Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AI/ML pour la sécurité
| Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
L'intelligence artificielle et l'apprentissage automatique (au centre des préoccupations d'Amazon AI/ML) is transforming businesses. AI/ML depuis plus de 20 ans), et de nombreuses fonctionnalités utilisées par les clients AWS, y compris les services de sécurité, reposent sur l'intelligence artificielle et le machine learning. Cela crée une valeur intrinsèque différenciée, car vous pouvez vous y appuyer en toute sécurité AWS sans que vos équipes de sécurité ou de développement d'applications aient besoin d'une expertise en intelligence artificielle et en machine learning.
L'IA est une technologie avancée qui permet aux machines et aux systèmes de gagner en intelligence et en capacité de prédiction. Les systèmes d'IA tirent les leçons de l'expérience passée grâce aux données qu'ils consomment ou sur lesquelles ils sont entraînés. Le ML est l'un des aspects les plus importants de l'IA. Le machine learning est la capacité des ordinateurs à apprendre à partir de données sans être explicitement programmés. Dans la programmation traditionnelle, le programmeur écrit des règles qui définissent le fonctionnement du programme sur un ordinateur ou une machine. Dans le ML, le modèle apprend les règles à partir des données. Les modèles ML peuvent découvrir des modèles cachés dans les données ou établir des prédictions précises sur de nouvelles données qui n'ont pas été utilisées pendant l'entraînement. Services AWS Utilisation multiple AI/ML pour tirer des leçons d'énormes ensembles de données et tirer des conclusions de sécurité.
-
Amazon Macie
est un service de sécurité des données qui utilise le machine learning et la correspondance de modèles pour découvrir et protéger vos données sensibles. Macie détecte automatiquement une liste longue et croissante de types de données sensibles, y compris les informations personnelles identifiables (PII) telles que les noms, les adresses et les informations financières telles que les numéros de carte de crédit. Cela vous donne également une visibilité constante sur vos données stockées dans Amazon Simple Storage Service (Amazon S3). Macie utilise le traitement du langage naturel (NLP) et des modèles de machine learning formés sur différents types d'ensembles de données afin de comprendre vos données existantes et d'attribuer des valeurs commerciales afin de prioriser les données critiques. Macie génère ensuite des résultats de données sensibles. -
Amazon GuardDuty
est un service de détection des menaces qui utilise le machine learning, la détection des anomalies et des informations intégrées sur les menaces pour surveiller en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos instances Comptes AWS, vos charges de travail sans serveur et en conteneur, vos utilisateurs, vos bases de données et votre stockage. GuardDuty intègre des techniques de machine learning très efficaces pour distinguer les activités potentiellement malveillantes des utilisateurs d'un comportement opérationnel anormal mais bénin au sein de l'entreprise. Comptes AWS Cette fonctionnalité modélise en permanence les invocations d'API au sein d'un compte et intègre des prédictions probabilistes pour isoler et alerter plus précisément en cas de comportement hautement suspect des utilisateurs. Cette approche permet d'identifier les activités malveillantes associées à des tactiques de menace connues, notamment la découverte, l'accès initial, la persistance, l'augmentation des privilèges, le contournement de la défense, l'accès aux informations d'identification, l'impact et l'exfiltration de données. Pour en savoir plus sur l' GuardDuty utilisation de l'apprentissage automatique, consultez la session en petits groupes organisée par AWS Re:inForce 2023 sur le développement de nouvelles découvertes grâce à l'apprentissage automatique sur Amazon GuardDuty (0). TDR31
Une sécurité prouvable
AWS développe des outils de raisonnement automatisés qui utilisent la logique mathématique pour répondre aux questions critiques concernant votre infrastructure et pour détecter les erreurs de configuration susceptibles d'exposer vos données. Cette fonctionnalité est appelée sécurité prouvable car elle fournit une meilleure assurance en matière de sécurité dans le cloud et dans le cloud. La sécurité prouvable utilise le raisonnement automatique, une discipline spécifique de l'IA qui applique la déduction logique aux systèmes informatiques. Par exemple, les outils de raisonnement automatisés peuvent analyser les politiques et les configurations d'architecture réseau, et prouver l'absence de configurations involontaires susceptibles d'exposer des données vulnérables. Cette approche fournit le plus haut niveau d'assurance possible pour les caractéristiques de sécurité critiques du cloud. Pour plus d'informations, consultez la section Ressources de sécurité prouvables
-
Amazon Verified Permissions
