KI/ML für Sicherheit - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KI/ML für Sicherheit

Nehmen Sie an einer kurzen Umfrage teil, um die future der AWS Security Reference Architecture (AWS SRA) mitzugestalten.

Künstliche Intelligenz und maschinelles Lernen (AI/ML) is transforming businesses. AI/ML has been a focus for Amazon for over 20 years, and many of the capabilities customers use with AWS, including security services, are driven by AI/ML. This creates a built-in differentiated value, because you can build securely on AWS without requiring your security or application development teams to have expertise in AI/ML.

KI ist eine fortschrittliche Technologie, die es Maschinen und Systemen ermöglicht, Intelligenz und Vorhersagefähigkeit zu erlangen. KI-Systeme lernen aus früheren Erfahrungen anhand von Daten, die sie nutzen oder anhand derer sie trainiert werden. ML ist einer der wichtigsten Aspekte der KI. ML ist die Fähigkeit von Computern, aus Daten zu lernen, ohne explizit programmiert zu werden. Bei der traditionellen Programmierung schreibt der Programmierer Regeln, die definieren, wie das Programm auf einem Computer oder einer Maschine funktionieren soll. In ML lernt das Modell die Regeln aus Daten. ML-Modelle können verborgene Muster in den Daten entdecken oder genaue Vorhersagen für neue Daten treffen, die beim Training nicht verwendet wurden. Mehrere AWS Dienste nutzen KI/ML, um aus riesigen Datensätzen zu lernen und Sicherheitsrückschlüsse zu ziehen.

  • Amazon Macie ist ein Datensicherheitsservice, der maschinelles Lernen und Musterabgleich verwendet, um Ihre sensiblen Daten zu erkennen und zu schützen. Macie erkennt automatisch eine große und ständig wachsende Liste sensibler Datentypen, darunter personenbezogene Daten (PII) wie Namen, Adressen und Finanzinformationen wie Kreditkartennummern. Außerdem erhalten Sie ständigen Einblick in Ihre Daten, die in Amazon Simple Storage Service (Amazon S3) gespeichert sind. Macie verwendet Modelle zur Verarbeitung natürlicher Sprache (NLP) und maschinelles Lernen, die anhand verschiedener Arten von Datensätzen trainiert wurden, um Ihre vorhandenen Daten zu verstehen und Geschäftswerte zuzuweisen, um geschäftskritische Daten zu priorisieren. Macie generiert dann Ergebnisse aus sensiblen Daten.

  • Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der ML, Anomalieerkennung und integrierte Bedrohungsinformationen verwendet, um kontinuierlich nach böswilligen Aktivitäten und unberechtigtem Verhalten zu suchen, um Ihre AWS Konten, Instances, serverlosen und Container-Workloads, Benutzer, Datenbanken und Speicher zu schützen. GuardDuty verwendet ML-Techniken, die äußerst effektiv sind, um potenziell bösartige Benutzeraktivitäten von anomalem, aber harmlosem Betriebsverhalten innerhalb von Konten zu unterscheiden. AWS Diese Funktion modelliert kontinuierlich API Aufrufe innerhalb eines Kontos und berücksichtigt probabilistische Vorhersagen, um äußerst verdächtiges Benutzerverhalten genauer zu isolieren und Warnmeldungen zu erhalten. Dieser Ansatz hilft bei der Identifizierung bösartiger Aktivitäten im Zusammenhang mit bekannten Bedrohungstaktiken wie Entdeckung, Erstzugriff, Persistenz, Rechteerweiterung, Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Auswirkung und Datenexfiltration. Weitere Informationen zur GuardDuty Verwendung von maschinellem Lernen finden Sie in der AWS re:INFORCE 2023 Breakout-Session Developing new findings using machine learning in Amazon GuardDuty (0). TDR31

Nachweisbare Sicherheit

AWSentwickelt automatisierte Argumentationswerkzeuge, die mathematische Logik verwenden, um kritische Fragen zu Ihrer Infrastruktur zu beantworten und Fehlkonfigurationen zu erkennen, die Ihre Daten potenziell preisgeben könnten. Diese Fähigkeit wird als nachweisbare Sicherheit bezeichnet, da sie ein höheres Maß an Sicherheit in der Cloud und in der Cloud bietet. Bei nachweisbarer Sicherheit kommt automatisiertes Denken zum Einsatz. Dabei handelt es sich um eine spezielle Disziplin der KI, bei der logische Schlussfolgerungen auf Computersysteme angewendet werden. Tools für automatisiertes Denken können beispielsweise Richtlinien und Konfigurationen der Netzwerkarchitektur analysieren und nachweisen, dass keine unbeabsichtigten Konfigurationen vorliegen, die potenziell anfällige Daten preisgeben könnten. Dieser Ansatz bietet das höchstmögliche Maß an Sicherheit für die kritischen Sicherheitsmerkmale der Cloud. Weitere Informationen finden Sie auf der AWS Website unter Bewährte Sicherheitsressourcen. Die folgenden AWS Dienste und Funktionen verwenden derzeit automatisiertes Denken, um Ihnen dabei zu helfen, nachweisbare Sicherheit für Ihre Anwendungen zu erreichen:

