Contrôles Security Hub pour SageMaker - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour SageMaker

Ces AWS Security Hub les contrôles évaluent le SageMaker service et les ressources Amazon.

Ces commandes peuvent ne pas être disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

AWS Config règle : sagemaker-notebook-no-direct-internet-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de SageMaker bloc-notes. Le contrôle échoue si le DirectInternetAccess champ est activé pour l'instance de bloc-notes.

Si vous configurez votre SageMaker instance sans unVPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur Disable—Accédez à Internet via un. VPC Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour activer l'accès à Internet, vous VPC devez disposer soit d'un point de terminaison d'interface (AWS PrivateLink) ou une NAT passerelle et un groupe de sécurité qui autorisent les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'unVPC, consultez Connecter une instance de bloc-notes aux ressources d'un VPC dans le manuel Amazon SageMaker Developer Guide. Vous devez également vous assurer que l'accès à votre SageMaker configuration est limité aux seuls utilisateurs autorisés. Limitez IAM les autorisations qui permettent aux utilisateurs de modifier SageMaker les paramètres et les ressources.

Correction

Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker Developer Guide. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, voir Création d'une instance de bloc-notes. Pour Réseau, Accès direct à Internet, choisissez Désactiver : accéder à Internet via un. VPC

[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Ressources contenues dans VPC

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

AWS Config règle : sagemaker-notebook-instance-inside-vpc

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une instance de SageMaker bloc-notes Amazon est lancée dans un cloud privé virtuel personnalisé (VPC). Ce contrôle échoue si une instance de SageMaker bloc-notes n'est pas lancée dans un VPC compte personnalisé ou si elle est lancée dans le SageMaker serviceVPC.

Les sous-réseaux sont une plage d'adresses IP au sein d'unVPC. Nous vous recommandons de conserver vos ressources dans un environnement personnalisé dans la VPC mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre Compte AWS. Avec un AmazonVPC, vous pouvez contrôler l'accès réseau et la connectivité Internet de vos instances SageMaker Studio et Notebook.

Correction

Vous ne pouvez pas modifier le VPC paramètre après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker Developer Guide.

[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

Exigences associées : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

Catégorie : Protection > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

AWS Config règle : sagemaker-notebook-instance-root-access-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'accès root est activé pour une instance de SageMaker bloc-notes Amazon. Le contrôle échoue si l'accès root est activé pour une instance de SageMaker bloc-notes.

Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.

Correction

Pour restreindre l'accès root aux instances de SageMaker bloc-notes, consultez la section Contrôler l'accès root à une instance de SageMaker bloc-notes dans le manuel Amazon SageMaker Developer Guide.

[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::SageMaker::EndpointConfig

AWS Config règle : sagemaker-endpoint-config-prod-instance-count

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le nombre d'instances initial des variantes de production d'un point de SageMaker terminaison Amazon est supérieur à 1. Le contrôle échoue si les variantes de production du point de terminaison ne possèdent qu'une seule instance initiale.

Les variantes de production exécutées avec un nombre d'instances supérieur à 1 autorisent la redondance des instances multi-AZ gérée par. SageMaker Le déploiement de ressources dans plusieurs zones de disponibilité est un AWS les meilleures pratiques pour garantir une haute disponibilité au sein de votre architecture. La haute disponibilité vous aide à vous remettre d'un incident de sécurité.

Note

Ce contrôle s'applique uniquement à la configuration du point de terminaison basée sur l'instance.

Correction

Pour plus d'informations sur les paramètres de configuration d'un point de terminaison, consultez la section Créer une configuration de point de terminaison dans le manuel Amazon SageMaker Developer Guide.