보안을 위한 AI/ML

Amazon Macie는 ML 및 패턴 일치를 사용하여 민감한 데이터를 검색하고 보호하는 데 도움이 되는 데이터 보안 서비스입니다. Macie는 이름, 주소, 신용카드 번호와 같은 금융 정보와 같은 개인 식별 정보(PII)를 포함하여 점점 증가하는 대규모 민감한 데이터 유형을 자동으로 감지합니다. 또한 Amazon Simple Storage Service(Amazon S3)에 저장된 데이터를 지속적으로 볼 수 있습니다. Macie는 다양한 유형의 데이터 세트에 대해 훈련된 자연어 처리(NLP) 및 ML 모델을 사용하여 기존 데이터를 이해하고 비즈니스 크리티컬 데이터의 우선 순위를 지정하는 비즈니스 값을 할당합니다. 그런 다음 Macie는 민감한 데이터 조사 결과를 생성합니다.

Amazon GuardDuty는 ML, 이상 탐지 및 통합 위협 인텔리전스를 사용하여 악의적인 활동 및 무단 동작을 지속적으로 모니터링하여 AWS 계정, 인스턴스, 서버리스 및 컨테이너 워크로드, 사용자, 데이터베이스 및 스토리지를 보호하는 위협 탐지 서비스입니다. GuardDuty는 잠재적으로 악성 사용자 활동을 AWS 계정 내에서 변칙적이지만 정상적인 운영 동작과 구분하는 데 매우 효과적인 ML 기술을 통합합니다. 이 기능은 계정 내에서 API 호출을 지속적으로 모델링하고 확률 예측을 통합하여 매우 의심스러운 사용자 동작을 보다 정확하게 격리하고 경고합니다. 이 접근 방식은 검색, 초기 액세스, 지속성, 권한 에스컬레이션, 방어 회피, 자격 증명 액세스, 영향 및 데이터 유출을 포함하여 알려진 위협 전술과 관련된 악의적인 활동을 식별하는 데 도움이 됩니다. GuardDuty가 기계 학습을 사용하는 방법에 대해 자세히 알아보려면 AWS re:Inforce 2023 브레이크아웃 세션 Amazon GuardDuty(TDR310)에서 기계 학습을 사용하여 새로운 조사 결과 개발을 참조하세요.

Amazon CodeGuru Security는 ML과 자동화된 추론을 결합하여 코드의 취약성을 식별하고 이러한 취약성을 수정하고 종료될 때까지 상태를 추적하는 방법에 대한 권장 사항을 제공하는 정적 애플리케이션 보안 테스트(SAST) 도구입니다. CodeGuru Security는 Open Worldwide Application Security Project(OWASP)에서 식별한 상위 10개 문제, CWE(Common Weakness Enumeration)에서 식별한 상위 25개 문제, 로그 삽입, 보안 암호, AWS APIs 및 SDKs. 또한 CodeGuru Security는 AWS 보안 모범 사례에서 차용되었으며 Amazon에서 수백만 줄의 코드에 대해 훈련되었습니다.

CodeGuru Security는 심층 의미 분석으로 인해 매우 높은 참 긍정률로 코드 취약성을 식별할 수 있습니다. 이렇게 하면 개발자와 보안 팀이 지침을 신뢰하여 품질이 향상됩니다. 이 서비스는 규칙 마이닝과 로지스틱 회귀 및 신경망의 조합을 사용하는 감독 ML 모델을 사용하여 훈련됩니다. 예를 들어, 민감한 데이터 유출에 대한 훈련 중에 CodeGuru Security는 리소스를 사용하거나 민감한 데이터에 액세스하는 코드 경로에 대한 전체 코드 분석을 수행하고, 이를 나타내는 특성 세트를 생성한 다음 코드 경로를 로지스틱 회귀 모델 및 컨볼루션 신경망(CNNs의 입력으로 사용합니다. CodeGuru 보안 버그 추적 기능은 버그가 닫힐 때 자동으로 감지합니다. 버그 추적 알고리즘을 사용하면 추가 작업 없이 조직의 보안 상태에 대한 up-to-date 정보를 얻을 수 있습니다. 코드 검토를 시작하려면 CodeGuru 콘솔에서 GitHub, GitHub Enterprise, Bitbucket 또는 AWS CodeCommit에 기존 코드 리포지토리를 연결할 수 있습니다. CodeGuru Security API 기반 설계는 개발 워크플로의 모든 단계에서 사용할 수 있는 통합 기능을 제공합니다.

Amazon Verified Permissions는 사용자가 빌드하는 애플리케이션을 위한 확장 가능한 권한 관리 및 세분화된 권한 부여 서비스입니다. Verified Permissions는 자동 추론 및 차등 테스트를 사용하여 구축된 액세스 제어를 위한 오픈 소스 언어인 Cedar를 사용합니다. Cedar는 권한을 정책으로 정의하기 위한 언어로, 누가 어떤 리소스에 액세스해야 하는지를 설명합니다. 또한 이러한 정책을 평가하기 위한 사양이기도 합니다. Cedar 정책을 사용하여 애플리케이션의 각 사용자가 수행할 수 있는 작업과 액세스할 수 있는 리소스를 제어합니다. Cedar 정책은 사용자가 리소스에 대해 조치를 취할 수 있는지 여부를 결정하는 허용 또는 금지 명령문입니다. 정책은 리소스와 연결되며 리소스에 여러 정책을 연결할 수 있습니다. 금지 정책은 허용 정책을 재정의합니다. 애플리케이션의 사용자가 리소스에 대한 작업을 수행하려고 하면 애플리케이션이 Cedar 정책 엔진에 권한 부여 요청을 합니다. Cedar는 해당 정책을 평가하고 ALLOW 또는 DENY 결정을 반환합니다. Cedar는 모든 유형의 보안 주체 및 리소스에 대한 권한 부여 규칙을 지원하고, 역할 기반 및 속성 기반 액세스 제어를 허용하며, 정책을 최적화하고 보안 모델을 검증하는 데 도움이 되는 자동화된 추론 도구를 통한 분석을 지원합니다.

