Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AI/ML untuk keamanan
| Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat |
Kecerdasan buatan dan pembelajaran mesin (AI/ML) mengubah bisnis. AI/ML telah menjadi fokus Amazon selama lebih dari 20 tahun, dan banyak dari kemampuan yang digunakan pelanggan dengan AWS, termasuk layanan keamanan, didorong oleh AI/ML. Ini menciptakan nilai terdiferensiasi bawaan, karena Anda dapat membangun AWS dengan aman tanpa memerlukan tim keamanan atau pengembangan aplikasi Anda untuk memiliki keahlian dalam AI/ML.
AI adalah teknologi canggih yang memungkinkan mesin dan sistem untuk mendapatkan kecerdasan dan kemampuan prediksi. Sistem AI belajar dari pengalaman masa lalu melalui data yang dikonsumsi atau dilatih. ML adalah salah satu aspek terpenting dari AI. ML adalah kemampuan komputer untuk belajar dari data tanpa diprogram secara eksplisit. Dalam pemrograman tradisional, programmer menulis aturan yang menentukan bagaimana program harus bekerja pada komputer atau mesin. Dalam ML, model mempelajari aturan dari data. Model ML dapat menemukan pola tersembunyi dalam data atau membuat prediksi akurat pada data baru yang tidak digunakan selama pelatihan. Beberapa layanan AWS menggunakan AI/ML untuk belajar dari kumpulan data besar dan membuat kesimpulan keamanan.
-
Amazon Macie
adalah layanan keamanan data yang menggunakan ML dan pencocokan pola untuk menemukan dan membantu melindungi data sensitif Anda. Macie secara otomatis mendeteksi daftar tipe data sensitif yang besar dan terus bertambah, termasuk informasi identitas pribadi (PII) seperti nama, alamat, dan informasi keuangan seperti nomor kartu kredit. Ini juga memberi Anda visibilitas konstan ke data Anda yang disimpan di Amazon Simple Storage Service (Amazon S3). Macie menggunakan Natural Language Processing (NLP) dan model ML yang dilatih pada berbagai jenis dataset untuk memahami data yang ada dan untuk menetapkan nilai bisnis untuk memprioritaskan data penting bisnis. Macie kemudian menghasilkan temuan data sensitif. -
Amazon GuardDuty
adalah layanan deteksi ancaman yang menggunakan ML, deteksi anomali, dan intelijen ancaman terintegrasi untuk terus memantau aktivitas berbahaya dan perilaku tidak sah untuk membantu melindungi akun AWS, instans, beban kerja tanpa server dan kontainer, pengguna, database, dan penyimpanan AWS Anda. GuardDuty menggabungkan teknik ML yang sangat efektif dalam membedakan aktivitas pengguna yang berpotensi berbahaya dari perilaku operasional anomali tetapi jinak dalam akun AWS. Kemampuan ini terus memodelkan pemanggilan API dalam akun dan menggabungkan prediksi probabilistik untuk mengisolasi dan memperingatkan perilaku pengguna yang sangat mencurigakan secara lebih akurat. Pendekatan ini membantu mengidentifikasi aktivitas jahat yang terkait dengan taktik ancaman yang diketahui, termasuk penemuan, akses awal, ketekunan, eskalasi hak istimewa, penghindaran pertahanan, akses kredenal, dampak, dan eksfiltrasi data. Untuk mempelajari lebih lanjut tentang cara GuardDuty menggunakan pembelajaran mesin, lihat sesi breakout AWS re:Inforce 2023 Mengembangkan temuan baru menggunakan pembelajaran mesin di Amazon (TDR310). GuardDuty
Keamanan yang dapat dibuktikan
AWS mengembangkan alat penalaran otomatis yang menggunakan logika matematika untuk menjawab pertanyaan penting tentang infrastruktur Anda dan untuk mendeteksi kesalahan konfigurasi yang berpotensi mengekspos data Anda. Kemampuan ini disebut keamanan yang dapat dibuktikan karena memberikan jaminan yang lebih tinggi dalam keamanan cloud dan cloud. Keamanan yang dapat dibuktikan menggunakan penalaran otomatis, yang merupakan disiplin khusus AI yang menerapkan pengurangan logis ke sistem komputer. Misalnya, alat penalaran otomatis dapat menganalisis kebijakan dan konfigurasi arsitektur jaringan, dan membuktikan tidak adanya konfigurasi yang tidak diinginkan yang berpotensi mengekspos data yang rentan. Pendekatan ini memberikan tingkat jaminan tertinggi yang mungkin untuk karakteristik keamanan kritis cloud. Untuk informasi selengkapnya, lihat Sumber Daya Keamanan yang Dapat Dibuktikan
