Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AI/ML untuk keamanan
| Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat |
Kecerdasan buatan dan pembelajaran mesin (AI/ML) is transforming businesses. AI/MLtelah menjadi fokus Amazon selama lebih dari 20 tahun, dan banyak dari kemampuan yang digunakan pelanggan AWS, termasuk layanan keamanan, didorong oleh AI/ML. Ini menciptakan nilai terdiferensiasi bawaan, karena Anda dapat membangun dengan aman AWS tanpa memerlukan tim keamanan atau pengembangan aplikasi Anda untuk memiliki keahlian dalam AI/ML.
AI adalah teknologi canggih yang memungkinkan mesin dan sistem untuk mendapatkan kecerdasan dan kemampuan prediksi. Sistem AI belajar dari pengalaman masa lalu melalui data yang dikonsumsi atau dilatih. ML adalah salah satu aspek terpenting dari AI. ML adalah kemampuan komputer untuk belajar dari data tanpa diprogram secara eksplisit. Dalam pemrograman tradisional, programmer menulis aturan yang menentukan bagaimana program harus bekerja pada komputer atau mesin. Dalam ML, model mempelajari aturan dari data. Model ML dapat menemukan pola tersembunyi dalam data atau membuat prediksi akurat pada data baru yang tidak digunakan selama pelatihan. Layanan AWS Penggunaan ganda AI/ML untuk belajar dari kumpulan data besar dan membuat kesimpulan keamanan.
-
Amazon Macie
adalah layanan keamanan data yang menggunakan ML dan pencocokan pola untuk menemukan dan membantu melindungi data sensitif Anda. Macie secara otomatis mendeteksi daftar tipe data sensitif yang besar dan terus bertambah, termasuk informasi identitas pribadi (PII) seperti nama, alamat, dan informasi keuangan seperti nomor kartu kredit. Ini juga memberi Anda visibilitas konstan ke data Anda yang disimpan di Amazon Simple Storage Service (Amazon S3). Macie menggunakan Natural Language Processing (NLP) dan model ML yang dilatih pada berbagai jenis dataset untuk memahami data yang ada dan untuk menetapkan nilai bisnis untuk memprioritaskan data penting bisnis. Macie kemudian menghasilkan temuan data sensitif. -
Amazon GuardDuty
adalah layanan deteksi ancaman yang menggunakan ML, deteksi anomali, dan intelijen ancaman terintegrasi untuk terus memantau aktivitas berbahaya dan perilaku tidak sah untuk membantu melindungi beban kerja, pengguna, database Akun AWS, dan penyimpanan Anda, instans, tanpa server dan kontainer. GuardDuty menggabungkan teknik ML yang sangat efektif dalam membedakan aktivitas pengguna yang berpotensi berbahaya dari perilaku operasional anomali tetapi jinak di dalamnya. Akun AWS Kemampuan ini terus memodelkan pemanggilan API dalam akun dan menggabungkan prediksi probabilistik untuk mengisolasi dan memperingatkan perilaku pengguna yang sangat mencurigakan secara lebih akurat. Pendekatan ini membantu mengidentifikasi aktivitas jahat yang terkait dengan taktik ancaman yang diketahui, termasuk penemuan, akses awal, ketekunan, eskalasi hak istimewa, penghindaran pertahanan, akses kredenal, dampak, dan eksfiltrasi data. Untuk mempelajari lebih lanjut tentang cara GuardDuty menggunakan pembelajaran mesin, lihat sesi breakout AWS re: Inforce 2023 Mengembangkan temuan baru menggunakan pembelajaran mesin di Amazon (0). GuardDuty TDR31
Keamanan yang dapat dibuktikan
AWS mengembangkan alat penalaran otomatis yang menggunakan logika matematika untuk menjawab pertanyaan kritis tentang infrastruktur Anda dan untuk mendeteksi kesalahan konfigurasi yang berpotensi mengekspos data Anda. Kemampuan ini disebut keamanan yang dapat dibuktikan karena memberikan jaminan yang lebih tinggi dalam keamanan cloud dan cloud. Keamanan yang dapat dibuktikan menggunakan penalaran otomatis, yang merupakan disiplin khusus AI yang menerapkan pengurangan logis ke sistem komputer. Misalnya, alat penalaran otomatis dapat menganalisis kebijakan dan konfigurasi arsitektur jaringan, dan membuktikan tidak adanya konfigurasi yang tidak diinginkan yang berpotensi mengekspos data yang rentan. Pendekatan ini memberikan tingkat jaminan tertinggi yang mungkin untuk karakteristik keamanan kritis cloud. Untuk informasi selengkapnya, lihat Sumber Daya Keamanan yang Dapat Dibuktikan
-
Izin Terverifikasi Amazon adalah manajemen izin
yang dapat diskalakan dan layanan otorisasi berbutir halus untuk aplikasi yang Anda buat. Izin Terverifikasi menggunakan Cedar , yang merupakan bahasa sumber terbuka untuk kontrol akses yang dibangun dengan menggunakan penalaran otomatis dan pengujian diferensial. Cedar adalah bahasa untuk mendefinisikan izin sebagai kebijakan yang menjelaskan siapa yang harus memiliki akses ke sumber daya mana. Ini juga merupakan spesifikasi untuk mengevaluasi kebijakan tersebut. Gunakan kebijakan Cedar untuk mengontrol apa yang diizinkan dilakukan oleh setiap pengguna aplikasi Anda dan sumber daya mana yang dapat mereka akses. Kebijakan Cedar adalah pernyataan izin atau larangan yang menentukan apakah pengguna dapat bertindak berdasarkan sumber daya. Kebijakan dikaitkan dengan sumber daya, dan Anda dapat melampirkan beberapa kebijakan ke sumber daya. Melarang kebijakan mengesampingkan kebijakan izin. Ketika pengguna aplikasi Anda mencoba melakukan tindakan pada sumber daya, aplikasi Anda membuat permintaan otorisasi ke mesin kebijakan Cedar. Cedar mengevaluasi kebijakan yang berlaku dan mengembalikan keputusan ALLOWatauDENY. Cedar mendukung aturan otorisasi untuk semua jenis prinsipal dan sumber daya, memungkinkan kontrol akses berbasis peran dan atribut, dan mendukung analisis melalui alat penalaran otomatis yang dapat membantu mengoptimalkan kebijakan Anda dan memvalidasi model keamanan Anda. -