AWS Identity and Access Management(IAM) Access Analyzer를 사용하면 권한 관리를 간소화할 수 있습니다. 이 기능을 사용하여 세분화된 권한을 설정하고, 의도한 권한을 확인하고, 미사용 액세스를 제거하여 권한을 세분화할 수 있습니다. IAM Access Analyzer는 로그에 캡처된 액세스 활동을 기반으로 세분화된 정책을 생성합니다. 또한 정책을 작성하고 검증하는 데 도움이 되는 100개 이상의 정책 검사를 제공합니다. IAM Access Analyzer는 입증 가능한 보안을 사용하여 액세스 경로를 분석하고 리소스에 대한 퍼블릭 및 크로스 계정 액세스에 대한 포괄적인 조사 결과를 제공합니다. 이 도구는 IAM 정책을 동등한 논리적 문으로 변환하고 문제에 대해 범용 및 특수 논리적 솔버(만족도 모듈로 이론) 제품군을 실행하는 Zelkova를 기반으로 합니다. IAM Access Analyzer는 정책의 내용에 따라 정책이 허용하는 행동 클래스를 특성화하기 위해 점점 더 구체적인 쿼리가 있는 Zelkova를 정책에 반복적으로 적용합니다. 분석기는 액세스 로그를 검사하여 외부 개체가 신뢰 영역 내의 리소스에 액세스했는지 여부를 확인하지 않습니다. 리소스 기반 정책이 리소스에 대한 액세스를 허용할 때 외부 엔터티에서 리소스에 액세스하지 않았더라도 결과를 생성합니다. 만족도 모듈로 이론에 대한 자세한 내용은 만족도 핸드북의 만족도 모듈로 이론을 참조하세요.^*

Amazon S3 퍼블릭 액세스 차단은 버킷 및 객체의 퍼블릭 액세스로 이어질 수 있는 구성 오류를 차단할 수 있는 Amazon S3의 기능입니다. 버킷 수준 또는 계정 수준에서 Amazon S3 퍼블릭 액세스 차단을 활성화할 수 있습니다(계정의 기존 버킷과 새 버킷 모두에 영향을 미침). 액세스 제어 목록(ACL), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다. 주어진 정책 또는 ACL이 퍼블릭으로 간주되는지 여부에 대한 결정은 Zelkova 자동 추론 시스템을 사용하여 이루어집니다. Amazon S3는 Zelkova를 사용하여 각 버킷 정책을 확인하고 권한이 없는 사용자가 버킷을 읽거나 쓸 수 있는지 여부를 경고합니다. 버킷에 퍼블릭으로 플래그가 지정된 경우 일부 퍼블릭 요청은 버킷에 액세스할 수 있습니다. 버킷에 퍼블릭이 아닌 것으로 플래그가 지정된 경우 모든 퍼블릭 요청이 거부됩니다. Zelkova는 IAM 정책을 정확하게 수학적으로 표현하므로 이러한 결정을 내릴 수 있습니다. 각 정책에 대한 공식을 생성하고 해당 공식에 대한 이론을 증명합니다.

Amazon VPC Network Access Analyzer는 리소스에 대한 잠재적 네트워크 경로를 이해하고 의도하지 않은 잠재적 네트워크 액세스를 식별하는 데 도움이 되는 Amazon VPC의 기능입니다. Network Access Analyzer를 사용하면 네트워크 세분화를 확인하고, 인터넷 접근성을 식별하고, 신뢰할 수 있는 네트워크 경로 및 네트워크 액세스를 확인할 수 있습니다. 이 기능은 자동 추론 알고리즘을 사용하여 패킷이 AWS 네트워크의 리소스 간에 가져올 수 있는 네트워크 경로를 분석합니다. 그런 다음 아웃바운드 및 인바운드 트래픽 패턴을 정의하는 네트워크 액세스 범위와 일치하는 경로에 대한 조사 결과를 생성합니다. Network Access Analyzer는 네트워크 구성의 정적 분석을 수행합니다. 따라서 이 분석의 일환으로 네트워크에서 패킷이 전송되지 않습니다.

Amazon VPC Reachability Analyzer는 AWS 네트워크에서 연결을 디버깅, 이해 및 시각화할 수 있는 Amazon VPC의 기능입니다. Reachability Analyzer는 Virtual Private Cloud(VPC)에서 소스 리소스와 대상 리소스 간의 연결을 테스트할 수 있는 구성 분석 도구입니다. 대상에 도달할 수 있는 경우 Reachability Analyzer는 소스와 대상 간의 가상 네트워크 경로에 대한 hop-by-hop 세부 정보를 생성합니다. 대상에 연결할 수 없는 경우 Reachability Analyzer는 차단 구성 요소를 식별합니다. Reachability Analyzer는 자동 추론을 사용하여 소스와 대상 간에 네트워크 구성 모델을 구축하여 실행 가능한 경로를 식별합니다. 그런 다음 구성에 따라 연결 가능성을 확인합니다. 패킷을 보내거나 데이터 영역을 분석하지 않습니다.