KI/ML für Sicherheit - AWS Präskriptive Leitlinien
Nachweisbare Sicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KI/ML für Sicherheit

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Künstliche Intelligenz und maschinelles Lernen (KI/ML) verändern Unternehmen. KI/ML ist seit über 20 Jahren ein Schwerpunkt von Amazon, und viele der Funktionen, die Kunden mit AWS nutzen, einschließlich Sicherheitsservices, basieren auf KI/ML. Dies schafft einen integrierten Mehrwert, da Sie sicher auf AWS bauen können, ohne dass Ihre Sicherheits- oder Anwendungsentwicklungsteams über Fachkenntnisse in KI/ML verfügen müssen.

KI ist eine fortschrittliche Technologie, die es Maschinen und Systemen ermöglicht, Informationen zu entwickeln und Vorhersagen zu treffen. KI-Systeme lernen aus früheren Erfahrungen anhand von Daten, die sie nutzen oder anhand derer sie trainiert werden. ML ist einer der wichtigsten Aspekte der KI. ML ist die Fähigkeit von Computern, aus Daten zu lernen, ohne explizit programmiert zu werden. Bei der traditionellen Programmierung schreibt der Programmierer Regeln, die definieren, wie das Programm auf einem Computer oder einer Maschine funktionieren soll. In ML lernt das Modell die Regeln aus Daten. ML-Modelle können verborgene Muster in den Daten entdecken oder genaue Vorhersagen für neue Daten treffen, die beim Training nicht verwendet wurden. Mehrere AWS-Services nutzen KI/ML, um aus riesigen Datensätzen zu lernen und Sicherheitsrückschlüsse zu ziehen.

  • Amazon Macie ist ein Datensicherheitsservice, der maschinelles Lernen und Musterabgleich verwendet, um Ihre sensiblen Daten zu erkennen und zu schützen. Macie erkennt automatisch eine große und ständig wachsende Liste sensibler Datentypen, darunter personenbezogene Daten (PII) wie Namen, Adressen und Finanzinformationen wie Kreditkartennummern. Außerdem erhalten Sie ständigen Einblick in Ihre Daten, die in Amazon Simple Storage Service (Amazon S3) gespeichert sind. Macie verwendet Natural Language Processing (NLP) und ML-Modelle, die anhand verschiedener Arten von Datensätzen trainiert wurden, um Ihre vorhandenen Daten zu verstehen und Geschäftswerte für die Priorisierung geschäftskritischer Daten zuzuweisen. Macie generiert dann Ergebnisse aus sensiblen Daten.

  • Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der ML, Anomalieerkennung und integrierte Bedrohungsinformationen verwendet, um kontinuierlich nach böswilligen Aktivitäten und unberechtigtem Verhalten zu suchen, um Ihre AWS-Konten, Instances, serverlosen und Container-Workloads, Benutzer, Datenbanken und Speicher zu schützen. GuardDuty beinhaltet ML-Techniken, die äußerst effektiv sind, um potenziell böswillige Benutzeraktivitäten von anomalem, aber harmlosem Betriebsverhalten innerhalb von AWS-Konten zu unterscheiden. Diese Funktion modelliert kontinuierlich API-Aufrufe innerhalb eines Kontos und berücksichtigt probabilistische Vorhersagen, um äußerst verdächtiges Benutzerverhalten genauer zu isolieren und Warnmeldungen zu erhalten. Dieser Ansatz hilft bei der Identifizierung bösartiger Aktivitäten im Zusammenhang mit bekannten Bedrohungstaktiken wie Entdeckung, Erstzugriff, Persistenz, Rechteerweiterung, Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Auswirkung und Datenexfiltration. Weitere Informationen zur GuardDuty Verwendung von maschinellem Lernen finden Sie in der Breakout-Session Developing new findings using machine learning in Amazon GuardDuty (TDR310) zu AWS re:inForce 2023.

Nachweisbare Sicherheit

AWS entwickelt automatisierte Argumentationstools, die mathematische Logik verwenden, um kritische Fragen zu Ihrer Infrastruktur zu beantworten und Fehlkonfigurationen zu erkennen, die Ihre Daten potenziell preisgeben könnten. Diese Funktion wird als nachweisbare Sicherheit bezeichnet, da sie ein höheres Maß an Sicherheit in der Cloud und in der Cloud bietet. Bei nachweisbarer Sicherheit kommt automatisiertes Denken zum Einsatz. Dabei handelt es sich um eine spezielle Disziplin der KI, bei der logische Schlussfolgerungen auf Computersysteme angewendet werden. Tools für automatisiertes Denken können beispielsweise Richtlinien und Konfigurationen der Netzwerkarchitektur analysieren und nachweisen, dass keine unbeabsichtigten Konfigurationen vorliegen, die potenziell anfällige Daten preisgeben könnten. Dieser Ansatz bietet das höchstmögliche Maß an Sicherheit für die kritischen Sicherheitsmerkmale der Cloud. Weitere Informationen finden Sie unter Provable Security Resources auf der AWS-Website. Die folgenden AWS-Services und -Funktionen verwenden derzeit automatisiertes Denken, um Ihnen dabei zu helfen, nachweisbare Sicherheit für Ihre Anwendungen zu erreichen:

