보안을 위한 AI/ML

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWSSRA) 의 미래에 영향을 미치세요.

인공 지능 및 기계 학습 (AI/ML) 이 비즈니스를 변화시키고 있습니다. Amazon은 20년 이상 AI/ML에 중점을 두어 왔으며, 보안 서비스를 비롯하여 고객이 AWS에서 사용하는 많은 기능은 AI/ML을 기반으로 합니다. 보안 또는 애플리케이션 개발 팀이 AI/ML에 대한 전문 지식을 갖추지 않아도 AWS에서 안전하게 구축할 수 있기 때문에 차별화된 가치가 내장되어 있습니다.

AI는 기계와 시스템이 인텔리전스 및 예측 기능을 확보할 수 있게 해주는 고급 기술입니다. AI 시스템은 소비하거나 학습한 데이터를 통해 과거 경험을 통해 학습합니다. ML은 AI의 가장 중요한 측면 중 하나입니다. ML은 명시적으로 프로그래밍하지 않고도 컴퓨터가 데이터에서 학습할 수 있는 능력입니다. 기존 프로그래밍에서는 프로그래머가 컴퓨터 또는 컴퓨터에서 프로그램이 작동하는 방식을 정의하는 규칙을 작성합니다. ML에서 모델은 데이터로부터 규칙을 학습합니다. ML 모델은 데이터에서 숨겨진 패턴을 발견하거나 학습 중에 사용되지 않은 새 데이터에 대해 정확한 예측을 내릴 수 있습니다. 여러 AWS 서비스가 AI/ML을 사용하여 대규모 데이터 세트에서 학습하고 보안을 추론합니다.

• Amazon Macie는 ML 및 패턴 매칭을 사용하여 민감한 데이터를 검색하고 보호하는 데 도움이 되는 데이터 보안 서비스입니다. Macie는 이름, 주소, 신용 카드 번호와 같은 금융 정보와 같은 개인 식별 정보 (PII) 를 포함하여 점점 늘어나는 대규모 민감 데이터 유형을 자동으로 탐지합니다. 또한 Amazon Simple Storage Service (Amazon S3) 에 저장된 데이터를 지속적으로 파악할 수 있습니다. Macie는 다양한 유형의 데이터 세트를 기반으로 학습된 자연어 처리 (NLP) 및 ML 모델을 사용하여 기존 데이터를 이해하고 비즈니스 가치를 할당하여 비즈니스에 중요한 데이터의 우선 순위를 지정합니다. 그런 다음 Macie는 민감한 데이터 결과를 생성합니다.

• GuardDutyAmazon은 ML, 이상 탐지 및 통합 위협 인텔리전스를 사용하여 악의적인 활동과 무단 행동을 지속적으로 모니터링하여 AWS 계정, 인스턴스, 서버리스 및 컨테이너 워크로드, 사용자, 데이터베이스, 스토리지를 보호하는 위협 탐지 서비스입니다. GuardDuty AWS 계정 내의 변칙적이지만 무해한 운영 행동으로부터 잠재적으로 악의적인 사용자 활동을 식별하는 데 매우 효과적인 ML 기법이 통합되어 있습니다. 이 기능은 계정 내 API 호출을 지속적으로 모델링하고 확률적 예측을 통합하여 매우 의심스러운 사용자 행동을 보다 정확하게 구분하고 경고할 수 있습니다. 이 접근 방식은 탐지, 초기 액세스, 지속성, 권한 상승, 방어 회피, 자격 증명 액세스, 영향, 데이터 유출 등 알려진 위협 전략과 관련된 악의적인 활동을 식별하는 데 도움이 됩니다. 기계 학습을 GuardDuty 사용하는 방법에 대해 자세히 알아보려면 AWS re:Inforce 2023 브레이크아웃 세션 GuardDuty Amazon에서 기계 학습을 사용하여 새로운 결과 개발 (TDR310) 을 참조하십시오.

입증 가능한 보안

AWS는 수학적 논리를 사용하여 인프라에 대한 중요한 질문에 답하고 잠재적으로 데이터를 노출시킬 수 있는 구성 오류를 탐지하는 자동화된 추론 도구를 개발합니다. 이 기능은 클라우드와 클라우드의 보안에 대한 더 높은 보장을 제공하기 때문에 검증 가능한 보안이라고 합니다. 입증 가능한 보안은 컴퓨터 시스템에 논리적 추론을 적용하는 AI의 특정 분야인 자동 추론을 사용합니다. 예를 들어, 자동화된 추론 도구는 정책 및 네트워크 아키텍처 구성을 분석하고 잠재적으로 취약한 데이터를 노출시킬 수 있는 의도하지 않은 구성이 없음을 입증할 수 있습니다. 이 접근 방식은 클라우드의 중요한 보안 특성을 가능한 최고 수준으로 보장합니다. 자세한 내용은 AWS 웹 사이트의 검증 가능한 보안 리소스를 참조하십시오. 다음 AWS 서비스 및 기능은 현재 자동화된 추론을 사용하여 애플리케이션의 입증 가능한 보안을 달성하는 데 도움이 됩니다.

