生产环境或互联网暴露等资产属性，以及从标记约定和云环境中观察到的行为模式中获得的客户特定属性。

4.           行动计划:也许这一努力中具变革性的方面是，行动计划使Prisma Cloud能够对相关发现进行分组，并提供有效的补救步骤来解决多个问题的根本原因。这种方法不仅减少了警报数量，而且通过消除逐个解决每个问题的需要，节省了宝贵的时间。

通过在这四大支柱中应用AI，Palo Alto Networks声称已经实现了20倍的减少，大大缩短了分类和补救所需的时间——这一壮举有望减轻安全团队在资源受限和工作量不断增加的压力下的负担。

深入探讨风险优先级排序的细节，Schwartz阐述了AI模型在上下文化和优先级排序安全发现方面的作用。这些模型被训练去理解环境的细微差别，考虑了漏洞严重性评分等安全属性、生产环境或互联网暴露等资产属性，以及从标记约定和观察到的行为模式中获得的客户特定属性。

值得注意的是，Prisma Cloud的AI模型被设计为能够解释分配的风险评分，这一特性解决了安全行业的一个常见痛点——风险评分方法缺乏透明度。通过提供优先级决策的明确理由，Prisma Cloud使安全团队能够做出明智的选择，有效分配资源。

Schwartz随后将注意力转向了行动计划的变革力量，这一功能有望彻底改变组织应对补救措施的方式。行动计划将相关发现进行分组，并提供有效的补救步骤来解决多个问题的根本原因。这种方法不仅减少了警报数量，而且通过消除逐个解决每个问题的需要，节省了宝贵的时间。

为了说明行动计划的影响，Schwartz提供了一个令人信服的例子。想象一下这样一种情况:Prisma Cloud发现了24个漏洞，源于一个在三个不同实例中使用的EC2映像。与产生24个单独的警报不同，每个都需要单独处理，行动计划将把这些发现合并，并提供一个单一的、有针对性的补救步骤——更新底层映像到安全版本。通过解决根本原因，这一单一行动将有效解决所有24个漏洞，从而简化补救过程，最大限度地提高效率。

另一个例子突出了行动计划在解决错误配置方面的威力。Prisma Cloud发现一个EC2安全组导致了45个与互联网暴露相关的警报。与将它们作为单独发现呈现不同，行动计划将把它们组合在一起，并提供一个明确的解决途径——更新错误配置的安全组，从而缓解所有45个实例的风险。

然而，行动计划的真正力量在于解决与IAM角色相关的问题。Schwartz展示了一个场景，其中一个在多个EC2实例中重复使用的IAM角色导致了24个与权限提升相关的警报。通过将这些发现合并，并提供有针对性的补救步骤，如删除可能导致权限提升的特定权限(如“IAM:PassRole”和“IAM:TagMaker”)，行动计划使安全团队能够有效解决根本原因，消除了重复、耗时的工作需求。

Schwartz进一步强调了预防在云安全领域的重要性。Prisma Cloud与CI/CD管道和代码存储库的集成，使组织能够在开发过程中主动防止引入新的安全问题。通过拒绝试图引入包含漏洞组件或错误配置资源的构建，Prisma Cloud扮演了一个守门人的角色，确保只有安全的代码和配置才能进入生产环境。

此外，Prisma Cloud与Palo Alto Networks的Cortex解决方案(一个安全编排、自动化和响应(SOAR)平台)的深度集成，使创建自动化工作流程和补救工作流程成为可能。这种强大的组合使组织能够简化对安全事件的响应，减少人工干预所需的时间和精力。

为进一步说明Prisma Cloud以AI为驱动的方法在现实世界中的影响，Schwartz欢迎EchoStar的首席安全架构师Jeff Philippe分享他的观点。EchoStar是一家业务涵盖付费电视、流媒体服务、卫星通信和5G蜂窝网络的多元化公司，已全面拥抱公有云，在亚马逊云科技上拥有超过一千个账户和多个控制塔。

Philippe生动描绘了EchoStar的云计算之旅，重点阐述了他们在确保云原生应用程序安全方面所面临的挑战。数千名开发人员和数百个团队正在合作进行各种项目，管理如此庞大且动态环境的安全性的复杂性令人生畏。有些团队严重依赖自动化工具如Terraform和CloudFormation，而其他团队则更喜欢通过亚马逊云科技控制台进行手动配置。