  • Amazon CodeGuru Security ist ein Tool zum Testen der statischen Anwendungssicherheit (SAST), das maschinelles Lernen und automatisiertes Denken kombiniert, um Schwachstellen in Ihrem Code zu identifizieren und Empfehlungen zur Behebung dieser Sicherheitslücken zu geben und ihren Status bis zur Schließung zu verfolgen. CodeGuru Security erkennt die 10 wichtigsten Probleme, die vom Open Worldwide Application Security Project (OWASP) identifiziert wurden, die 25 wichtigsten Probleme, die von Common Weakness Enumeration (CWE) identifiziert wurden, Log Injection, Secrets und die unsichere Verwendung von AWS-APIs und -SDKs. CodeGuru Die Sicherheit orientiert sich auch an den bewährten AWS-Sicherheitsmethoden und wurde bei Amazon an Millionen von Codezeilen geschult.

    CodeGuru Security kann aufgrund seiner tiefgreifenden semantischen Analyse Sicherheitslücken im Code mit einer sehr hohen True-Positive-Rate identifizieren. Dies hilft Entwicklern und Sicherheitsteams, Vertrauen in die Leitlinien zu haben, was zu einer Qualitätssteigerung führt. Dieser Service wird mithilfe von Rule Mining und überwachten ML-Modellen trainiert, die eine Kombination aus logistischer Regression und neuronalen Netzwerken verwenden. Beispielsweise führt CodeGuru Security beim Training für sensible Datenlecks eine vollständige Codeanalyse für Codepfade durch, die die Ressource nutzen oder auf sensible Daten zugreifen, erstellt ein Feature-Set, das diese repräsentiert, und verwendet die Codepfade dann als Eingaben für logistische Regressionsmodelle und Convolutional Neural Networks (CNNs). Die CodeGuru Sicherheitsfehlerverfolgungsfunktion erkennt automatisch, wenn ein Fehler geschlossen wurde. Der Algorithmus zur Fehlerverfolgung stellt sicher, dass Sie ohne zusätzlichen Aufwand up-to-date über Informationen zum Sicherheitsstatus Ihres Unternehmens verfügen. Um mit der Überprüfung des Codes zu beginnen, kannst du deine vorhandenen Code-Repositorys auf GitHub Enterprise GitHub, Bitbucket oder AWS CodeCommit auf der CodeGuru Konsole verknüpfen. Das auf der CodeGuru Security API basierende Design bietet Integrationsfunktionen, die Sie in jeder Phase des Entwicklungsworkflows nutzen können.

  • Amazon Verified Permissions ist ein skalierbares Berechtigungsmanagement und ein detaillierter Autorisierungsservice für die von Ihnen erstellten Anwendungen. Verified Permissions verwendet Cedar, eine Open-Source-Sprache für die Zugriffskontrolle, die mithilfe automatisierter Argumentation und Differenztests entwickelt wurde. Cedar ist eine Sprache, mit der Berechtigungen als Richtlinien definiert werden, die beschreiben, wer Zugriff auf welche Ressourcen haben sollte. Es ist auch eine Spezifikation für die Bewertung dieser Richtlinien. Verwenden Sie die Richtlinien von Cedar, um zu kontrollieren, was jeder Benutzer Ihrer Anwendung tun darf und auf welche Ressourcen er zugreifen darf. Bei den Richtlinien von Cedar handelt es sich um Zulassungs- oder Verbotserklärungen, die festlegen, ob ein Benutzer auf eine Ressource einwirken kann. Richtlinien sind mit Ressourcen verknüpft, und Sie können einer Ressource mehrere Richtlinien zuordnen. Verbotene Richtlinien haben Vorrang vor Genehmigungsrichtlinien. Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, sendet Ihre Anwendung eine Autorisierungsanfrage an die Cedar Policy Engine. Cedar bewertet die geltenden Richtlinien und gibt eine ALLOW DENY Oder-Entscheidung zurück. Cedar unterstützt Autorisierungsregeln für alle Arten von Prinzipalen und Ressourcen, ermöglicht eine rollen- und attributbasierte Zugriffskontrolle und unterstützt Analysen mithilfe automatisierter Argumentationstools, mit denen Sie Ihre Richtlinien optimieren und Ihr Sicherheitsmodell validieren können.

