

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Standard delle migliori pratiche di sicurezza AI nel Security Hub CSPM
<a name="standards-ai-security"></a>

Lo standard AI Security Best Practices è un insieme di controlli di sicurezza automatizzati che rilevano quando le risorse AI distribuite non sono in linea con le migliori pratiche di sicurezza. Sviluppato da esperti AWS di sicurezza, questo standard fornisce un set curato di controlli che consentono di identificare le aree in cui i carichi di lavoro di intelligenza artificiale si discostano dalle configurazioni di sicurezza consigliate.

In AWS Security Hub CSPM, lo standard AI Security Best Practices include controlli che valutano continuamente le tue risorse. I controlli riguardano i domini di sicurezza tra cui, a titolo esemplificativo ma non esaustivo, l'isolamento della rete, la crittografia a riposo e in transito, il posizionamento dei VPCAWS KMS, l'utilizzo delle chiavi e i requisiti del registro privato. A ogni controllo viene assegnata una categoria che riflette la funzione di sicurezza a cui si applica il controllo. Per un elenco di categorie e dettagli aggiuntivi, vedere[Categorie di controllo in Security Hub CSPM](control-categories.md).

Lo standard AI Security Best Practices ha il seguente Amazon Resource Name (ARN):`arn:aws:securityhub:{{region}}::standards/ai-security-best-practices/v/1.0.0`, dove si {{region}} trova il codice regionale applicabile. Regione AWS Puoi anche utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub per recuperare l'ARN di uno standard attualmente abilitato.

## Controlli che si applicano allo standard
<a name="ai-security-standard-controls"></a>

L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AI Security Best Practices (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.
+ [[Bedrock.1] Le fonti di dati Amazon Bedrock devono essere crittografate e gestite dai clientiAWS KMSkeys](bedrock-controls.md#bedrock-1)
+ [[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC](bedrockagentcore-controls.md#bedrockagentcore-1)
+ [[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata](bedrockagentcore-controls.md#bedrockagentcore-2)
+ [[BedrockAgentCore.3] Bedrock AgentCore Memory deve essere crittografata e gestita dal clienteAWS KMSkeys](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [[BedrockAgentCore.4] Bedrock AgentCore Gateway deve essere crittografato con Customer ManagedAWS KMSkeys](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [[BedrockAgentCore.5] I browser personalizzati AgentCore Bedrock non devono utilizzare la modalità di rete pubblica](bedrockagentcore-controls.md#bedrockagentcore-5)
+ [[BedrockAgentCore.6] I browser AgentCore personalizzati Bedrock devono avere la registrazione delle sessioni abilitata](bedrockagentcore-controls.md#bedrockagentcore-6)
+ [[BedrockAgentCore.7] Gli interpreti di codice AgentCore personalizzato Bedrock devono utilizzare una configurazione di rete privata](bedrockagentcore-controls.md#bedrockagentcore-7)
+ [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le definizioni dei lavori SageMaker relativi alla qualità dei dati devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] le definizioni dei job di SageMaker model bias devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Le definizioni dei job di SageMaker model bias devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15)
+ [[SageMaker.16] SageMaker i modelli dovrebbero utilizzare il registro privato in VPC per i contenitori primari](sagemaker-controls.md#sagemaker-16)
+ [[SageMaker.17] i negozi offline del gruppo di SageMaker funzionalità devono essere crittografati conAWS KMSkeys](sagemaker-controls.md#sagemaker-17)
+ [[SageMaker.18] I negozi online del gruppo di SageMaker funzionalità con archiviazione standard devono essere crittografati conAWS KMSkeys](sagemaker-controls.md#sagemaker-18)
+ [[SageMaker.19] SageMaker i modelli dovrebbero utilizzare il registro privato in VPC per pipeline di inferenza multi-contenitore](sagemaker-controls.md#sagemaker-19)
+ [[SageMaker.20] le definizioni dei lavori di spiegabilità dei SageMaker modelli dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-20)
+ [[SageMaker.21] le istanze di SageMaker notebook devono essere crittografate e gestite dal clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-21)
+ [[SageMaker.22] le pianificazioni di SageMaker monitoraggio dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-22)
+ [[SageMaker.23] gli esperimenti di SageMaker inferenza dovrebbero avere il volume di archiviazione delle istanze crittografato e gestito dal clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-23)
+ [[SageMaker.24] gli esperimenti di SageMaker inferenza dovrebbero avere l'archiviazione dei dati crittografata e gestita dal clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-24)
+ [[SageMaker.25] le definizioni dei lavori di qualità SageMaker del modello dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-25)