Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk SageMaker
Ini AWS Security Hub kontrol mengevaluasi SageMaker layanan dan sumber daya Amazon.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-no-direct-internet-access
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah akses internet langsung dinonaktifkan untuk instance SageMaker notebook. Kontrol gagal jika DirectInternetAccess bidang diaktifkan untuk instance notebook.
Jika Anda mengonfigurasi SageMaker instans Anda tanpa aVPC, maka secara default akses internet langsung diaktifkan pada instans Anda. Anda harus mengonfigurasi instans Anda dengan a VPC dan mengubah pengaturan default ke Disable—Access internet melalui file. VPC Untuk melatih atau meng-host model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, Anda VPC harus memiliki titik akhir antarmuka (AWS PrivateLink) atau NAT gateway dan grup keamanan yang memungkinkan koneksi keluar. Untuk mempelajari lebih lanjut tentang cara menghubungkan instance notebook ke sumber dayaVPC, lihat Menyambungkan instance notebook ke sumber daya VPC di Panduan SageMaker Pengembang Amazon. Anda juga harus memastikan bahwa akses ke SageMaker konfigurasi Anda terbatas hanya untuk pengguna yang berwenang. Batasi IAM izin yang memungkinkan pengguna mengubah SageMaker pengaturan dan sumber daya.
Remediasi
Anda tidak dapat mengubah setelan akses internet setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance dengan akses internet yang diblokir. Untuk menghapus instance notebook yang mengizinkan akses internet langsung, lihat Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan SageMaker Pengembang Amazon. Untuk membuat ulang instance notebook yang menolak akses internet, lihat Membuat instance notebook. Untuk Jaringan, akses internet langsung, pilih Nonaktifkan — Akses internet melalui a. VPC
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-instance-inside-vpc
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instance SageMaker notebook Amazon diluncurkan dalam cloud pribadi virtual kustom (VPC). Kontrol ini gagal jika instance SageMaker notebook tidak diluncurkan dalam kustom VPC atau jika diluncurkan di SageMaker layananVPC.
Subnet adalah berbagai alamat IP dalam file. VPC Sebaiknya simpan sumber daya Anda di dalam kustom VPC bila memungkinkan untuk memastikan perlindungan jaringan yang aman dari infrastruktur Anda. Amazon VPC adalah jaringan virtual yang didedikasikan untuk Anda Akun AWS. Dengan AmazonVPC, Anda dapat mengontrol akses jaringan dan konektivitas internet instans SageMaker Studio dan notebook Anda.
Remediasi
Anda tidak dapat mengubah VPC pengaturan setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance. Untuk petunjuknya, lihat Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan SageMaker Pengembang Amazon.
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
Persyaratan terkait: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Kategori: Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SageMaker::NotebookInstance
AWS Config aturan: sagemaker-notebook-instance-root-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah akses root diaktifkan untuk instance SageMaker notebook Amazon. Kontrol gagal jika akses root diaktifkan untuk instance SageMaker notebook.
Sesuai dengan prinsip hak istimewa terkecil, ini adalah praktik terbaik keamanan yang disarankan untuk membatasi akses root ke sumber daya instans untuk menghindari izin penyediaan secara tidak sengaja.
Remediasi
Untuk membatasi akses root ke instance SageMaker notebook, lihat Mengontrol akses root ke instance SageMaker notebook di Panduan SageMaker Pengembang Amazon.
[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SageMaker::EndpointConfig
AWS Config aturan: sagemaker-endpoint-config-prod-instance-count
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah varian produksi SageMaker endpoint Amazon memiliki jumlah instans awal yang lebih besar dari 1. Kontrol gagal jika varian produksi titik akhir hanya memiliki 1 instance awal.
Varian produksi yang berjalan dengan jumlah instans lebih dari 1 mengizinkan redundansi instans multi-AZ yang dikelola oleh. SageMaker Menerapkan sumber daya di beberapa Availability Zone adalah AWS praktik terbaik untuk memberikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan tinggi membantu Anda pulih dari insiden keamanan.
catatan
Kontrol ini hanya berlaku untuk konfigurasi endpoint berbasis instance.
Remediasi
Untuk informasi selengkapnya tentang parameter konfigurasi titik akhir, lihat Membuat konfigurasi titik akhir di Panduan SageMaker Pengembang Amazon.