• Amazon CodeGuru Security는 ML과 자동화된 추론을 결합하여 코드의 취약성을 식별하고 이러한 취약성을 수정하고 종료될 때까지 상태를 추적하는 방법에 대한 권장 사항을 제공하는 정적 애플리케이션 보안 테스트 (SAST) 도구입니다. CodeGuru 보안은 오픈 월드와이드 애플리케이션 보안 프로젝트 (OWASP) 에서 식별한 상위 10개 문제, 공통 약점 열거 (CWE), 로그 삽입, 비밀, AWS API 및 SDK의 안전하지 않은 사용으로 식별된 상위 25개 문제를 탐지합니다. CodeGuru 보안은 또한 AWS 보안 모범 사례를 차용하여 Amazon에서 수백만 줄의 코드에 대해 교육을 받았습니다.

  CodeGuru 보안은 심층적인 시맨틱 분석을 통해 매우 높은 트루 포지티브 비율로 코드 취약성을 식별할 수 있습니다. 이를 통해 개발자와 보안 팀은 지침에 대한 확신을 가질 수 있으며, 결과적으로 품질이 향상됩니다. 이 서비스는 룰 마이닝과 로지스틱 회귀 분석 및 신경망을 함께 사용하는 감독형 ML 모델을 사용하여 학습됩니다. 예를 들어 민감한 데이터 유출에 대비하여 훈련하는 동안 CodeGuru 보안에서는 리소스를 사용하거나 민감한 데이터에 액세스하는 코드 경로에 대해 전체 코드 분석을 수행하고, 이를 나타내는 기능 세트를 만든 다음, 코드 경로를 로지스틱 회귀 모델 및 CNN (컨볼루션 신경망) 의 입력으로 사용합니다. CodeGuru 보안 버그 추적 기능은 버그가 종료되면 자동으로 탐지합니다. 버그 추적 알고리즘을 사용하면 추가 작업 없이 조직의 보안 태세에 대한 up-to-date 정보를 확보할 수 있습니다. 코드 검토를 시작하려면 콘솔의 GitHub 엔터프라이즈 GitHub, Bitbucket 또는 CodeCommit AWS에 있는 기존 코드 리포지토리를 연결할 수 있습니다. CodeGuru CodeGuru 보안 API 기반 설계는 개발 워크플로의 모든 단계에서 사용할 수 있는 통합 기능을 제공합니다.

• Amazon Verified Permissions는 사용자가 구축하는 애플리케이션을 위한 확장 가능한 권한 관리 및 세분화된 권한 부여 서비스입니다. 검증된 권한은 자동화된 추론 및 차등 테스트를 사용하여 구축된 액세스 제어를 위한 오픈 소스 언어인 Cedar를 사용합니다. Cedar는 누가 어떤 리소스에 액세스할 수 있어야 하는지를 설명하는 정책으로 권한을 정의하는 데 사용되는 언어입니다. 또한 이러한 정책을 평가하기 위한 사양이기도 합니다. Cedar 정책을 사용하여 애플리케이션의 각 사용자가 수행할 수 있는 작업과 액세스할 수 있는 리소스를 제어할 수 있습니다. Cedar 정책은 사용자가 리소스에 대해 조치를 취할 수 있는지 여부를 결정하는 허용 또는 금지 선언문입니다. 정책은 리소스와 연결되어 있으며 리소스에 여러 정책을 연결할 수 있습니다. 금지 정책이 허가 정책보다 우선합니다. 애플리케이션 사용자가 리소스에서 작업을 수행하려고 하면 애플리케이션은 Cedar 정책 엔진에 권한 부여를 요청합니다. Cedar는 적용 가능한 정책을 평가하고 OR 결정을 반환합니다ALLOW. DENY Cedar는 모든 유형의 주체 및 리소스에 대한 권한 부여 규칙을 지원하고, 역할 기반 및 속성 기반 액세스 제어를 허용하고, 정책을 최적화하고 보안 모델을 검증하는 데 도움이 되는 자동화된 추론 도구를 통한 분석을 지원합니다.