  • Amazon CodeGuru Security ist ein Tool zum Testen der statischen Anwendungssicherheit (SAST), das maschinelles Lernen und automatisiertes Denken kombiniert, um Schwachstellen in Ihrem Code zu identifizieren und Empfehlungen zur Behebung dieser Sicherheitslücken zu geben und ihren Status bis zur Schließung zu verfolgen. CodeGuru Security erkennt die 10 häufigsten Probleme, die vom Open Worldwide Application Security Project (OWASP) identifiziert wurden, die 25 häufigsten Probleme, die anhand von Common Weakness Enumeration (CWE) identifiziert wurden, Log-Injection, Geheimnisse und die unsichere Verwendung von und. AWS APIs SDKs CodeGuru Die Sicherheit orientiert sich auch an bewährten AWS Sicherheitsmethoden und wurde bei Amazon an Millionen von Codezeilen geschult.

    CodeGuru Die Sicherheitsabteilung kann aufgrund ihrer tiefgreifenden semantischen Analyse Sicherheitslücken im Code mit einer sehr hohen True-Positive-Rate identifizieren. Dies hilft Entwicklern und Sicherheitsteams, Vertrauen in die Leitlinien zu haben, was zu einer Qualitätssteigerung führt. Dieser Service wird mithilfe von Rule Mining und überwachten ML-Modellen trainiert, die eine Kombination aus logistischer Regression und neuronalen Netzwerken verwenden. Beispielsweise führt CodeGuru Security beim Training für sensible Datenlecks eine vollständige Codeanalyse für Codepfade durch, die die Ressource verwenden oder auf sensible Daten zugreifen, erstellt einen Funktionsumfang, der diese repräsentiert, und verwendet dann die Codepfade als Eingaben für logistische Regressionsmodelle und neuronale Faltungsnetzwerke (). CNNs Die CodeGuru Sicherheitsfehlerverfolgungsfunktion erkennt automatisch, wenn ein Fehler geschlossen wurde. Der Algorithmus zur Fehlerverfolgung stellt sicher, dass Sie ohne zusätzlichen Aufwand up-to-date über Informationen zum Sicherheitsstatus Ihres Unternehmens verfügen. Um mit der Überprüfung des Codes zu beginnen, kannst du deine vorhandenen Code-Repositorys auf GitHub Enterprise GitHub, Bitbucket oder AWS CodeCommit auf der Konsole verknüpfen. CodeGuru Das CodeGuru API sicherheitsorientierte Design bietet Integrationsfunktionen, die Sie in jeder Phase des Entwicklungsworkflows nutzen können.

  • Amazon Verified Permissions ist ein skalierbares Berechtigungsmanagement und ein detaillierter Autorisierungsservice für die von Ihnen erstellten Anwendungen. Verified Permissions verwendet Cedar, eine Open-Source-Sprache für die Zugriffskontrolle, die mithilfe automatisierter Argumentation und Differenztests entwickelt wurde. Cedar ist eine Sprache zur Definition von Berechtigungen als Richtlinien, die beschreiben, wer Zugriff auf welche Ressourcen haben sollte. Es ist auch eine Spezifikation für die Bewertung dieser Richtlinien. Verwenden Sie die Richtlinien von Cedar, um zu kontrollieren, was jeder Benutzer Ihrer Anwendung tun darf und auf welche Ressourcen er zugreifen darf. Bei den Richtlinien von Cedar handelt es sich um Zulassungs- oder Verbotserklärungen, die festlegen, ob ein Benutzer auf eine Ressource einwirken kann. Richtlinien sind mit Ressourcen verknüpft, und Sie können einer Ressource mehrere Richtlinien zuordnen. Verbotene Richtlinien haben Vorrang vor Genehmigungsrichtlinien. Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, sendet Ihre Anwendung eine Autorisierungsanfrage an die Cedar Policy Engine. Cedar bewertet die geltenden Richtlinien und gibt eine ALLOW DENY Oder-Entscheidung zurück. Cedar unterstützt Autorisierungsregeln für alle Arten von Prinzipalen und Ressourcen, ermöglicht eine rollen- und attributbasierte Zugriffskontrolle und unterstützt Analysen mithilfe automatisierter Argumentationstools, mit denen Sie Ihre Richtlinien optimieren und Ihr Sicherheitsmodell validieren können.