在早期阶段，EchoStar的安全工作就像一场寻宝游戏，少数安全专家在组织庞大的云基础设施中四处奔波，努力识别和解决潜在风险。引入亚马逊云科技原生安全解决方案如Security Hub和GuardDuty为安全发现提供了急需的可见性，但仅有可见性是不够的 - 真正的挑战在于有效地确定优先级并修复这些发现。

随后，EchoStar的旅程在采用DevSecOps实践时迎来了关键转折，将安全融入软件开发生命周期(SDLC)。最初，专门的质量保证(QA)团队会在测试阶段扫描项目，进行动态渗透测试以识别漏洞。然而，这种做法是被动的，在代码推送到生产环境之前几乎没有时间进行修复。Philippe量化了这一挑战，他说:“最初我们只有一个QA团队，他们只会在项目处于测试阶段时进行扫描，基本上就是进行动态渗透测试，试图找出他们能破坏的东西，但这是相当靠后的。我的意思是，这是关于即将投入生产的东西，如果发现任何问题，要修复或阻止产品投入生产的时间就非常少了。”

认识到这种方法的局限性，EchoStar采用了“左移”策略，使开发人员能够在集成开发环境(IDE)中扫描他们的代码并实时修复问题。这种主动方法不仅提高了整体安全态势，而且还让开发人员从开发过程的最早阶段就能够承担起安全责任。Philippe阐述道:“快进一点，我们增加了能力。完全SDLC左移，在客户端、开发人员的编辑器中扫描代码的能力，就地修复，对吗?我认为这就是需要走的方向，但你也不能把所有事情都推给开发人员。”

尽管取得了这些进展，但大量安全发现仍然是一个巨大的挑战。向开发团队呈现包含数千个漏洞和错误配置的电子表格是适得其反的，因为他们缺乏有效解决最关键问题所需的上下文和优先级。Philippe承认了这一挑战，他说:“我们有这样一个想法，我不能只是给一个团队一个包含20，000个发现的电子表格。他们不会知道如何应对。他们不会知道如何确定优先级。”

正是在这个时候，EchoStar的旅程与Palo Alto Networks对CNAPP 3.0的愿景以及AI驱动的风险优先级和修复能力相交汇。Philippe赞赏了行动计划的方法，认为它与EchoStar将精力集中在能够产生最大风险降低的修复措施上的策略是一致的。

“能够整合修复措施并将其缩减为最关键的修复 - 这将最大程度地推动进展，”Philippe如是说，强调了Prisma Cloud的方法在消除噪音并专注于具影响力的修复工作方面的价值。

Philippe强调的一个关键优势是能够向开发团队呈现一个连贯的叙事和明确的理由，以确定优先修复的具体内容。“你希望能够讲述整个故事，”他强调道，承认向同时面临多个业务优先级的团队证明安全工作的必要性是一个常见的挑战。

通过利用攻击路径、影响范围计算和上下文风险评分，Prisma Cloud使EchoStar的安全团队能够有效地传达特定修复工作的紧迫性和影响。这种方法不仅有助于获得开发团队的认可，而且还确保了安全工作与组织的整体风险管理策略保持一致。

此外，Philippe强调了与开发工作流程保持一致的修复工作的重要性，认识到开发人员是一种稀缺且宝贵的资源。“我们希望每月能够处理200个团队，”他说，强调了修复过程中自动化和效率的需求。

Prisma Cloud能够整合相关修复并将其呈现为一个连贯的行动计划，与Philippe的愿景深有共鸣。“与其针对每个不同的问题单独通知他们，这是我们发现非常受欢迎的做法，我们不会告诉你修复每个漏洞。我们会告诉你执行这一个修复，”他解释道，强调了为开发团队节省时间和减少上下文切换的潜力。

通过简化修复过程并使其与现有的开发工作流程保持一致，Prisma Cloud不仅有望提高安全性，而且还能释放宝贵的开发人员时间，用于交付关键业务功能。Philippe量化了这种影响，他说:“我认为大局是，开发人员将有更多时间开发业务功能并交付更多内容给业务，同时他们仍将运行更安全的代码，我们负责基础设施的团队也将拥有更安全的基础设施来运行代码，所以我认为他们也将有更多时间去做其他事情。”

