보안을 위한 AI/ML

Amazon Macie는 ML 및 패턴 일치를 사용하여 민감한 데이터를 검색하고 보호하는 데 도움이 되는 데이터 보안 서비스입니다. Macie는 이름, 주소, 신용 카드 번호와 같은 금융 정보와 같은 개인 식별 정보(PII)를 포함하여 점점 증가하는 대규모 민감한 데이터 유형 목록을 자동으로 감지합니다. 또한 Amazon Simple Storage Service(Amazon S3)에 저장된 데이터에 대한 지속적인 가시성을 제공합니다. Macie는 다양한 유형의 데이터 세트에 대해 훈련된 자연어 처리(NLP) 및 ML 모델을 사용하여 기존 데이터를 이해하고 비즈니스 크리티컬 데이터의 우선 순위를 지정하기 위해 비즈니스 가치를 할당합니다. 그런 다음 Macie는 민감한 데이터 조사 결과를 생성합니다. 

Amazon GuardDuty는 ML, 이상 탐지 및 통합 위협 인텔리전스를 사용하여 악의적인 활동 및 무단 동작을 지속적으로 모니터링하여 AWS 계정사용자, 인스턴스, 서버리스 및 컨테이너 워크로드, 사용자, 데이터베이스 및 스토리지를 보호하는 위협 탐지 서비스입니다. GuardDuty는 잠재적으로 악의적인 사용자 활동을 변칙적이지만 정상적인 운영 동작과 구분하는 데 매우 효과적인 ML 기술을 통합합니다 AWS 계정. 이 기능은 계정 내에서 API 호출을 지속적으로 모델링하고 확률적 예측을 통합하여 매우 의심스러운 사용자 동작을 보다 정확하게 격리하고 경고합니다. 이 접근 방식은 검색, 초기 액세스, 지속성, 권한 에스컬레이션, 방어 회피, 자격 증명 액세스, 영향 및 데이터 유출을 포함하여 알려진 위협 전술과 관련된 악의적인 활동을 식별하는 데 도움이 됩니다. GuardDuty가 기계 학습을 사용하는 방법에 대해 자세히 알아보려면 AWS re:Inforce 2023 breakout sessionDeveloping new findings using machine learning in Amazon GuardDuty(TDR310)를 참조하세요. 

Amazon Verified Permissions는 사용자가 빌드하는 애플리케이션을 위한 확장 가능한 권한 관리 및 세분화된 권한 부여 서비스입니다. Verified Permissions는 자동화된 추론 및 차등 테스트를 사용하여 구축된 액세스 제어를 위한 오픈 소스 언어인 Cedar를 사용합니다. Cedar는 권한을 어떤 리소스에 액세스해야 하는지 설명하는 정책으로 정의하는 언어입니다. 또한 이러한 정책을 평가하기 위한 사양이기도 합니다. Cedar 정책을 사용하여 애플리케이션의 각 사용자가 수행할 수 있는 작업과 액세스할 수 있는 리소스를 제어합니다. Cedar 정책은 사용자가 리소스에 대해 작업할 수 있는지 여부를 결정하는permitorforbid 문입니다. 정책은 리소스와 연결되며 여러 정책을 리소스에 연결할 수 있습니다. 금지 정책은 권한 정책을 재정의합니다. 애플리케이션 사용자가 리소스에 대한 작업을 수행하려고 하면 애플리케이션은 Cedar 정책 엔진에 권한 부여를 요청합니다. Cedar는 해당 정책을 평가하고 ALLOW 또는 DENY 결정을 반환합니다. Cedar는 모든 유형의 보안 주체 및 리소스에 대한 권한 부여 규칙을 지원하고, 역할 기반 및 속성 기반 액세스 제어를 허용하며, 정책을 최적화하고 보안 모델을 검증하는 데 도움이 되는 자동화된 추론 도구를 통한 분석을 지원합니다.