  • AWSIdentity and Access Management (IAM) Access Analyzer hilft Ihnen dabei, die Rechteverwaltung zu optimieren. Mit dieser Funktion können Sie detaillierte Berechtigungen festlegen, beabsichtigte Berechtigungen überprüfen und Berechtigungen verfeinern, indem Sie ungenutzten Zugriff entfernen. IAMAccess Analyzer generiert eine detaillierte Richtlinie, die auf den in Ihren Protokollen erfassten Zugriffsaktivitäten basiert. Es bietet außerdem über 100 Richtlinienprüfungen, die Sie bei der Erstellung und Validierung Ihrer Richtlinien unterstützen. IAMAccess Analyzer nutzt nachweisbare Sicherheit, um Zugriffspfade zu analysieren und umfassende Erkenntnisse für den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressourcen bereitzustellen. Dieses Tool basiert auf Zelkova, das IAM Richtlinien in äquivalente logische Aussagen übersetzt und eine Reihe von allgemeinen und speziellen logischen Lösungsansätzen (Erfüllbarkeitsmodulo-Theorien) zur Lösung des Problems einsetzt. IAMAccess Analyzer wendet Zelkova wiederholt auf eine Richtlinie mit immer spezifischeren Abfragen an, um die Verhaltensklassen zu charakterisieren, die die Richtlinie je nach Inhalt der Richtlinie zulässt. Der Analyzer untersucht keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität auf eine Ressource in Ihrer Vertrauenszone zugegriffen hat. Es wird ein Ergebnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource ermöglicht, auch wenn die externe Entität nicht auf die Ressource zugegriffen hat. Weitere Informationen zu den Modulo-Theorien zur Erfüllbarkeit finden Sie unter Modulo-Theorien zur Erfüllbarkeit im Handbuch zur Zufriedenheit. *

  • Amazon S3 Block Public Access ist eine Funktion von Amazon S3, mit der Sie mögliche Fehlkonfigurationen blockieren können, die zu einem öffentlichen Zugriff auf Ihre Buckets und Objekte führen könnten. Sie können Amazon S3 Block Public Access auf Bucket- oder Kontoebene aktivieren (was sich sowohl auf bestehende als auch auf neue Buckets im Konto auswirkt). Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt. Die Entscheidung, ob eine bestimmte Richtlinie als öffentlich angesehen ACL wird, erfolgt mithilfe des automatisierten Argumentationssystems von Zelkova. Amazon S3 verwendet Zelkova, um jede Bucket-Richtlinie zu überprüfen, und warnt Sie, wenn ein nicht autorisierter Benutzer in der Lage ist, Ihren Bucket zu lesen oder in ihn zu schreiben. Wenn ein Bucket als öffentlich gekennzeichnet ist, dürfen einige öffentliche Anfragen auf den Bucket zugreifen. Wenn ein Bucket als nicht öffentlich gekennzeichnet ist, werden alle öffentlichen Anfragen abgelehnt. Zelkova ist in der Lage, solche Entscheidungen zu treffen, weil sie über eine präzise mathematische Darstellung der Politiken verfügt. IAM Sie erstellt für jede Politik eine Formel und beweist einen Satz über diese Formel.

  • Amazon VPC Network Access Analyzer ist eine Funktion von AmazonVPC, die Ihnen hilft, potenzielle Netzwerkpfade zu Ihren Ressourcen zu verstehen und potenzielle unbeabsichtigte Netzwerkzugriffe zu identifizieren. Network Access Analyzer hilft Ihnen dabei, die Netzwerksegmentierung zu überprüfen, den Internetzugang zu ermitteln und vertrauenswürdige Netzwerkpfade und Netzwerkzugriffe zu verifizieren. Diese Funktion verwendet automatische Argumentationsalgorithmen, um die Netzwerkpfade zu analysieren, die ein Paket zwischen Ressourcen in einem AWS Netzwerk nehmen kann. Anschließend werden Ergebnisse für Pfade generiert, die Ihren Netzwerkzugriffsbereichen entsprechen, die Muster für ausgehenden und eingehenden Datenverkehr definieren. Network Access Analyzer führt eine statische Analyse einer Netzwerkkonfiguration durch, was bedeutet, dass im Rahmen dieser Analyse keine Pakete im Netzwerk übertragen werden.

  • Amazon VPC Reachability Analyzer ist eine Funktion von AmazonVPC, mit der Sie die Konnektivität in Ihrem Netzwerk debuggen, verstehen und visualisieren können. AWS Reachability Analyzer ist ein Tool zur Konfigurationsanalyse, mit dem Sie Konnektivitätstests zwischen einer Quellressource und einer Zielressource in Ihren virtuellen privaten Clouds () VPCs durchführen können. Wenn das Ziel erreichbar ist, erzeugt Reachability Analyzer hop-by-hop Details zum virtuellen Netzwerkpfad zwischen der Quelle und dem Ziel. Wenn das Ziel nicht erreichbar ist, identifiziert Reachability Analyzer die blockierende Komponente. Reachability Analyzer verwendet automatisiertes Denken, um praktikable Pfade zu identifizieren, indem er ein Modell der Netzwerkkonfiguration zwischen einer Quelle und einem Ziel erstellt. Anschließend wird anhand der Konfiguration geprüft, ob die Erreichbarkeit gewährleistet ist. Es sendet keine Pakete und analysiert auch nicht die Datenebene.

* Biere, A.M. Heule, H. van Maaren und T. Walsh. 2009. Handbuch zur Zufriedenheit. IOSDrücken Sie,. NLD