est un service de gestion des autorisations évolutif et précis pour les applications que vous créez. Verified Permissions utilise Cedar , un langage open source pour le contrôle d'accès créé à l'aide d'un raisonnement automatisé et de tests différentiels. Cedar est un langage permettant de définir les autorisations sous forme de politiques qui décrivent qui doit avoir accès à quelles ressources. Il s'agit également d'une spécification pour évaluer ces politiques. Utilisez les politiques de Cedar pour contrôler ce que chaque utilisateur de votre application est autorisé à faire et à quelles ressources il peut accéder. Les politiques de Cedar sont des déclarations d'autorisation ou d'interdiction qui déterminent si un utilisateur peut agir sur une ressource. Les politiques sont associées aux ressources, et vous pouvez associer plusieurs politiques à une ressource. Les politiques d'interdiction l'emportent sur les politiques d'autorisation. Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application envoie une demande d'autorisation au moteur de politiques Cedar. Cedar évalue les politiques applicables et renvoie une ALLOWDENYdécision. Cedar prend en charge les règles d'autorisation pour tout type de principal et de ressource, permet un contrôle d'accès basé sur les rôles et les attributs, et soutient l'analyse par le biais d'outils de raisonnement automatisés qui peuvent vous aider à optimiser vos politiques et à valider votre modèle de sécurité. -
AWS Identity and Access Management Access Analyzervous aide à rationaliser la gestion des autorisations. Vous pouvez utiliser cette fonctionnalité pour définir des autorisations détaillées, vérifier les autorisations prévues et affiner les autorisations en supprimant les accès non utilisés. IAM Access Analyzer génère une politique précise basée sur l'activité d'accès enregistrée dans vos journaux. Il fournit également plus de 100 vérifications de politiques pour vous aider à créer et à valider vos politiques. IAM Access Analyzer utilise une sécurité prouvable pour analyser les chemins d'accès et fournir des résultats complets concernant l'accès public et multicompte à vos ressources. Cet outil est basé sur Zelkova
, qui traduit les politiques IAM en instructions logiques équivalentes et exécute une suite de résolveurs logiques spécialisés et à usage général (théories du modulo de satisfaisabilité) pour résoudre le problème. l’IAM Access Analyzer applique Zelkova de manière répétitive à une politique avec des requêtes de plus en plus spécifiques pour caractériser les classes de comportements autorisées par la politique, en fonction du contenu de celle-ci L'analyseur n'examine pas les journaux d'accès pour déterminer si une entité externe a accédé à une ressource située dans votre zone de confiance. Il génère une constatation lorsqu'une politique basée sur les ressources autorise l'accès à une ressource, même si l'entité externe n'y a pas accédé. Pour en savoir plus sur les théories modulo de la satisfaisabilité, voir Théories du modulo de la satisfaisabilité dans le manuel de la satisfaisabilité. * -
Amazon S3 Block Public Access
est une fonctionnalité d'Amazon S3 qui vous permet de bloquer d'éventuelles erreurs de configuration susceptibles d'entraîner un accès public à vos compartiments et à vos objets. Vous pouvez activer Amazon S3 Block Public Access pour les points d'accès, les compartiments, les comptes et l' AWS organisation (ce qui affecte à la fois les compartiments existants et nouveaux du compte). L'accès public est accordé aux compartiments et aux objets par le biais de listes de contrôle d'accès (ACLs), de politiques de compartiments, ou des deux. Le système de raisonnement automatisé Zelkova permet de déterminer si une politique ou une ACL donnée est considérée comme publique. Amazon S3 utilise Zelkova pour vérifier la politique de chaque compartiment et vous avertit si un utilisateur non autorisé est en mesure de lire ou d'écrire dans votre compartiment. Si un compartiment est marqué comme public, certaines demandes publiques sont autorisées à y accéder. Si un bucket est marqué comme non public, toutes les demandes publiques sont refusées. Zelkova est capable de prendre de telles décisions car elle dispose d'une représentation mathématique précise des politiques IAM. Il crée une formule pour chaque politique et prouve un théorème à propos de cette formule. -
Amazon VPC Network Access Analyzer est une fonctionnalité d'Amazon VPC qui vous aide à comprendre les chemins réseau potentiels vers vos ressources et à identifier les accès réseau non intentionnels potentiels. Network Access Analyzer vous aide à vérifier la segmentation du réseau, à identifier l'accessibilité à Internet et à vérifier les chemins réseau et les accès réseau fiables. Cette fonctionnalité utilise des algorithmes de raisonnement automatisés pour analyser les chemins réseau qu'un paquet peut emprunter entre les ressources d'un AWS réseau. Il produit ensuite des résultats pour les chemins correspondant à vos étendues d'accès réseau, qui définissent les modèles de trafic sortant et entrant. L’analyseur d’accès réseau effectue une analyse statique de la configuration d’un réseau, ce qui signifie qu’aucun paquet n’est transmis sur le réseau dans le cadre de cette analyse.
-
Amazon VPC Reachability Analyzer est une fonctionnalité d'Amazon VPC qui vous permet de déboguer, de comprendre et de visualiser la connectivité de votre réseau. AWS Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (). VPCs Lorsque la destination est accessible, Reachability Analyzer hop-by-hop fournit des informations détaillées sur le chemin réseau virtuel entre la source et la destination. Lorsque la destination n'est pas accessible, Reachability Analyzer identifie le composant bloquant. Reachability Analyzer utilise un raisonnement automatique pour identifier les chemins réalisables en élaborant un modèle de configuration réseau entre une source et une destination. Il vérifie ensuite l'accessibilité en fonction de la configuration. Il n'envoie pas de paquets et n'analyse pas le plan de données.
* Biere, A. M. Heule, H. van Maaren et T. Walsh. 2009. Manuel de satisfaisabilité. Presse IOS, NLD.