-
Amazon CodeGuru Security
adalah alat pengujian keamanan aplikasi statis (SAST) yang menggabungkan ML dan penalaran otomatis untuk mengidentifikasi kerentanan dalam kode Anda dan untuk memberikan rekomendasi tentang cara memperbaiki kerentanan ini dan melacak statusnya hingga penutupan. CodeGuru Keamanan mendeteksi 10 masalah teratas yang diidentifikasi oleh Open Worldwide Application Security Project (OWASP) , 25 masalah teratas yang diidentifikasi oleh Common Weakness Enumeration (CWE) , injeksi log, rahasia, dan penggunaan AWS API dan SDK yang tidak aman. CodeGuru Keamanan juga meminjam dari praktik terbaik keamanan AWS dan dilatih pada jutaan baris kode di Amazon. CodeGuru Keamanan dapat mengidentifikasi kerentanan kode dengan tingkat positif sejati yang sangat tinggi karena analisis semantiknya yang mendalam. Ini membantu pengembang dan tim keamanan memiliki kepercayaan pada panduan, yang menghasilkan peningkatan kualitas. Layanan ini dilatih dengan menggunakan penambangan aturan dan model ML yang diawasi yang menggunakan kombinasi regresi logistik dan jaringan saraf. Misalnya, selama pelatihan untuk kebocoran data sensitif, CodeGuru Security melakukan analisis kode lengkap untuk jalur kode yang menggunakan sumber daya atau mengakses data sensitif, membuat kumpulan fitur yang mewakilinya, dan kemudian menggunakan jalur kode sebagai input untuk model regresi logistik dan jaringan saraf convolutional (CNN). Fitur pelacakan bug CodeGuru Keamanan secara otomatis mendeteksi ketika bug ditutup. Algoritma pelacakan bug memastikan bahwa Anda memiliki up-to-date informasi tentang postur keamanan organisasi Anda tanpa usaha tambahan. Untuk mulai meninjau kode, Anda dapat mengaitkan repositori kode yang ada di GitHub, GitHub Enterprise, Bitbucket, atau CodeCommit AWS di konsol. CodeGuru Desain berbasis API CodeGuru Keamanan menyediakan kemampuan integrasi yang dapat Anda gunakan pada setiap tahap alur kerja pengembangan.
-
Izin Terverifikasi Amazon adalah manajemen izin
yang dapat diskalakan dan layanan otorisasi berbutir halus untuk aplikasi yang Anda buat. Izin Terverifikasi menggunakan Cedar , yang merupakan bahasa sumber terbuka untuk kontrol akses yang dibangun dengan menggunakan penalaran otomatis dan pengujian diferensial. Cedar adalah bahasa untuk mendefinisikan izin sebagai kebijakan yang menjelaskan siapa yang harus memiliki akses ke sumber daya mana. Ini juga merupakan spesifikasi untuk mengevaluasi kebijakan tersebut. Gunakan kebijakan Cedar untuk mengontrol apa yang diizinkan dilakukan oleh setiap pengguna aplikasi Anda dan sumber daya mana yang dapat mereka akses. Kebijakan Cedar adalah pernyataan izin atau larangan yang menentukan apakah pengguna dapat bertindak berdasarkan sumber daya. Kebijakan dikaitkan dengan sumber daya, dan Anda dapat melampirkan beberapa kebijakan ke sumber daya. Kebijakan melarang mengesampingkan kebijakan izin. Ketika pengguna aplikasi Anda mencoba melakukan tindakan pada sumber daya, aplikasi Anda membuat permintaan otorisasi ke mesin kebijakan Cedar. Cedar mengevaluasi kebijakan yang berlaku dan mengembalikan keputusan ALLOWatauDENY. Cedar mendukung aturan otorisasi untuk semua jenis prinsipal dan sumber daya, memungkinkan kontrol akses berbasis peran dan atribut, dan mendukung analisis melalui alat penalaran otomatis yang dapat membantu mengoptimalkan kebijakan Anda dan memvalidasi model keamanan Anda. -
AWS Identity and Access Management (IAM) Access Analyzer membantu Anda merampingkan pengelolaan izin. Anda dapat menggunakan fitur ini untuk mengatur izin berbutir halus, memverifikasi izin yang dimaksudkan, dan memperbaiki izin dengan menghapus akses yang tidak digunakan. IAM Access Analyzer menghasilkan kebijakan berbutir halus berdasarkan aktivitas akses yang ditangkap di log Anda. Ini juga menyediakan lebih dari 100 pemeriksaan kebijakan untuk membantu Anda membuat dan memvalidasi kebijakan Anda. IAM Access Analyzer menggunakan keamanan yang dapat dibuktikan untuk menganalisis jalur akses dan memberikan temuan komprehensif untuk akses publik dan lintas akun ke sumber daya Anda. Alat ini dibangun di atas Zelkova
