Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk SageMaker AI
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon SageMaker AI.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung
Persyaratan terkait: NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-no-direct-internet-access
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker AI. Kontrol gagal jika DirectInternetAccess bidang diaktifkan untuk instance notebook.
Jika Anda mengonfigurasi instans SageMaker AI tanpa VPC, maka secara default akses internet langsung diaktifkan pada instans Anda. Anda harus mengonfigurasi instans Anda dengan VPC dan mengubah pengaturan default menjadi Nonaktifkan — Akses internet melalui VPC. Untuk melatih atau meng-host model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, VPC Anda harus memiliki antarmuka endpoint (AWS PrivateLink) atau gateway NAT dan grup keamanan yang memungkinkan koneksi keluar. Untuk mempelajari lebih lanjut tentang cara menghubungkan instans notebook ke sumber daya di VPC, lihat Menyambungkan instans notebook ke sumber daya di VPC di Panduan Pengembang Amazon SageMaker AI. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker AI Anda terbatas hanya untuk pengguna yang berwenang. Batasi izin IAM yang memungkinkan pengguna mengubah pengaturan dan sumber daya SageMaker AI.
Remediasi
Anda tidak dapat mengubah setelan akses internet setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance dengan akses internet yang diblokir. Untuk menghapus instance notebook yang mengizinkan akses internet langsung, lihat Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan Pengembang Amazon SageMaker AI. Untuk membuat ulang instance notebook yang menolak akses internet, lihat Membuat instance notebook. Untuk Jaringan, akses internet langsung, pilih Nonaktifkan — Akses internet melalui VPC.
[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-instance-inside-vpc
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI diluncurkan dalam cloud pribadi virtual kustom (VPC). Kontrol ini gagal jika instance notebook SageMaker AI tidak diluncurkan dalam VPC khusus atau jika diluncurkan di VPC layanan SageMaker AI.
Subnet adalah berbagai alamat IP dalam VPC. Sebaiknya simpan sumber daya Anda di dalam VPC kustom bila memungkinkan untuk memastikan perlindungan jaringan yang aman dari infrastruktur Anda. VPC Amazon adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS Dengan Amazon VPC, Anda dapat mengontrol akses jaringan dan konektivitas internet SageMaker AI Studio dan instance notebook Anda.
Remediasi
Anda tidak dapat mengubah pengaturan VPC setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance. Untuk petunjuknya, lihat Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan Pengembang Amazon SageMaker AI.
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI
Persyaratan terkait: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Kategori: Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-instance-root-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah akses root diaktifkan untuk instance notebook Amazon SageMaker AI. Kontrol gagal jika akses root dihidupkan untuk instance notebook SageMaker AI.
Sesuai dengan prinsip hak istimewa terkecil, ini adalah praktik terbaik keamanan yang disarankan untuk membatasi akses root ke sumber daya instans untuk menghindari izin penyediaan secara tidak sengaja.
Remediasi
Untuk membatasi akses root ke instance notebook SageMaker AI, lihat Kontrol akses root ke instans notebook SageMaker AI di Panduan Pengembang Amazon SageMaker AI.
[SageMaker.4] Varian produksi titik akhir SageMaker AI harus memiliki jumlah instans awal lebih besar dari 1
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SageMaker::EndpointConfig
AWS Config aturan: sagemaker-endpoint-config-prod-instance-count
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah varian produksi titik akhir Amazon SageMaker AI memiliki jumlah instans awal lebih besar dari 1. Kontrol gagal jika varian produksi titik akhir hanya memiliki 1 instance awal.
Varian produksi yang berjalan dengan jumlah instans lebih dari 1 memungkinkan redundansi instans multi-AZ yang dikelola oleh AI. SageMaker Menyebarkan sumber daya di beberapa Availability Zone adalah praktik AWS terbaik untuk menyediakan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan tinggi membantu Anda pulih dari insiden keamanan.
catatan
Kontrol ini hanya berlaku untuk konfigurasi endpoint berbasis instance.
Remediasi
Untuk informasi selengkapnya tentang parameter konfigurasi titik akhir, lihat Membuat konfigurasi titik akhir di Panduan Pengembang Amazon SageMaker AI.
[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SageMaker::Model
AWS Config aturan: sagemaker-model-isolation-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah model yang dihosting Amazon SageMaker AI memblokir lalu lintas jaringan masuk. Kontrol gagal jika EnableNetworkIsolation parameter untuk model yang dihosting disetel keFalse.
SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi, Anda dapat mengaktifkan isolasi jaringan. Jika Anda mengaktifkan isolasi jaringan, kontainer tidak dapat melakukan panggilan jaringan keluar, bahkan ke yang lain Layanan AWS. Selain itu, tidak ada AWS kredenal yang tersedia untuk lingkungan runtime container. Mengaktifkan isolasi jaringan membantu mencegah akses yang tidak diinginkan ke sumber daya SageMaker AI Anda dari internet.
Remediasi
Untuk informasi selengkapnya tentang isolasi jaringan untuk model SageMaker AI, lihat Menjalankan pelatihan dan wadah inferensi dalam mode bebas internet di Panduan Pengembang Amazon SageMaker AI. Anda dapat mengaktifkan isolasi jaringan saat membuat pekerjaan atau model pelatihan dengan menyetel nilai EnableNetworkIsolation parameterTrue.