EchoStar的云环境证明了现代组织在确保其云原生应用程序安全性方面所面临的规模和复杂性。拥有超过一千个亚马逊云科技账户、多个控制塔，以及涵盖付费电视、流媒体、卫星通信和5G蜂窝网络等多种服务，该公司的云足迹庞大且动态。Philippe阐述了这种复杂性，他说:“我们在亚马逊云科技上有大量资产，超过一千个亚马逊云科技账户，多个控制塔。”

该公司的开发团队同样多样化，数千名开发人员和数百个团队正在合作进行各种项目，每个团队都有自己喜欢的工作流程和工具集。Philippe描述了这一格局:“我们有数千名开发人员，数百个团队，他们正在为不同的业务线构建项目，其中一些大量使用自动化工具，如Terraform或CloudFormation。另一些则通过控制台进行手动操作。”

在这个错综复杂的环境中，有效确定和修复安全风险的优先级至关重要。Prisma Cloud的AI驱动方法，通过上下文风险优先级和行动计划，有望简化修复过程并使其与EchoStar的敏捷开发方法保持一致。Philippe强调了这种一致性的重要性，他说:“我们有常规的敏捷开发，人们会提出产品想法、产品功能并将其排入队列。在过去几年中，我一直在将DevSecOps纳入DevOps管道，因此能够扫描人们的代码，获取发现结果，然后我们讨论你之前提到的所有优先级策略。”

随着演讲接近尾声，Schwartz和Philippe都承认了漏洞管理和修复固有的挑战。然而，他们也认识到像Prisma Cloud这样的AI驱动解决方案在使这些过程更加高效、有效和可扩展方面的变革潜力。

“漏洞管理是非常艰难的工作，修复这些问题也是艰难的，但有办法让它变得更容易、更有成效，”Philippe如是说，呼应了这样一种观点:拥抱创新技术对于跟上不断发展的安全格局至关重要。

在云采用以前所未有的速度加速，攻击面不断扩大的世界里，有效确定和修复安全风险的优先级已成为一个关键的区分因素。Palo Alto Networks的Prisma Cloud通过其AI驱动的风险优先级和修复方法，有望成为一个游戏规则改变者，使组织能够自信地、敏捷地应对云安全的复杂性。

随着亚马逊云科技 re:Invent 2024大会落下帷幕，与会者怀着对AI和自动化为云安全未来带来的可能性的重燃乐观离开。通往CNAPP 3.0的旅程已经开始，通往更好修复的道路已由精准AI和行动计划的力量铺垫。

总结

在这个富有洞见的会议中，Palo Alto Networks产品管理总监Bart Schwartz分享了他们如何利用人工智能和机器学习来提高云安全性，通过改进风险优先级排序、策略制定和自动化修复。主要内容包括:

1.           Palo Alto Networks的云安全解决方案Prisma Cloud已经从静默检查错误配置和漏洞(CNAPP 1.0)发展到将相关问题关联和串联以识别攻击路径(CNAPP 2.0)。下一步(CNAPP 3.0)将使用人工智能自动化风险优先级排序和修复。

2.           风险优先级排序利用在安全属性、资产属性和客户特定属性上训练的人工智能模型来确定问题的严重程度，并提供优先级排序的解释。这有助于首先关注最重要的风险。

3.           行动计划将相关问题组合在一起，识别可以同时解决多个问题的常见根本原因。这大大减少了所需的警报和操作数量，使修复更加高效。

4.           执行涉及为每个问题找到负责的团队、建议快速缓解措施以临时降低风险、以各种格式提供修复建议，并与CI/CD管道和Palo Alto Networks的其他解决方案(如Cortex)集成，实现自动预防和修复。

5.           EchoStar的首席安全架构师Jeff Philippe分享了他在手动优先级排序的挑战和跨数百个团队扩展修复工作的自动化需求方面的经验。他强调了整合修复、与开发工作流程保持一致以及减少开发人员的上下文切换的好处。

该会议展示了人工智能驱动的风险优先级排序、行动计划制定和自动化修复如何显著改善云安全态势，同时减少安全团队和开发人员所需的时间和精力。

我们正处在 Agentic AI 爆发前夜。 2025 亚马逊云科技中国峰会提出，企业要从 " 成本优化 " 转向 " 创新驱动 " ，通过完善的数据战略和 AI 云服务，把握全球化机遇。亚马逊将投入 1000 亿美元在 AI 算力、云基础设施等领域，通过领先的技术实力和帮助“中国企业出海“和”服务中国客户创新“的丰富经验，助力企业在 AI 时代突破。