在AWS re:Inforce 2025（6月16-18日，费城）大会上，AWS副总裁兼首席信息安全官Amy Herzog发表了主题演讲，宣布了新的安全创新。整个活动期间，AWS发布了多项安全功能，重点在于简化大规模安全防护，并帮助组织在云端构建更具韧性的应用。以下是本次会议宣布的主要安全发布和更新的全面汇总。

通过新版IAM访问分析器功能验证对关键AWS资源的内部访问
AWS身份与访问管理访问分析器的新功能帮助安全团队验证其AWS组织内哪些主体有权访问S3存储桶、DynamoDB表和RDS快照等关键资源，该功能使用自动推理评估多重策略，并通过统一仪表板提供发现结果。

AWS IAM现强制所有账户类型的根用户使用多因素认证（MFA）
新的多因素认证强制执行可防止超过99%的密码相关攻击。您可以使用一系列受支持的IAM MFA方法，包括FIDO认证的安全密钥，以加强AWS账户的访问安全。AWS支持FIDO2通行密钥以实现用户友好的MFA实施，并允许每个根用户和IAM用户注册最多8个MFA设备。

利用AWS网络防火墙上的Amazon威胁情报提升安全态势
此新的网络防火墙托管规则组提供针对AWS工作负载相关活跃威胁的保护。该功能使用Amazon威胁情报系统MadPot持续追踪攻击基础设施，包括恶意软件托管URL、僵尸网络命令与控制服务器及加密挖矿池，识别活跃威胁的入侵指标（IOCs）。

AWS证书管理器推出可导出公共SSL/TLS证书，支持随处使用
您现在可以使用AWS证书管理器为AWS、混合或多云工作负载签发可导出的公共证书，以满足安全TLS流量终止的需求。

AWS WAF简化控制台体验
新的AWS WAF控制台体验通过预配置保护包将安全配置步骤减少高达80%。安全团队可通过直观界面快速为特定应用类型实施全面保护，提供统一的安全指标和可定制控件。

Amazon CloudFront通过用户友好界面简化Web应用交付与安全
尝试Amazon CloudFront的简化控制台体验，通过集成AWS WAF增强规则包的界面，自动化TLS证书配置、DNS设置和安全策略，只需几次点击即可加速并保护Web应用。

新版AWS Shield功能在网络安全问题被利用前发现它们（预览）
Shield网络安全态势管理自动发现并分析跨AWS账户的网络资源，根据AWS最佳实践优先处理安全风险，并提供可操作的修复建议，以保护应用免受SQL注入和DDoS攻击等威胁。

通过新版AWS Security Hub统一安全，实现大规模风险优先级排序与响应（预览）
AWS Security Hub已增强，将安全信号转化为可操作的洞察，帮助安全团队大规模优先处理并响应关键问题。这一统一解决方案提供跨云环境的全面可见性，同时降低管理多重安全工具的复杂性。

Amazon GuardDuty将扩展威胁检测覆盖至Amazon EKS集群
Amazon GuardDuty扩展威胁检测现支持Amazon EKS集群，通过关联Kubernetes审计日志、运行时行为和AWS API活动中的安全信号，帮助检测复杂的多阶段攻击。此增强自动识别可能被忽略的关键攻击序列，实现更快速的威胁响应。

AWS MSSP能力新增类别
AWS MSSP能力（原AWS Level 1 MSSP能力）现新增类别，涵盖基础设施安全、工作负载安全、应用安全、数据保护、身份与访问管理、事件响应和网络恢复。合作伙伴通过专用安全运营中心提供24/7监控和事件响应。

通过Amazon Verified Permissions在几分钟内保护Express应用API
Amazon Verified Permissions宣布发布verified-permissions-express-toolkit，这是一个开源包，允许开发者使用Amazon Verified Permissions在几分钟内为Express Web应用API实施授权。

超越计算：通过Amazon Inspector代码安全左移漏洞检测
Amazon Inspector代码安全功能现已全面可用，帮助您在应用进入生产前快速识别并优先处理跨应用源代码、依赖项和基础设施即代码（IaC）的安全漏洞与错误配置。

AWS Backup为逻辑空气隔离库新增多方批准功能
AWS Backup逻辑空气隔离库的多方批准功能使您即使在AWS账户受损时也能恢复备份数据，通过利用指定批准团队中可信个体的授权，实现与恢复账户的库共享。