AWS Identity and Access Management Access Analyzermembantu Anda merampingkan manajemen izin. Anda dapat menggunakan fitur ini untuk mengatur izin berbutir halus, memverifikasi izin yang dimaksudkan, dan memperbaiki izin dengan menghapus akses yang tidak digunakan. IAM Access Analyzer menghasilkan kebijakan berbutir halus berdasarkan aktivitas akses yang ditangkap di log Anda. Ini juga menyediakan lebih dari 100 pemeriksaan kebijakan untuk membantu Anda membuat dan memvalidasi kebijakan Anda. IAM Access Analyzer menggunakan keamanan yang dapat dibuktikan untuk menganalisis jalur akses dan memberikan temuan komprehensif untuk akses publik dan lintas akun ke sumber daya Anda. Alat ini dibangun di atas Zelkova
, yang menerjemahkan kebijakan IAM ke dalam pernyataan logis yang setara dan menjalankan serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan) terhadap masalah tersebut. IAM Access Analyzer menerapkan Zelkova berulang kali pada kebijakan dengan kueri yang semakin spesifik untuk mengkarakterisasi kelas perilaku yang diizinkan kebijakan, berdasarkan konten kebijakan. Analyzer tidak memeriksa log akses untuk menentukan apakah entitas eksternal mengakses sumber daya dalam zona kepercayaan Anda. Ini menghasilkan temuan ketika kebijakan berbasis sumber daya memungkinkan akses ke sumber daya, bahkan jika sumber daya tidak diakses oleh entitas eksternal. Untuk mempelajari lebih lanjut tentang teori modulo kepuasan, lihat Teori Modulo Kepuasan dalam Buku Pegangan Kepuasan . * -
Amazon S3 Block Public Access
adalah fitur Amazon S3 yang memungkinkan Anda memblokir kemungkinan kesalahan konfigurasi yang dapat menyebabkan akses publik ke ember dan objek Anda. Anda dapat mengaktifkan Amazon S3 Blokir Akses Publik untuk titik akses, bucket, akun, dan AWS organisasi (yang memengaruhi bucket yang ada dan baru di akun). Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya. Penentuan apakah kebijakan tertentu atau ACL dianggap publik dilakukan dengan menggunakan sistem penalaran otomatis Zelkova. Amazon S3 menggunakan Zelkova untuk memeriksa setiap kebijakan bucket dan memperingatkan Anda jika pengguna yang tidak sah dapat membaca atau menulis ke bucket Anda. Jika bucket ditandai sebagai publik, beberapa permintaan publik diizinkan untuk mengakses bucket. Jika bucket ditandai sebagai tidak publik, semua permintaan publik ditolak. Zelkova mampu membuat penentuan seperti itu karena memiliki representasi matematis yang tepat dari kebijakan IAM. Ini menciptakan formula untuk setiap kebijakan dan membuktikan teorema tentang rumus itu. -
Amazon VPC Network Access Analyzer adalah fitur Amazon VPC yang membantu Anda memahami jalur jaringan potensial ke sumber daya Anda, dan mengidentifikasi potensi akses jaringan yang tidak diinginkan. Network Access Analyzer membantu Anda memverifikasi segmentasi jaringan, mengidentifikasi aksesibilitas internet, dan memverifikasi jalur jaringan dan akses jaringan tepercaya. Fitur ini menggunakan algoritma penalaran otomatis untuk menganalisis jalur jaringan yang dapat diambil paket antara sumber daya dalam jaringan. AWS Kemudian menghasilkan temuan untuk jalur yang sesuai dengan Lingkup Akses Jaringan Anda, yang menentukan pola lalu lintas keluar dan masuk. Network Access Analyzer melakukan analisis statis dari konfigurasi jaringan, yang berarti bahwa tidak ada paket yang ditransmisikan dalam jaringan sebagai bagian dari analisis ini.
-
Amazon VPC Reachability Analyzer adalah fitur Amazon VPC yang memungkinkan Anda men-debug, memahami, dan memvisualisasikan konektivitas di jaringan Anda. AWS Reachability Analyzer adalah alat analisis konfigurasi yang memungkinkan Anda melakukan pengujian konektivitas antara sumber daya sumber dan sumber daya tujuan di cloud pribadi virtual Anda (). VPCs Ketika tujuan dapat dijangkau, Reachability hop-by-hop Analyzer menghasilkan rincian jalur jaringan virtual antara sumber dan tujuan. Ketika tujuan tidak dapat dijangkau, Reachability Analyzer mengidentifikasi komponen pemblokiran. Reachability Analyzer menggunakan penalaran otomatis untuk mengidentifikasi jalur yang layak dengan membangun model konfigurasi jaringan antara sumber dan tujuan. Kemudian memeriksa jangkauan berdasarkan konfigurasi. Itu tidak mengirim paket atau menganalisis pesawat data.
* Biere, A.M. Heule, H. van Maaren, dan T. Walsh. 2009. Buku Pegangan Kepuasan. Pers IOS, NLD.
