AWS Shield Network Security Director：网络拓扑可见性和补救指南

以分布式拒绝服务（DDoS）防护著称的AWS Shield，推出了一项新功能预览：AWS Shield Network Security Director，这一功能扩展了 Shield 的作用，超越了 DDoS 防护，提供了对网络配置的全面可见性，识别安全问题，并为 AWS 资源提供可操作的补救建议。

据该公司称，组织经常难以发现他们所有的 AWS 资源，理解复杂的相互连接，并根据最佳实践评估他们的安全状况。因此，网络安全总监功能旨在通过提供以下内容来简化这些挑战：

• 网络拓扑可见性：它自动发现账户内的 AWS 资源，将它们之间的连接以及与互联网的连接映射出来。识别已配置的网络安全服务，如AWS WAF、Amazon Virtual Private Cloud （Amazon VPC）安全组和 Amazon VPC 网络访问控制列表（ACL）等，并根据 AWS 最佳实践和威胁情报对其配置进行评估。William Cooper 在LinkedIn帖子中评论说：“AWS 仪表板越实时、越直观越好。”

• 优先级安全发现：该服务快速突出显示缺失或配置错误的防火墙和其他安全漏洞，按严重性（严重、高、中、低、信息性）优先级呈现资源上的网络安全发现。这有助于安全团队专注于最紧迫的问题。

• 可操作的补救建议：对于每个识别出的发现，网络安全总监功能提供具体的、分步骤的指导，以正确实施或更新 AWS 安全服务的配置，促进立即采取纠正行动。

（来源：AWS 新闻博客文章）

一个值得注意的集成是与 AWS 管理控制台中的Amazon Q Developer和聊天应用程序。这允许安全团队使用自然语言查询他们的网络安全配置（例如，“我的任何面向互联网的资源是否容易受到 DDoS 攻击？”）。然后，Amazon Q Developer 提供相关发现和推荐的补救步骤，简化了调查和响应流程。

（来源：AWS 新闻博客文章）

在AWS re:Inforce 2025之前宣布的 Network Security Director，已经收到了积极的早期反馈。正如 Telco & Security 首席分析师 Will Townsend 在 X 上指出的那样，“喜欢它的可观测能力，它可以主动识别 AWS 环境中缺失或配置错误的安全服务，并提出补救建议”，并补充说，“将公司的能力从 DDoS 保护扩展到简化 SecOps 是明智之举”。

虽然其他主要云提供商如微软 Azure 和谷歌云平台也提供强大的 DDoS 保护和网络安全姿态管理，但 AWS Shield Network Security Director 带来了一种综合的网络安全可见性和补救方法，而在 Azure 和 GCP 中，这些通常是分散在更广泛的安全姿态管理工具（如 Microsoft Defender for Cloud和谷歌云的Security Command Center）和专用网络监控或诊断服务（如Azure Network Watcher和 GCP 的Network Topology/Analyzer）的组合中。

该网络安全总监的能力目前在 US East（N. Virginia）和 Europe（Stockholm）地区以预览形式提供，Amazon Q Developer 集成在 US East（N. Virginia）地区以预览形式提供。有了这个新功能，公司为组织提供了增强的工具，以主动识别、优先处理和解决网络和应用程序安全配置问题，从而加强他们对 SQL 注入和 DDoS 攻击等不断演变的威胁的防御。

该网络安全总监功能目前在美国东部（北维吉尼亚）和欧洲（斯德哥尔摩）地区以预览形式提供，Amazon Q Developer 集成在美国东部（北维吉尼亚）地区以预览形式提供。通过这项新功能，该公司为组织机构提供了增强的工具，以主动识别、确定优先级并解决网络和应用程序安全配置问题，从而加强他们对 SQL 注入和 DDoS 攻击等不断演变的威胁的防御。

原文链接：

https://www.infoq.com/news/2025/06/aws-network-security-director/