AWS 推出宣告式政策功能　降低 DevSecOps 協作摩擦

Amazon Web Services（AWS）本週在 re:Invent 2024 大會上宣布，正式推出一項全新的「宣告式政策（Declarative Policies）」功能，旨在降低開發、安全與營運團隊（DevSecOps）間的協作摩擦，並強化雲端環境的資安管理。

這項功能讓 IT 團隊能夠以宣告方式指定並強制執行特定的 AWS 服務設定，確保在應用程式更新或新增帳號時，設定不會被意外或惡意變更。

AWS 資安總監 Mark Ryland 表示，相較於傳統僅「希望」被遵守的資安政策，宣告式政策能直接反映實際的資安意圖，並主動防止錯誤設定出現。

實際應用舉例

舉例來說，IT 團隊可透過這項功能設定，全面封鎖所有帳號下的虛擬私有雲（VPC）對外公開存取，即便開發人員日後新增了功能或 API，該設定也不會被覆蓋或忽略。

目前，宣告式政策支援的服務包括：

• Amazon EC2
• Amazon VPC
• Amazon EBS

支援的政策內容包含：

• 強制使用 IMDSv2（Instance Metadata Service v2）
• 啟用序列主控台以利故障排除
• 設定允許的 Amazon Machine Image（AMI）
• 封鎖 Amazon EBS 快照、EC2 AMI 及 VPC 的公開存取等

這些政策可透過多種方式建立與管理，包括 AWS Organizations 控制台、AWS CLI、AWS CloudFormation 或 AWS Control Tower。

值得注意的是，宣告式政策可防止所有不符合政策的行為，不論是透過使用者自行建立的 IAM 角色，或是 AWS 服務所使用的 service-linked role 所執行的動作，皆無法繞過。

改變資安角色與責任劃分

Ryland 指出，雖然目前尚未明確規定由誰負責實作這些政策，但越來越多資安團隊開始聘用具備軟體開發能力的工程師，負責以程式化方式推動資安措施。

長遠來看，這項政策也將進一步整合至平台工程（Platform Engineering）的架構中，協助企業集中式管理整個 DevSecOps 流程。

宣告式政策對抗「設定錯誤」這個資安夢魘

過去在雲端環境中，**錯誤設定（Misconfigurations）**一直是重大資安風險來源。由於現代雲端服務多由應用開發人員以程式化方式佈建，而他們通常並不具備資安專業，導致像是 S3 Bucket 開放存取這類錯誤頻繁發生，也讓駭客更容易透過自動化掃描工具進行資料外洩等攻擊。

AWS 雖然持續透過使用者介面優化與預設限制，降低錯誤發生機率，但此次推出的「宣告式政策」讓政策 enforcement 更進一步地「自動化、規模化與不可規避」，真正從根本防堵這類錯誤發生。

結合 AI　打造主動防禦型雲端資安架構

AWS 也同步升級其雲端資安服務 Amazon GuardDuty，導入機器學習演算法來偵測並分類潛在攻擊模式，例如：

• 權限掃描（Privilege Discovery）
• API 操作異常
• 資料滲透（Exfiltration）

這些威脅會依據嚴重程度自動排序並生成自然語言摘要，同時提供可行的修補建議，幫助 DevSecOps 團隊快速回應。

此外，AWS 也能攔阻針對網路流量的惡意掃描行為，進一步防止網路側的攻擊入口。

最終目標：在不拖慢開發速度下實現資安落地

正如 Ryland 所言，挑戰始終在於：如何讓開發人員「無法犯錯」，而不是僅僅「提醒不要犯錯」。這需要的是制度化、不可輕易繞過的資安防線，而不是靜態文件或口頭警告。

透過宣告式政策與 AI 驅動的資安工具，AWS 正在打造一個讓資安「融入流程、內建於平台」的新雲端開發模式。不僅讓開發者更安心，也讓資安團隊不再疲於奔命。