Controles do Security Hub para SageMaker IA - AWS Security Hub
[SageMaker.1] As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet[SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas de forma personalizada VPC[SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI[SageMaker.4] As variantes de produção de endpoints de SageMaker IA devem ter uma contagem inicial de instâncias maior que 1

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para SageMaker IA

Esses AWS Security Hub controles avaliam o serviço e os recursos de SageMaker IA da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[SageMaker.1] As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet

Requisitos relacionados: NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::SageMaker::NotebookInstance

Regra do AWS Config : sagemaker-notebook-no-direct-internet-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o acesso direto à Internet está desativado para uma instância de notebook SageMaker AI. O controle falhará se o campo DirectInternetAccess estiver habilitado para a instância de notebook.

Se você configurar sua instância de SageMaker IA sem umVPC, por padrão, o acesso direto à Internet será ativado em sua instância. Você deve configurar sua instância com um VPC e alterar a configuração padrão para Desabilitar — acessar a Internet por meio de um. VPC Para treinar ou hospedar modelos a partir de um notebook, você precisa de acesso à internet. Para habilitar o acesso à Internet, você VPC deve ter um endpoint de interface (AWS PrivateLink) ou um NAT gateway e um grupo de segurança que permita conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em umVPC, consulte Conectar uma instância de notebook a recursos em um VPC no Amazon SageMaker AI Developer Guide. Você também deve garantir que o acesso à sua configuração de SageMaker IA seja limitado somente aos usuários autorizados. Restrinja IAM as permissões que permitem que os usuários alterem as configurações e os recursos de SageMaker IA.

Correção

Você não pode alterar a configuração do acesso à internet depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância com acesso bloqueado à internet. Para excluir uma instância de notebook que permite acesso direto à Internet, consulte Usar instâncias de notebook para criar modelos: Limpeza no Amazon SageMaker AI Developer Guide. Para recriar uma instância do notebook que nega o acesso à internet, consulte Criar uma instância do notebook. Para Rede, Acesso direto à Internet, escolha Desabilitar — Acesse a Internet por meio de um. VPC

[SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas de forma personalizada VPC

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Proteger > Configuração de rede segura > Recursos dentro VPC

Severidade: alta

Tipo de recurso: AWS::SageMaker::NotebookInstance

Regra do AWS Config : sagemaker-notebook-instance-inside-vpc

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma instância de notebook Amazon SageMaker AI é iniciada em uma nuvem privada virtual personalizada (VPC). Esse controle falhará se uma instância do notebook de SageMaker IA não for iniciada dentro de uma instância personalizada VPC ou se for iniciada no serviço de SageMaker IAVPC.

As sub-redes são um intervalo de endereços IP dentro de um. VPC Recomendamos manter seus recursos dentro de um local personalizado VPC sempre que possível para garantir a proteção segura da rede de sua infraestrutura. Uma Amazon VPC é uma rede virtual dedicada ao seu Conta da AWS. Com uma AmazonVPC, você pode controlar o acesso à rede e a conectividade com a Internet de suas instâncias de SageMaker AI Studio e notebook.

Correção

Você não pode alterar a VPC configuração depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância. Para obter instruções, consulte Usar instâncias de notebook para criar modelos: Limpeza no Amazon SageMaker AI Developer Guide.

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

Categoria: Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz

Severidade: alta

Tipo de recurso: AWS::SageMaker::NotebookInstance

Regra do AWS Config : sagemaker-notebook-instance-root-access-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o acesso root está ativado para uma instância de notebook Amazon SageMaker AI. O controle falhará se o acesso root estiver ativado para uma instância de notebook de SageMaker IA.

Seguindo o princípio do privilégio mínimo, é uma prática recomendada de segurança restringir o acesso raiz aos recursos da instância para evitar o provisionamento excessivo involuntário de permissões.

Correção

Para restringir o acesso root às instâncias do notebook SageMaker AI, consulte Controlar o acesso root a uma instância do notebook SageMaker AI no Amazon SageMaker AI Developer Guide.

[SageMaker.4] As variantes de produção de endpoints de SageMaker IA devem ter uma contagem inicial de instâncias maior que 1

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::SageMaker::EndpointConfig

Regra do AWS Config : sagemaker-endpoint-config-prod-instance-count

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se as variantes de produção de um endpoint de SageMaker IA da Amazon têm uma contagem inicial de instâncias maior que 1. O controle falhará se as variantes de produção do endpoint tiverem apenas 1 instância inicial.

As variantes de produção executadas com uma contagem de instâncias maior que 1 permitem a redundância de instâncias Multi-AZ gerenciada pela IA. SageMaker A implantação de recursos em várias zonas de disponibilidade é uma prática AWS recomendada para fornecer alta disponibilidade em sua arquitetura. A alta disponibilidade ajuda você a se recuperar de incidentes de segurança.

nota

Esse controle se aplica somente à configuração de endpoint baseada na instância.

Correção

Para obter mais informações sobre os parâmetros da configuração do endpoint, consulte Criar uma configuração de endpoint no Amazon SageMaker AI Developer Guide.