How to Defend Amazon S3 Buckets from Ransomware Exploiting SSE-C Encryption
被称为Codefinger的新勒索软件广告系列一直通过使用客户提供的键(SSE-C)的服务器端加密来利用折衷的AWS凭据来加密数据来对付Amazon S3用户。然后,攻击者要求解密数据所需的对称AES-256键赎金。 AWS发布了建议,以帮助用户减轻勒索软件攻击S3的风险。由Renato Losio
AWS Launches Trust Center: A Centralized Resource for Security and Compliance Information
AWS信托中心是一种综合的在线资源,可提高云安全透明度。它详细介绍了AWS的安全实践,合规协议和数据保护控制,使客户更容易理解和管理其云安全性。该集中式枢纽提供了实时服务状态,安全公告和基本资源,改善了Steef-Jan Wiggers的客户信任和信心
DeepSeek Database Leaking Sensitive Information Highlights AI Security Risks
云安全公司 Wiz 发现 DeepSeek 数据库未受保护,可完全控制数据库操作并访问内部数据,包括数百万行聊天日志。该公司表示,虽然该漏洞已迅速修复,但此次事件表明人工智能行业需要实施更高的安全标准。作者:Sergio De Simone
Amazon CloudFront Introduces Support for VPC Origins and Static IPs
在 re:Invent 大会召开之前,AWS 宣布 Amazon CloudFront 现在支持 Anycast 静态 IP,提供一组专用 IP 地址,用于连接全球所有 CloudFront 边缘站点。此外,新的 VPC 源功能使开发人员能够将 VPC 内的私有资源指定为源,从而无需公共 IP 地址或互联网连接。作者:Renato Losio
AWS Cloud Development Kit Vulnerability Enables Full AWS Account Takeover
安全公司 Aqua 在 AWS 云开发工具包 (CDK) 中发现的一个新漏洞可能导致攻击者由于手动删除工件 S3 存储桶而完全接管目标 AWS 帐户。虽然 AWS 修复了此漏洞,但如果您使用的是 CDK 版本 v2.148.1 或更早版本,您仍需要采取行动。作者:Sergio De Simone
Article: Navigating Responsible AI in the FinTech Landscape
探索金融科技领域负责任的人工智能、监管和道德的动态交汇。本文重点介绍了组织在遵守欧盟人工智能法案等不断发展的准则时面临的主要挑战和创新实践。了解如何平衡透明度、效率和风险管理,以实现业务的可持续人工智能增长。作者:Lexy Kassan
Cloudflare Introduces Short-Lived SSH Access, Eliminating the Need for SSH Credentials
Cloudflare 最近宣布推出 Access for Infrastructure SSH,该功能使用短期证书取代传统 SSH 密钥。新选项利用 BastionZero 与 Cloudflare One 的集成,降低管理 SSH 密钥的复杂性,同时通过用临时证书取代长期 SSH 密钥来增强安全性。作者:Renato Losio
Article: Securing Cell-Based Architecture in Modern Applications
确保基于单元的架构的安全对于充分利用其优势并最大程度降低风险至关重要。为此,必须实施全面的安全措施。组织可以首先使用沙盒环境和严格的访问控制机制(如基于角色和基于属性的访问控制)隔离和控制单元。作者:Stefania Chaplin
Microsoft Launches Azure Confidential VMs with NVIDIA Tensor Core GPUs for Enhanced Secure Workloads
微软 Azure 推出了 NCC H100 v5 虚拟机,现在配备了 NVIDIA Tensor Core GPU,可增强高性能工作负载的安全计算。这些虚拟机利用 AMD EPYC 处理器提供强大的数据保护,使其成为 AI 模型训练和推理等任务的理想选择,同时确保敏感应用程序的可信执行环境。作者:Steef-Jan Wiggers
Article: Optimizing Wellhub Autocomplete Service Latency: A Multi-Region Architecture
每家公司都希望获得快速、可靠且低延迟的服务。实现这些目标需要大量投资和努力。在本文中,我将分享 Wellhub 如何投资多区域架构来实现低延迟自动完成服务。作者:Matheus Felisberto
Ephemeral IDs: Cloudflare's Latest Tool for Fraud Detection
在最近的生日周,Cloudflare 推出了 Ephemeral ID,这是一项用于欺诈检测的新功能。该工具通过将行为与特定客户端(而不是 IP 地址)联系起来,来识别欺诈活动(无论是来自机器人还是人类)。作者:Renato Losio
Article: Proactive Approaches to Securing Linux Systems and Engineering Applications
保持强大的安全态势具有挑战性,尤其是在 Linux 上。一种有效的方法是主动的,包括补丁管理、优化资源分配和有效警报。作者:Prashanth Ravula
Cloud Misconfigurations Can Cause Major Data Breaches: Deliveroo at InfoQ Dev Summit Munich
在慕尼黑开发者峰会首届会议上的演讲中,Deliveroo 的安全运营主管 Danielle Sudai 探讨了云安全态势管理的基础知识,强调了单一配置错误如何损害公司的安全性。她强调了弥合组织不同层级(从治理到技术)之间的差距的重要性。作者:Olimpiu Pop
AWS Key Management Service Now Supports ECDH for Secure Communications
今年夏天,AWS 宣布 AWS 密钥管理服务 (KMS) 支持椭圆曲线 Diffie-Hellman (ECDH) 密钥协议。AWS 的安全团队最近展示了新的 DeriveSharedSecret API 如何通过使用派生共享密钥建立安全通信通道。作者:Renato Losio
Podcast: Lessons Learned From the CrowdStrike Incident: InfoQ Dev Summit Munich 2024 Preview
在本期播客中,InfoQ Dev Summit Munich 2024 的演讲者讨论了最近的 CrowdStrike 事件,该事件引发了大规模中断并凸显了云基础设施中的漏洞。小组分享了个人经历,强调了云依赖性的影响,以及组织风险管理和自动化方面的经验教训。作者:Renato Losio、Danielle Sudai、Santosh Yadav、Mykhailo Brodskyi
Workspaces in Azure API Management GA: Runtime Isolation and Federated Model of Managing APIs
Microsoft 已在 Azure API Management 中推出工作区,使开发人员能够从单个平台管理多个 API 服务。此功能增强了 API 监督,支持集中和联合管理模型,并确保了运行时隔离。这款高级工具非常适合增强组织,它简化了 API 开发,同时保持了强大的安全性和控制力。作者:Steef-Jan Wiggers
Azure Advisor Well-Architected Assessment in Public Preview to Optimize Cloud Infrastructure
Microsoft Azure 最近宣布了 Advisor Well-Architected 评估的公开预览版。这份自导式问卷旨在提供量身定制的可操作建议,以优化 Azure 资源,同时符合 Azure Well-Architected Framework (WAF) 原则。作者:Steef-Jan Wiggers
Microsoft Entra Suite Now Generally Available: Identity and Security Based Upon Zero-Trust Models
微软宣布其 Entra Suite 正式上市。据该公司称,该套件提供了一种集成身份和安全的解决方案,有助于实现更统一的安全运营方法。作者:Steef-Jan Wiggers
