기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SageMaker AI에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon SageMaker AI 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[SageMaker AI.1] Amazon SageMaker AI 노트북 인스턴스에는 직접 인터넷 액세스 권한이 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-no-direct-internet-access

스케줄 유형: 주기적

파라미터: 없음

이 제어는 SageMaker AI 노트북 인스턴스에 대한 직접 인터넷 액세스가 비활성화되었는지 확인합니다. 노트북 인스턴스에 DirectInternetAccess 필드가 활성화된 경우, 제어가 실패합니다.

없이 SageMaker AI 인스턴스를 구성하면 VPC기본적으로 인스턴스에서 직접 인터넷 액세스가 활성화됩니다. 로 인스턴스를 구성VPC하고 기본 설정을 비활성화 -를 통해 인터넷에 액세스로 VPC변경해야 합니다. 노트북에서 모델을 훈련하거나 호스팅하려면 인터넷 액세스가 필요합니다. 인터넷 액세스를 활성화하려면에 인터페이스 엔드포인트(AWS PrivateLink) 또는 NAT 게이트웨이와 아웃바운드 연결을 허용하는 보안 그룹이 있어야 VPC 합니다. 노트북 인스턴스를의 리소스에 연결하는 방법에 대한 자세한 내용은 Amazon SageMaker AI 개발자 안내서의 리소스에 노트북 인스턴스 연결을 VPC참조하세요. VPC 또한 SageMaker AI 구성에 대한 액세스가 승인된 사용자로만 제한되도록 해야 합니다. 사용자가 SageMaker AI 설정 및 리소스를 변경할 수 있도록 허용하는 IAM 권한을 제한합니다.

문제 해결

노트북 인스턴스를 생성한 후에는 인터넷 액세스 설정을 변경할 수 없습니다. 대신 인터넷 액세스가 차단된 인스턴스를 중지, 삭제하고 다시 만들 수 있습니다. 직접 인터넷 액세스를 허용하는 노트북 인스턴스를 삭제하려면 Amazon SageMaker AI 개발자 안내서의 노트북 인스턴스를 사용하여 모델 빌드: 정리를 참조하세요. 인터넷 액세스를 거부하는 노트북 인스턴스를 다시 생성하려면 노트북 인스턴스 생성을 참조하세요. 네트워크, 직접 인터넷 액세스의 경우 비활성화 -를 통해 인터넷에 액세스합니다를 VPC선택합니다.

[SageMaker AI.2] SageMaker AI 노트북 인스턴스는 사용자 지정 VPC

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 내 리소스 VPC

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-instance-inside-vpc

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon SageMaker AI 노트북 인스턴스가 사용자 지정 가상 프라이빗 클라우드() 내에서 시작되었는지 확인합니다VPC. 사용자 지정 내에서 SageMaker AI 노트북 인스턴스를 시작하지 VPC 않거나 SageMaker AI 서비스에서 시작하는 경우이 제어가 실패합니다VPC.

서브넷은 내의 IP 주소 범위입니다VPC. 인프라의 안전한 네트워크 보호를 보장하기 위해 VPC 가능하면 리소스를 사용자 지정 내에 유지하는 것이 좋습니다. AmazonVPC은 전용 가상 네트워크입니다 AWS 계정. Amazon를 사용하면 SageMaker AI Studio 및 노트북 인스턴스의 네트워크 액세스 및 인터넷 연결을 제어할 VPC수 있습니다.

문제 해결

노트북 인스턴스를 생성한 후에는 VPC 설정을 변경할 수 없습니다. 대신 인스턴스를 중지, 삭제 및 다시 만들 수 있습니다. 지침은 Amazon SageMaker AI 개발자 안내서의 노트북 인스턴스를 사용하여 모델 빌드: 정리를 참조하세요.

[SageMaker AI.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(10), NIST.800-53.r5 AC-6(2)

범주: 보호 > 보안 액세스 관리 > 루트 사용자 액세스 제한

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-instance-root-access-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon SageMaker AI 노트북 인스턴스에 대한 루트 액세스가 켜져 있는지 확인합니다. SageMaker AI 노트북 인스턴스에 루트 액세스가 켜져 있으면 제어가 실패합니다.

최소 권한 원칙을 준수하기 위해, 의도치 않게 권한을 과도하게 프로비저닝하지 않도록 인스턴스 리소스에 대한 루트 액세스를 제한하는 것이 권장되는 보안 모범 사례입니다.

문제 해결

SageMaker AI 노트북 인스턴스에 대한 루트 액세스를 제한하려면 Amazon AI SageMaker 개발자 안내서의 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 제어를 참조하세요.

[SageMaker AI.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SA-13

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::SageMaker::EndpointConfig

AWS Config 규칙: sagemaker-endpoint-config-prod-instance-count

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon SageMaker AI 엔드포인트의 프로덕션 변형에 초기 인스턴스 수가 1보다 큰지 확인합니다. 엔드포인트의 프로덕션 변형에 초기 인스턴스가 1개만 있는 경우, 제어가 실패합니다.

인스턴스 수가 1보다 큰 프로덕션 변형은 SageMaker AI에서 관리하는 다중 AZ 인스턴스 중복을 허용합니다. 여러 가용 영역에 리소스를 배포하는 것은 아키텍처 내에서 고가용성을 제공하는 AWS 모범 사례입니다. 고가용성은 보안 인시던트에서 복구하는 데 도움이 됩니다.

문제 해결

엔드포인트 구성의 파라미터에 대한 자세한 내용은 Amazon SageMaker AI 개발자 안내서의 엔드포인트 구성 생성을 참조하세요.