AI/ML per la sicurezza - AWS Guida prescrittiva
Sicurezza dimostrabile

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AI/ML per la sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

L'intelligenza artificiale e l'apprendimento automatico (AI/ML) is transforming businesses. AI/MLsono al centro dell'attenzione di Amazon da oltre 20 anni) e molte delle funzionalità utilizzate dai clienti AWS, compresi i servizi di sicurezza, sono basate sull'AI/ML. Questo crea un valore integrato e differenziato, perché è possibile sviluppare in modo sicuro AWS senza che i team di sicurezza o di sviluppo delle applicazioni abbiano esperienza in AI/ML.

L'intelligenza artificiale è una tecnologia avanzata che consente a macchine e sistemi di acquisire intelligenza e capacità di previsione. I sistemi di intelligenza artificiale imparano dall'esperienza passata attraverso i dati che utilizzano o sui quali vengono addestrati. L'apprendimento automatico è uno degli aspetti più importanti dell'IA. L'apprendimento automatico è la capacità dei computer di apprendere dai dati senza essere programmati esplicitamente. Nella programmazione tradizionale, il programmatore scrive regole che definiscono come il programma dovrebbe funzionare su un computer o una macchina. In ML, il modello impara le regole dai dati. I modelli ML possono scoprire schemi nascosti nei dati o fare previsioni accurate su nuovi dati che non sono stati utilizzati durante l'addestramento. Servizi AWS Uso multiplo AI/ML per imparare da enormi set di dati e fare inferenze sulla sicurezza. 

  • Amazon Macie è un servizio di sicurezza dei dati che utilizza il machine learning e il pattern matching per scoprire e proteggere i tuoi dati sensibili. Macie rileva automaticamente un ampio e crescente elenco di tipi di dati sensibili, tra cui informazioni di identificazione personale (PII) come nomi, indirizzi e informazioni finanziarie come numeri di carte di credito. Inoltre, ti offre una visibilità costante sui dati archiviati in Amazon Simple Storage Service (Amazon S3). Macie utilizza modelli di elaborazione del linguaggio naturale (NLP) e ML addestrati su diversi tipi di set di dati per comprendere i dati esistenti e assegnare valori aziendali per dare priorità ai dati aziendali critici. Macie genera quindi risultati di dati sensibili. 

  • Amazon GuardDuty è un servizio di rilevamento delle minacce che utilizza il machine learning, il rilevamento delle anomalie e l'intelligence integrata sulle minacce per monitorare continuamente attività dannose e comportamenti non autorizzati e proteggere i carichi di lavoro, gli utenti Account AWS, i database e lo storage, le istanze, le istanze, i carichi di lavoro serverless e container. GuardDuty incorpora tecniche di machine learning estremamente efficaci nel distinguere le attività potenzialmente dannose degli utenti da quelle interne a comportamenti operativi anomali ma benigni. Account AWS Questa funzionalità modella continuamente le chiamate alle API all'interno di un account e incorpora previsioni probabilistiche per isolare e avvisare in modo più accurato i comportamenti altamente sospetti degli utenti. Questo approccio aiuta a identificare le attività dannose associate a tattiche di minaccia note, tra cui il rilevamento, l'accesso iniziale, la persistenza, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, l'impatto e l'esfiltrazione dei dati. Per ulteriori informazioni su come GuardDuty utilizza l'apprendimento automatico, consulta la sessione di approfondimento di AWS RE:InForce 2023 Sviluppare nuove scoperte utilizzando l'apprendimento automatico in Amazon GuardDuty (0). TDR31 

Sicurezza dimostrabile

AWS sviluppa strumenti di ragionamento automatizzato che utilizzano la logica matematica per rispondere a domande critiche sull'infrastruttura e per rilevare configurazioni errate che potrebbero potenzialmente esporre i dati. Questa funzionalità è chiamata sicurezza dimostrabile perché offre una maggiore garanzia nella sicurezza del cloud e nel cloud. La sicurezza dimostrabile utilizza il ragionamento automatico, che è una disciplina specifica dell'intelligenza artificiale che applica la deduzione logica ai sistemi informatici. Ad esempio, gli strumenti di ragionamento automatico possono analizzare le policy e le configurazioni dell'architettura di rete e dimostrare l'assenza di configurazioni involontarie che potrebbero potenzialmente esporre dati vulnerabili. Questo approccio offre il massimo livello di garanzia possibile per le caratteristiche di sicurezza critiche del cloud. Per ulteriori informazioni, consulta Provable Security Resources sul AWS sito Web. Le seguenti Servizi AWS funzionalità utilizzano attualmente il ragionamento automatico per aiutarti a ottenere una sicurezza dimostrabile per le tue applicazioni:

  • Amazon Verified Permissions è un servizio scalabile di gestione delle autorizzazioni e di autorizzazione granulare per le applicazioni che crei. Verified Permissions utilizza Cedar, un linguaggio open source per il controllo degli accessi creato utilizzando ragionamenti automatici e test differenziali. Cedar è un linguaggio per definire le autorizzazioni come politiche che descrivono chi deve avere accesso a quali risorse. È anche una specifica per la valutazione di tali politiche. Utilizzate le politiche Cedar per controllare ciò che ogni utente della vostra applicazione è autorizzato a fare e a quali risorse può accedere. Le politiche Cedar sono dichiarazioni di autorizzazione o divieto che determinano se un utente può agire su una risorsa. Le politiche sono associate alle risorse ed è possibile allegare più politiche a una risorsa. Le politiche di divieto hanno la precedenza sulle politiche di autorizzazione. Quando un utente dell'applicazione tenta di eseguire un'azione su una risorsa, l'applicazione invia una richiesta di autorizzazione al motore di policy Cedar. Cedar valuta le politiche applicabili e restituisce una ALLOW decisione or. DENY Cedar supporta le regole di autorizzazione per qualsiasi tipo di principale e risorsa, consente il controllo degli accessi basato sui ruoli e sugli attributi e supporta l'analisi tramite strumenti di ragionamento automatizzati che possono aiutare a ottimizzare le politiche e a convalidare il modello di sicurezza.