• AWS ID 및 액세스 관리 (IAM) 액세스 분석기는 권한 관리를 간소화하는 데 도움이 됩니다. 이 기능을 사용하여 권한을 세밀하게 설정하고, 의도한 권한을 확인하고, 사용하지 않는 액세스를 제거하여 권한을 조정할 수 있습니다. IAM Access Analyzer는 로그에 캡처된 액세스 활동을 기반으로 세분화된 정책을 생성합니다. 또한 정책을 작성하고 검증하는 데 도움이 되는 100개 이상의 정책 검사를 제공합니다. IAM Access Analyzer는 입증 가능한 보안을 사용하여 액세스 경로를 분석하고 리소스에 대한 공개 및 계정 간 액세스에 대한 포괄적인 결과를 제공합니다. 이 도구는 Zelkova를 기반으로 구축되었습니다. Zelkova는 IAM 정책을 동등한 논리적 명령문으로 변환하고 문제에 대한 범용 및 특수 논리 해결사 모음 (만족도 모듈 이론) 을 실행합니다. IAM Access Analyzer는 정책의 내용에 따라 정책이 허용하는 행동 클래스를 특성화하기 위해 점점 더 구체적인 쿼리가 있는 Zelkova를 정책에 반복적으로 적용합니다. 분석기는 외부 개체가 신뢰 영역 내의 리소스에 액세스했는지 여부를 확인하기 위해 액세스 로그를 검사하지 않습니다. 외부 엔티티가 리소스에 액세스하지 않았더라도 리소스 기반 정책에서 리소스에 대한 액세스를 허용하는 경우 결과를 생성합니다. 만족도 모듈로 이론에 대해 자세히 알아보려면 만족도 핸드북의 만족도 모듈로 이론을 참조하십시오. ^*

• Amazon S3 퍼블릭 액세스 차단은 Amazon S3의 기능으로, 이를 통해 버킷과 객체에 대한 퍼블릭 액세스로 이어질 수 있는 구성 오류를 차단할 수 있습니다. 버킷 수준 또는 계정 수준에서 Amazon S3 Block Public Access를 활성화할 수 있습니다 (계정의 기존 버킷과 새 버킷 모두에 영향을 미침). ACL(액세스 제어 목록), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다. Zelkova 자동 추론 시스템을 사용하여 특정 정책 또는 ACL을 퍼블릭으로 간주할지 여부를 결정합니다. Amazon S3는 Zelkova를 사용하여 각 버킷 정책을 확인하고 권한이 없는 사용자가 버킷을 읽거나 쓸 수 있는 경우 경고를 표시합니다. 버킷이 공개로 플래그가 지정되면 일부 공개 요청은 해당 버킷에 액세스할 수 있습니다. 버킷이 공개되지 않은 것으로 플래그가 지정되면 모든 공개 요청이 거부됩니다. Zelkova는 IAM 정책을 수학적으로 정확하게 표현하기 때문에 이러한 결정을 내릴 수 있습니다. 각 정책에 대한 공식을 만들고 해당 공식에 대한 정리를 증명합니다.

• Amazon VPC 네트워크 액세스 분석기는 리소스에 대한 잠재적 네트워크 경로를 이해하고 의도하지 않은 잠재적 네트워크 액세스를 식별하는 데 도움이 되는 Amazon VPC의 기능입니다. 네트워크 액세스 분석기를 사용하면 네트워크 세분화를 확인하고, 인터넷 접근성을 식별하고, 신뢰할 수 있는 네트워크 경로와 네트워크 액세스를 확인할 수 있습니다. 이 기능은 자동 추론 알고리즘을 사용하여 패킷이 AWS 네트워크의 리소스 간에 이동할 수 있는 네트워크 경로를 분석합니다. 그런 다음 아웃바운드 및 인바운드 트래픽 패턴을 정의하는 네트워크 액세스 범위와 일치하는 경로를 검색합니다. Network Access Analyzer는 네트워크 구성의 정적 분석을 수행합니다. 즉, 이 분석의 일환으로 네트워크에서 패킷이 전송되지 않습니다.

• Amazon VPC 접근성 분석기는 AWS 네트워크의 연결을 디버깅, 이해 및 시각화할 수 있게 해주는 Amazon VPC의 기능입니다. Reachability Analyzer는 Virtual Private Cloud(VPC)에서 소스 리소스와 대상 리소스 간의 연결을 테스트할 수 있는 구성 분석 도구입니다. 대상에 도달할 수 있는 경우 Reachability Analyzer는 소스와 대상 간의 hop-by-hop 가상 네트워크 경로에 대한 세부 정보를 생성합니다. 대상에 도달할 수 없는 경우 Reachability Analyzer는 차단 구성 요소를 식별합니다. Reachability Analyzer는 자동화된 추론을 사용하여 소스와 대상 간의 네트워크 구성 모델을 구축하여 실행 가능한 경로를 식별합니다. 그런 다음 구성을 기반으로 도달 가능성을 확인합니다. 패킷을 전송하거나 데이터 플레인을 분석하지 않습니다.

^* 비에르, A. M. 휴, H. 반 마렌, T. 월시 2009. 만족도 핸드북. IOS 프레스, NLD.