用於安全性的AI/ML - AWS 規範指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於安全性的AI/ML

通過進行簡短的調查來影響AWS安全參考架構(AWSSRA)的 future。

人工智慧和機器學習 (AI/ML) 正在轉型企業。AI/ML 一直是 Amazon 超過 20 年的重點,客戶在 AWS 上使用的許多功能 (包括安全服務) 都是由 AI/ML 驅動。這會產生內建的差異化價值,因為您可以在 AWS 上安全地建置,而不需要您的安全或應用程式開發團隊具備 AI/ML 專業知識。

AI 是一種先進的技術,可讓機器和系統獲得智慧和預測能力。AI 系統透過消耗或接受訓練的資料,從過去的經驗中學習。ML 是 AI 最重要的方面之一。ML 是計算機從數據中學習而不被明確編程的能力。在傳統的編程中,程序員編寫定義程序應該如何在計算機或機器上工作的規則。在 ML 中,模型會從資料中學習規則。ML 模型可以探索資料中隱藏的模式,或對訓練期間未使用的新資料做出準確的預測。多個 AWS 服務使用 AI/ML 從龐大的資料集中學習,並進行安全推論。

  • Amazon Macie 是一種資料安全服務,使用機器學習和模式比對來探索並協助保護您的敏感資料。Macie 會自動偵測龐大且不斷增加的敏感資料類型清單,包括個人識別資訊 (PII),例如姓名、地址和財務資訊,例如信用卡號碼。它還可讓您持續掌握存放在 Amazon 簡單儲存服務 (Amazon S3) 中的資料。Macie 會使用針對不同類型資料集進行訓練的自然語言處理 (NLP) 和 ML 模型,以瞭解您現有的資料,並指派業務價值以排定業務關鍵資料的優先順序。然後 Macie 生成敏感數據發現

  • Amazon GuardDuty 是一種威脅偵測服務,使用機器學習、異常偵測和整合式威脅情報持續監控惡意活動和未經授權的行為,以協助保護您的 AWS 帳戶、執行個體、無伺服器和容器工作負載、使用者、資料庫和儲存。 GuardDuty 整合了 ML 技術,這些技術對於 AWS 帳戶內異常但良性操作行為的潛在惡意使用者活動非常有效。此功能可持續在帳戶內建立 API 叫用模型,並納入概率預測,以便更精確地隔離並針對高度可疑的使用者行為提出警示。此方法有助於識別與已知威脅策略相關的惡意活動,包括探索、初始存取、持續性、權限提升、防禦規避、憑證存取、影響和資料外洩。要進一步了解如何 GuardDuty使用機器學習,請參閱 AWS RE:InForce 2023 分組討論會在 Amazon 中使用機器學習開發新的發現結果 (TDR310)。 GuardDuty

可證明的安全性

AWS 開發了使用數學邏輯的自動推理工具來回答有關基礎設施的關鍵問題,並偵測可能會暴露資料的錯誤設定。此功能稱為可證明的安全性,因為它在雲端和雲端的安全性方面提供了更高的保證。可證明的安全性使用自動推理,這是 AI 的一種特定學科,可將邏輯演繹應用於計算機系統。例如,自動推理工具可以分析原則和網路架構組態,並證明沒有可能暴露易受攻擊資料的非預期組態。此方法可為雲端的關鍵安全性特性提供最高等級的保證。如需詳細資訊,請參閱 AWS 網站上的可證明安全資源。下列 AWS 服務和功能目前使用自動推理來協助您為應用程式實現可證明的安全性:

  • Amazon CodeGuru Security 是一種靜態應用程式安全測試 (SAST) 工具,結合了 ML 和自動推理功能,以識別程式碼中的弱點,並提供如何修正這些弱點並追蹤其狀態直到關閉的建議。 CodeGuru 安全性可偵測開放全球應用程式安全專案 (OWASP) 所識別的前 10 個問題,這是常見弱點列舉 (CWE)、記錄插入、機密,以及 AWS API 和 SDK 不安全使用所識別的前 25 個問題。 CodeGuru 安全性也借用 AWS 安全最佳實務,並在 Amazon 接受了數百萬行程式碼的訓練。

    CodeGuru 由於其深入的語義分析,安全性可以識別具有非常高真正率的代碼漏洞。這有助於開發人員和安全團隊對指導有信心,從而提高質量。這項服務是透過使用邏輯迴歸和神經網路組合的規則探勘和受監督的 ML 模型進行訓練。例如,在敏感資料洩漏的訓練期間, CodeGuru Security 會針對使用資源或存取敏感資料的程式碼路徑執行完整的程式碼分析,建立代表這些資料的功能集,然後使用程式碼路徑做為邏輯迴歸模型和卷積神經網路 (CNN) 的輸入。 CodeGuru 安全性錯誤追蹤功能會在關閉錯誤時自動偵測。錯誤追蹤演算法可確保您取得組織安全性狀態的 up-to-date 資訊,而不需要額外的努力。若要開始檢閱程式碼,您可以在 CodeGuru 主控台上建立 GitHub 企業 GitHub、Bitbucket 或 AWS 上的現有程式碼儲存庫建立 CodeCommit 關聯。以 CodeGuru 安全性 API 為基礎的設計提供整合功能,您可以在開發工作流程的任何階段使用這些功能。