  • AWS Identity and Access Management Access Analyzerti aiuta a semplificare la gestione delle autorizzazioni. È possibile utilizzare questa funzionalità per impostare autorizzazioni dettagliate, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo l'accesso non utilizzato. IAM Access Analyzer genera una policy dettagliata basata sull'attività di accesso acquisita nei log. Fornisce inoltre oltre 100 controlli delle politiche per aiutarti a creare e convalidare le tue politiche. IAM Access Analyzer utilizza una sicurezza comprovabile per analizzare i percorsi di accesso e fornire risultati completi per l'accesso pubblico e interaccount alle risorse. Questo strumento è basato su Zelkova, che traduce le politiche IAM in istruzioni logiche equivalenti ed esegue una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per risolvere il problema. Sistema di analisi degli accessi AWS IAM applica Zelkova ripetutamente a una policy con query sempre più specifiche per caratterizzare classi di comportamenti consentite dalla policy, in base al contenuto della policy stessa. L'analizzatore non esamina i log di accesso per determinare se un'entità esterna ha avuto accesso a una risorsa all'interno della zona di fiducia dell'utente. Genera un risultato quando una politica basata sulle risorse consente l'accesso a una risorsa, anche se l'entità esterna non ha avuto accesso alla risorsa. Per saperne di più sulle teorie dei moduli di soddisfacibilità, vedi Satisfiability Modulo Theories in Handbook of Satisfiability. *

  • Amazon S3 Block Public Access è una funzionalità di Amazon S3 che consente di bloccare possibili configurazioni errate che potrebbero portare all'accesso pubblico ai bucket e agli oggetti. Puoi abilitare Amazon S3 Block Public Access per punti di accesso, bucket, account e AWS organizzazione (il che influisce sia sui bucket esistenti che su quelli nuovi nell'account). L'accesso pubblico a bucket e oggetti viene concesso tramite liste di controllo degli accessi (ACLs), policy di bucket o entrambe. La determinazione se una determinata politica o ACL è considerata pubblica viene effettuata utilizzando il sistema di ragionamento automatico Zelkova. Amazon S3 utilizza Zelkova per verificare la policy di ogni bucket e ti avvisa se un utente non autorizzato è in grado di leggere o scrivere nel tuo bucket. Se un bucket è contrassegnato come pubblico, alcune richieste pubbliche possono accedere al bucket. Se un bucket è contrassegnato come non pubblico, tutte le richieste pubbliche vengono rifiutate. Zelkova è in grado di effettuare tali determinazioni perché ha una rappresentazione matematica precisa delle politiche IAM. Crea una formula per ogni politica e dimostra un teorema su quella formula. 

  • Amazon VPC Network Access Analyzer è una funzionalità di Amazon VPC che ti aiuta a comprendere i potenziali percorsi di rete verso le tue risorse e a identificare potenziali accessi non intenzionali alla rete. Network Access Analyzer ti aiuta a verificare la segmentazione della rete, identificare l'accessibilità a Internet e verificare percorsi di rete e accessi alla rete affidabili. Questa funzionalità utilizza algoritmi di ragionamento automatico per analizzare i percorsi di rete che un pacchetto può percorrere tra le risorse di una rete. AWS Quindi produce risultati per i percorsi che corrispondono agli ambiti di accesso alla rete, che definiscono i modelli di traffico in uscita e in entrata. Strumento di analisi degli accessi alla rete esegue un'analisi statica di una configurazione di rete, il che significa che nessun pacchetto viene trasmesso nella rete come parte di questa analisi.

  • Amazon VPC Reachability Analyzer è una funzionalità di Amazon VPC che consente di eseguire il debug, comprendere e visualizzare la connettività nella rete. AWS Reachability Analyzer è uno strumento di analisi della configurazione che consente di eseguire test di connettività tra una risorsa di origine e una risorsa di destinazione nei cloud privati virtuali (). VPCs Quando la destinazione è raggiungibile, Reachability Analyzer hop-by-hop produce dettagli sul percorso di rete virtuale tra l'origine e la destinazione. Quando la destinazione non è raggiungibile, Reachability Analyzer identifica il componente di blocco. Reachability Analyzer utilizza il ragionamento automatico per identificare percorsi possibili costruendo un modello della configurazione di rete tra un'origine e una destinazione. Quindi verifica la raggiungibilità in base alla configurazione. Non invia pacchetti né analizza il piano dati. 

* Biere, A. M. Heule, H. van Maaren e T. Walsh. 2009. Manuale di soddisfacibilità. IOS Press, NLD.