用于安全的 AI/ML

Amazon Macie 是一项数据安全服务，它使用机器学习和模式匹配来发现和帮助保护您的敏感数据。Macie 会自动检测大量且不断增长的敏感数据类型，包括姓名、地址等个人身份信息 (PII) 和信用卡号等财务信息。它还使您可以持续查看存储在亚马逊简单存储服务 (Amazon S3) 中的数据。Macie 使用在不同类型数据集上训练的自然语言处理 (NLP) 和机器学习模型，以了解您的现有数据，并分配业务价值以确定关键业务数据的优先级。然后，Macie 会生成敏感数据发现。

Amazon GuardDuty 是一项威胁检测服务，它使用机器学习、异常检测和集成威胁情报来持续监控恶意活动和未经授权的行为，以帮助保护您的 AWS 账户、实例、无服务器和容器工作负载、用户、数据库和存储。 GuardDuty 采用了机器学习技术，这些技术非常有效地将潜在的恶意用户活动与 AWS 账户中的异常但良性的操作行为区分开来。此功能可以持续对账户内的 API 调用进行建模，并结合概率预测，以便更准确地隔离高度可疑的用户行为并发出警报。这种方法有助于识别与已知威胁策略相关的恶意活动，包括发现、初始访问、持久性、权限升级、防御规避、凭据访问、影响和数据泄露。要了解有关如何 GuardDuty使用机器学习的更多信息，请参阅 AWS re: InForce 2023 分组讨论会在亚马逊 GuardDuty 中使用机器学习开发新发现 (TDR310)。

Amazon CodeGuru Security 是一款静态应用程序安全测试 (SAST) 工具，它结合了机器学习和自动推理，可识别代码中的漏洞，并就如何修复这些漏洞并跟踪其状态提供建议，直至关闭。 CodeGuru 安全检测开放全球应用程序安全项目 (OWASP) 确定的前 10 个问题、常见弱点枚举 (C WE)、日志注入、机密以及 AWS API 和 SDK 的不安全使用所确定的前 25 个问题。 CodeGuru 安全部门还借鉴了 AWS 安全最佳实践，并在 Amazon 接受了数百万行代码的培训。

CodeGuru 由于其深入的语义分析，安全部门可以识别出真阳性率非常高的代码漏洞。这有助于开发人员和安全团队对指南充满信心，从而提高质量。该服务通过使用规则挖掘和监督机器学习模型进行训练，这些模型使用逻辑回归和神经网络的组合。例如，在敏感数据泄露训练期间，Sec CodeGuru urity 会对使用资源或访问敏感数据的代码路径执行完整的代码分析，创建表示这些内容的功能集，然后使用代码路径作为逻辑回归模型和卷积神经网络 (CNN) 的输入。 CodeGuru 安全漏洞跟踪功能会自动检测错误何时被关闭。错误跟踪算法可确保您无需额外努力即可获得有关组织安全状况 up-to-date 的信息。要开始查看代码，您可以在 CodeGuru 控制台上关联 GitHub 企业版 GitHub、Bitbucket 或 AWS CodeCommit 上的现有代码存储库。基于 Sec CodeGuru urity API 的设计提供了可在开发工作流程的任何阶段使用的集成功能。

Amazon V erified Permissions 是一项可扩展的权限管理和精细授权服务，适用于您构建的应用程序。Verified Permissions 使用 Ced ar，这是一种用于访问控制的开源语言，使用自动推理和差异测试构建。Cedar 是一种将权限定义为描述谁应该有权访问哪些资源的策略的语言。它也是评估这些政策的规范。使用 Cedar 策略来控制应用程序的每个用户可以执行的操作以及他们可以访问哪些资源。Cedar 策略是允许或禁止的声明，用于确定用户是否可以对资源进行操作。策略与资源关联，您可以将多个策略附加到一个资源。禁止政策优先于许可政策。当您的应用程序的用户尝试对资源执行操作时，您的应用程序会向 Cedar 策略引擎发出授权请求。Cedar 会评估适用的政策并返回ALLOW或DENY决定。Cedar 支持任何类型的委托人和资源的授权规则，允许基于角色和基于属性的访问控制，并支持通过自动推理工具进行分析，这些工具可以帮助优化您的策略并验证您的安全模型。

AWS Identity and Access Management (IAM) 访问分析器可帮助您简化权限管理。您可以使用此功能来设置精细权限、验证预期权限以及通过删除未使用的访问权限来优化权限。IAM Access Analyzer 会根据您的日志中捕获的访问活动生成精细的策略。它还提供 100 多份政策检查，以帮助您撰写和验证您的政策。IAM Access Analyzer 使用可证明的安全性来分析访问路径，并为公共和跨账户访问您的资源提供全面的调查结果。该工具基于 Zelkova 构建，它将 IAM 策略转换为等效的逻辑语句，并针对问题运行一套通用和专门的逻辑求解器（可满足性模数理论）。IAM Access Analyzer 反复将 Zelkova 应用于具有越来越具体查询的策略，以根据策略的内容表征策略允许的行为类别。分析器不会检查访问日志来确定外部实体是否访问了您的信任区域内的资源。当基于资源的策略允许访问资源时，即使外部实体没有访问该资源，它也会生成调查结果。要了解有关可满足性模数理论的更多信息，请参阅《可满足性手册》中的可满足性模数理论。 ^*

Amazon S3 阻止公共访问是 Amazon S3 的一项功能，它允许您阻止可能导致对您的存储桶和对象进行公开访问的可能的错误配置。您可以在存储桶级别或账户级别启用 Amazon S3 阻止公共访问权限（这会影响账户中的现有存储桶和新存储桶）。通过访问控制列表 (ACL) 和/或存储桶策略向存储桶和对象授予公有访问权限。使用Zelkova自动推理系统来确定给定的策略或ACL是否被视为公开。Amazon S3 使用 Zelkova 来检查每项存储桶策略，并在未经授权的用户能够读取或写入您的存储桶时向您发出警告。如果存储桶被标记为公有，则允许某些公共请求访问该存储桶。如果存储桶被标记为非公开，则所有公共请求都将被拒绝。Zelkova 之所以能够做出这样的决定，是因为它对 IAM 策略进行了精确的数学表示。它为每种策略创建了一个公式，并证明了关于该公式的定理。

Amazon VPC 网络访问分析器是 Amazon VPC 的一项功能，可帮助您了解通往资源的潜在网络路径，并识别潜在的意外网络访问。Network Access Analyzer 可帮助您验证网络分段、识别互联网可访问性以及验证可信的网络路径和网络访问权限。此功能使用自动推理算法来分析数据包在 AWS 网络中的资源之间可以采用的网络路径。然后，它会生成与您的网络访问范围相匹配的路径的调查结果，这些路径定义了出站和入站流量模式。Network Access Analyzer 对网络配置执行静态分析，这意味着在此分析过程中，不会在网络中传输任何数据包。

Amazon VPC Reachability Analyzer 是 Amazon VPC 的一项功能，可让您调试、了解和可视化 AWS 网络中的连接。Reachability Analyzer 是一种配置分析工具，使您能够在虚拟私有云（VPC）中的源资源和目标资源之间执行连接测试。当目标可以到达时，Reachability Analyzer 会生成源和目标之间虚拟网络路径的 hop-by-hop 详细信息。当无法到达目的地时，Reachability Analyzer 会识别阻塞组件。Reachability Analyzer 使用自动推理，通过构建源和目标之间的网络配置模型来识别可行路径。然后，它会根据配置检查可达性。它不发送数据包或分析数据平面。