  • AWS Identity and Access Management (IAM) Access Analyzer hilft Ihnen dabei, die Rechteverwaltung zu optimieren. Sie können diese Funktion verwenden, um detaillierte Berechtigungen festzulegen, beabsichtigte Berechtigungen zu überprüfen und Berechtigungen zu verfeinern, indem Sie ungenutzten Zugriff entfernen. IAM Access Analyzer generiert eine detaillierte Richtlinie, die auf den in Ihren Protokollen erfassten Zugriffsaktivitäten basiert. Es bietet außerdem über 100 Richtlinienprüfungen, die Sie bei der Erstellung und Validierung Ihrer Richtlinien unterstützen. IAM Access Analyzer verwendet nachweisbare Sicherheit, um Zugriffspfade zu analysieren und umfassende Erkenntnisse für den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressourcen bereitzustellen. Dieses Tool basiert auf Zelkova, das IAM-Richtlinien in entsprechende logische Aussagen übersetzt und eine Reihe von allgemeinen und speziellen logischen Lösungsansätzen (Erfüllbarkeitsmodulo-Theorien) zur Lösung des Problems einsetzt. IAM Access Analyzer wendet Zelkova wiederholt auf eine Richtlinie mit immer spezifischeren Abfragen an, um Verhaltensklassen zu charakterisieren, die die Richtlinie basierend auf dem Inhalt der Richtlinie zulässt. Der Analyzer untersucht keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität auf eine Ressource in Ihrer Vertrauenszone zugegriffen hat. Es wird ein Ergebnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource ermöglicht, auch wenn die externe Entität nicht auf die Ressource zugegriffen hat. Weitere Informationen zu den Modulo-Theorien zur Erfüllbarkeit finden Sie unter Modulo-Theorien zur Erfüllbarkeit im Handbuch zur Zufriedenheit. *

  • Amazon S3 Block Public Access ist eine Funktion von Amazon S3, mit der Sie mögliche Fehlkonfigurationen blockieren können, die zu einem öffentlichen Zugriff auf Ihre Buckets und Objekte führen könnten. Sie können Amazon S3 Block Public Access auf Bucket- oder Kontoebene aktivieren (was sich sowohl auf bestehende als auch auf neue Buckets im Konto auswirkt). Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt. Die Entscheidung, ob eine bestimmte Richtlinie oder ACL als öffentlich betrachtet wird, erfolgt mithilfe des automatisierten Argumentationssystems Zelkova. Amazon S3 verwendet Zelkova, um jede Bucket-Richtlinie zu überprüfen, und warnt Sie, wenn ein nicht autorisierter Benutzer in der Lage ist, Ihren Bucket zu lesen oder in ihn zu schreiben. Wenn ein Bucket als öffentlich gekennzeichnet ist, dürfen einige öffentliche Anfragen auf den Bucket zugreifen. Wenn ein Bucket als nicht öffentlich gekennzeichnet ist, werden alle öffentlichen Anfragen abgelehnt. Zelkova ist in der Lage, solche Entscheidungen zu treffen, weil sie über eine präzise mathematische Darstellung der IAM-Richtlinien verfügt. Sie erstellt für jede Richtlinie eine Formel und beweist einen Satz über diese Formel.

  • Amazon VPC Network Access Analyzer ist eine Funktion von Amazon VPC, die Ihnen hilft, potenzielle Netzwerkpfade zu Ihren Ressourcen zu verstehen und potenzielle unbeabsichtigte Netzwerkzugriffe zu identifizieren. Network Access Analyzer hilft Ihnen dabei, die Netzwerksegmentierung zu überprüfen, den Internetzugang zu ermitteln und vertrauenswürdige Netzwerkpfade und Netzwerkzugriffe zu verifizieren. Diese Funktion verwendet automatisierte Argumentationsalgorithmen, um die Netzwerkpfade zu analysieren, die ein Paket zwischen Ressourcen in einem AWS-Netzwerk nehmen kann. Anschließend werden Ergebnisse für Pfade generiert, die Ihren Netzwerkzugriffsbereichen entsprechen, die Muster für ausgehenden und eingehenden Datenverkehr definieren. Network Access Analyzer führt eine statische Analyse einer Netzwerkkonfiguration durch, was bedeutet, dass im Rahmen dieser Analyse keine Pakete im Netzwerk übertragen werden.

  • Amazon VPC Reachability Analyzer ist eine Funktion von Amazon VPC, mit der Sie die Konnektivität in Ihrem AWS-Netzwerk debuggen, verstehen und visualisieren können. Reachability Analyzer ist ein Tool zur Konfigurationsanalyse, mit dem Sie Konnektivitätstests zwischen einer Quellressource und einer Zielressource in Ihren Virtual Private Clouds (VPCs) durchführen können. Wenn das Ziel erreichbar ist, erzeugt Reachability Analyzer hop-by-hop Details zum virtuellen Netzwerkpfad zwischen der Quelle und dem Ziel. Wenn das Ziel nicht erreichbar ist, identifiziert Reachability Analyzer die blockierende Komponente. Reachability Analyzer verwendet automatisiertes Denken, um praktikable Pfade zu identifizieren, indem er ein Modell der Netzwerkkonfiguration zwischen einer Quelle und einem Ziel erstellt. Anschließend wird anhand der Konfiguration geprüft, ob die Erreichbarkeit gewährleistet ist. Es sendet keine Pakete und analysiert auch nicht die Datenebene.

* Biere, A.M. Heule, H. van Maaren und T. Walsh. 2009. Handbuch zur Zufriedenheit. IOS Press, NLD.