, yang menerjemahkan kebijakan IAM ke dalam pernyataan logis yang setara dan menjalankan serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan) terhadap masalah tersebut. IAM Access Analyzer menerapkan Zelkova berulang kali pada kebijakan dengan kueri yang semakin spesifik untuk mengkarakterisasi kelas perilaku yang diizinkan kebijakan, berdasarkan konten kebijakan. Penganalisis tidak memeriksa log akses untuk menentukan apakah entitas eksternal mengakses sumber daya dalam zona kepercayaan Anda. Ini menghasilkan temuan ketika kebijakan berbasis sumber daya memungkinkan akses ke sumber daya, bahkan jika sumber daya tidak diakses oleh entitas eksternal. Untuk mempelajari lebih lanjut tentang teori modulo kepuasan, lihat Teori Modulo Kepuasan dalam Buku Pegangan Kepuasan . * -
Amazon S3 Block Public Access
adalah fitur Amazon S3 yang memungkinkan Anda memblokir kemungkinan kesalahan konfigurasi yang dapat menyebabkan akses publik ke ember dan objek Anda. Anda dapat mengaktifkan Amazon S3 Blokir Akses Publik di tingkat bucket atau tingkat akun (yang memengaruhi bucket yang ada dan baru di akun). Akses publik diberikan kepada bucket dan objek melalui daftar kontrol akses (ACL), kebijakan bucket, atau keduanya. Penentuan apakah kebijakan tertentu atau ACL dianggap publik dilakukan dengan menggunakan sistem penalaran otomatis Zelkova. Amazon S3 menggunakan Zelkova untuk memeriksa setiap kebijakan bucket dan memperingatkan Anda jika pengguna yang tidak sah dapat membaca atau menulis ke bucket Anda. Jika bucket ditandai sebagai publik, beberapa permintaan publik diizinkan untuk mengakses bucket. Jika bucket ditandai sebagai tidak publik, semua permintaan publik ditolak. Zelkova mampu membuat penentuan seperti itu karena memiliki representasi matematis yang tepat dari kebijakan IAM. Ini menciptakan formula untuk setiap kebijakan dan membuktikan teorema tentang rumus itu. -
Amazon VPC Network Access Analyzer adalah fitur Amazon VPC yang membantu Anda memahami jalur jaringan potensial ke sumber daya Anda, dan mengidentifikasi potensi akses jaringan yang tidak diinginkan. Network Access Analyzer membantu Anda memverifikasi segmentasi jaringan, mengidentifikasi aksesibilitas internet, dan memverifikasi jalur jaringan dan akses jaringan tepercaya. Fitur ini menggunakan algoritma penalaran otomatis untuk menganalisis jalur jaringan yang dapat diambil paket di antara sumber daya dalam jaringan AWS. Kemudian menghasilkan temuan untuk jalur yang sesuai dengan Lingkup Akses Jaringan Anda, yang menentukan pola lalu lintas keluar dan masuk. Network Access Analyzer melakukan analisis statis dari konfigurasi jaringan, yang berarti bahwa tidak ada paket yang ditransmisikan dalam jaringan sebagai bagian dari analisis ini.
-
Amazon VPC Reachability Analyzer adalah fitur Amazon VPC yang memungkinkan Anda men-debug, memahami, dan memvisualisasikan konektivitas di jaringan AWS Anda. Reachability Analyzer adalah alat analisis konfigurasi yang memungkinkan Anda melakukan pengujian konektivitas antara sumber daya sumber dan sumber daya tujuan di cloud pribadi virtual (VPC) Anda. Ketika tujuan dapat dijangkau, Reachability hop-by-hop Analyzer menghasilkan rincian jalur jaringan virtual antara sumber dan tujuan. Ketika tujuan tidak dapat dijangkau, Reachability Analyzer mengidentifikasi komponen pemblokiran. Reachability Analyzer menggunakan penalaran otomatis untuk mengidentifikasi jalur yang layak dengan membangun model konfigurasi jaringan antara sumber dan tujuan. Kemudian memeriksa jangkauan berdasarkan konfigurasi. Itu tidak mengirim paket atau menganalisis pesawat data.
* Biere, A.M. Heule, H. van Maaren, dan T. Walsh. 2009. Buku Pegangan Kepuasan. Pers IOS, NLD.