  • Amazon 驗證許可是可擴展的許可管理和精細的授權服務,適用於您建置的應用程式。驗證權限使用 Cedar,Cedar 是一種開放原始碼的存取控制語言,是使用自動推理和差異測試所建置的。Cedar 是一種將權限定義為原則的語言,用來描述哪些人可以存取哪些資源。它也是評估這些政策的規範。使用 Cedar 原則來控制每位應用程式使用者可執行的動作,以及他們可以存取哪些資源。Cedar 原則是決定使用者是否可以對資源採取行動的可或禁止陳述。策略與資源相關聯,您可以將多個策略附加到資源。禁止政策覆蓋許可政策。當應用程式的使用者嘗試對資源執行動作時,您的應用程式會向 Cedar 原則引擎發出授權要求。Cedar 會評估適用的政策,並傳回ALLOWDENY決策。Cedar 支援任何類型的主體和資源的授權規則,允許以角色為基礎和以屬性為基礎的存取控制,並透過自動推理工具支援分析,協助您最佳化原則並驗證您的安全模型。

  • AWS Identity and Access Management (IAM) 存取分析器可協助您簡化許可管理。您可以使用此功能來設定精細的權限、驗證預定的權限,以及移除未使用的存取權限來調整權限。IAM 存取分析器會根據記錄中擷取的存取活動產生精細的政策。它也提供超過 100 項原則檢查,協助您撰寫和驗證原則。IAM Access Analyzer 使用可證明的安全性來分析存取路徑,並為公共和跨帳戶存取您的資源提供全面的調查結果。該工具建立在 Zelkova 上,它將 IAM 政策轉換為等效的邏輯語句,並針對問題運行一套通用和專門的邏輯求解器(可滿足性模塊理論)。IAM Access Analyzer 會將 Zelkova 重複套用至具有越來越特定查詢的政策,以根據政策的內容來描述政策允許的行為類別特徵。分析器不會檢查存取記錄,以判斷外部實體是否存取您信任區域內的資源。當以資源為基礎的政策允許存取資源時,即使外部實體未存取資源,它也會產生一個發現項目。要了解有關可滿足性模塊理論的更多信息,請參閱可滿足性手冊中的可滿足性模塊理論。 *

  • Amazon S3 區塊公開存取是 Amazon S3 的一項功能,可讓您封鎖可能導致儲存貯體和物件公開存取的錯誤設定。您可以在儲存貯體層級或帳戶層級啟用 Amazon S3 區塊公開存取 (這會影響帳戶中的現有和新儲存貯體)。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。通過使用 Zelkova 自動推理系統來確定給定策略或 ACL 是否被認為是公開的。Amazon S3 使用 Zelkova 檢查每個儲存貯體政策,並在未經授權的使用者能夠讀取或寫入儲存貯體時發出警告。如果值區被標記為 public,則允許某些公開要求存取值區。如果值區被標記為非公開,則會拒絕所有公開要求。Zelkova 能夠做出這樣的決定,因為它具有 IAM 政策的精確數學表示法。它為每個策略創建一個公式,並證明了有關該公式的定理。

  • Amazon VPC 網路存取分析器是 Amazon VPC 的一項功能,可協助您瞭解資源的潛在網路路徑,並識別潛在的意外網路存取。網路存取分析器可協助您驗證網路分段、識別網際網路存取性,以及驗證信任的網路路徑和網路存取。此功能使用自動推理演算法來分析資料包在 AWS 網路中資源之間可採用的網路路徑。然後,它會針對符合您網路存取範圍的路徑產生發現項目,以定義輸出和輸入流量模式。網路存取分析程式會執行網路組態的靜態分析,這表示不會在網路中傳輸封包做為此分析的一部分。

  • Amazon VPC 可 Reachability Analyzer 是 Amazon VPC 的一項功能,可讓您在 AWS 網路中偵錯、了解和視覺化連線。Reachability Analyzer 是一種組態分析工具,可讓您在虛擬私有雲端 (VPC) 中的來源資源和目的地資源之間執行連線測試。到達目的地時,可 Reachability Analyzer 會產生來源和目的地之間虛擬網路路徑的 hop-by-hop 詳細資料。無法連線到目的地時,可 Reachability Analyzer 會識別封鎖元件。Reachability Analyzer 使用自動推理,通過在源和目的地之間構建網絡配置的模型來識別可行的路徑。然後,它會根據組態檢查可達性。它不會傳送封包或分析資料平面。

* 比爾, A. 休爾, H. 範馬倫, 和 T. 沃爾什. 二零零九 滿意度手冊。IOS 新聞中心, 國家衛生署.