AWS Identity and Access Management Access Analyzer는 권한 관리를 간소화하는 데 도움이 됩니다. 이 기능을 사용하여 세분화된 권한을 설정하고, 의도한 권한을 확인하고, 미사용 액세스를 제거하여 권한을 세분화할 수 있습니다. IAM Access Analyzer는 로그에 캡처된 액세스 활동을 기반으로 세분화된 정책을 생성합니다. 또한 정책을 작성하고 검증하는 데 도움이 되는 100개 이상의 정책 검사를 제공합니다. IAM Access Analyzer는 증명 가능한 보안을 사용하여 액세스 경로를 분석하고 리소스에 대한 퍼블릭 및 크로스 계정 액세스에 대한 포괄적인 조사 결과를 제공합니다. 이 도구는 IAM 정책을 동등한 논리적 문으로 변환하고 문제에 대해 범용 및 특수 논리적 솔버(만족성 모듈로 이론) 제품군을 실행하는 Zelkova를 기반으로 구축되었습니다. IAM Access Analyzer는 정책의 내용에 따라 정책이 허용하는 행동 클래스를 특성화하기 위해 점점 더 구체적인 쿼리가 있는 Zelkova를 정책에 반복적으로 적용합니다. 분석기는 액세스 로그를 검사하여 외부 엔터티가 신뢰 영역 내의 리소스에 액세스했는지 여부를 확인하지 않습니다. 리소스 기반 정책이 리소스에 대한 액세스를 허용할 때 외부 엔터티에서 리소스에 액세스하지 않았더라도 결과를 생성합니다. 만족도 모듈로 이론에 대한 자세한 내용은 만족도 핸드북의 만족도 모듈로 이론을 참조하세요.*

Amazon S3 퍼블릭 액세스 차단은 버킷 및 객체의 퍼블릭 액세스로 이어질 수 있는 구성 오류를 차단할 수 있는 Amazon S3의 기능입니다. 액세스 포인트, 버킷, 계정 및 AWS 조직(계정의 기존 버킷과 새 버킷 모두에 영향을 미침)에 대해 Amazon S3 퍼블릭 액세스 차단을 활성화할 수 있습니다. 액세스 제어 목록(ACL), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다. 지정된 정책 또는 ACL이 퍼블릭으로 간주되는지 여부는 Zelkova 자동 추론 시스템을 사용하여 결정합니다. Amazon S3는 Zelkova를 사용하여 각 버킷 정책을 확인하고 권한이 없는 사용자가 버킷을 읽거나 쓸 수 있는지 경고합니다. 버킷에 퍼블릭으로 플래그가 지정된 경우 일부 퍼블릭 요청은 버킷에 액세스할 수 있습니다. 버킷에 퍼블릭이 아닌 것으로 플래그가 지정된 경우 모든 퍼블릭 요청이 거부됩니다. Zelkova는 IAM 정책을 정확하게 수학적으로 표현하므로 이러한 결정을 내릴 수 있습니다. 각 정책에 대한 공식을 생성하고 해당 공식에 대한 이론을 증명합니다. 

Amazon VPC Network Access Analyzer는 리소스에 대한 잠재적 네트워크 경로를 이해하고 의도하지 않은 잠재적 네트워크 액세스를 식별하는 데 도움이 되는 Amazon VPC의 기능입니다. Network Access Analyzer를 사용하면 네트워크 세분화를 확인하고, 인터넷 접근성을 식별하고, 신뢰할 수 있는 네트워크 경로 및 네트워크 액세스를 확인할 수 있습니다. 이 기능은 자동 추론 알고리즘을 사용하여 패킷이 네트워크의 리소스 간에 취할 수 있는 AWS 네트워크 경로를 분석합니다. 그런 다음 아웃바운드 및 인바운드 트래픽 패턴을 정의하는 네트워크 액세스 범위와 일치하는 경로에 대한 조사 결과를 생성합니다. Network Access Analyzer는 네트워크 구성의 정적 분석을 수행합니다. 따라서 이 분석의 일환으로 네트워크에서 패킷이 전송되지 않습니다.

Amazon VPC Reachability Analyzer는 AWS 네트워크에서 연결을 디버깅, 이해 및 시각화할 수 있는 Amazon VPC의 기능입니다. Reachability Analyzer는 Virtual Private Cloud(VPC)에서 소스 리소스와 대상 리소스 간의 연결을 테스트할 수 있는 구성 분석 도구입니다. 대상에 도달할 수 있는 경우 Reachability Analyzer는 소스와 대상 간의 가상 네트워크 경로에 대한 hop-by-hop 세부 정보를 생성합니다. 대상에 연결할 수 없는 경우 Reachability Analyzer는 차단 구성 요소를 식별합니다. Reachability Analyzer는 소스와 대상 간에 네트워크 구성 모델을 구축하여 자동화된 추론을 사용하여 실행 가능한 경로를 식별합니다. 그런 다음 구성을 기반으로 연결 가능성을 확인합니다. 패킷을 보내거나 데이터 영역을 분석하지 않습니다.