本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全 AI/ML
| 進行簡短的問卷 |
人工智慧和機器學習 (AI/ML) 正在改變企業。AI/ML 已成為 Amazon 的焦點超過 20 年,客戶與 搭配使用的許多功能 AWS,包括安全服務,都由 AI/ML 驅動。這可建立內建差異化值,因為您可以安全地建置 , AWS 而不需要您的安全或應用程式開發團隊具備 AI/ML 的專業知識。
AI 是一種進階技術,可讓機器和系統取得智慧和預測功能。AI 系統透過其耗用或訓練的資料,從過去的經驗中學習。ML 是 AI 最重要的層面之一。ML 是電腦無需明確程式設計即可從資料中學習的能力。在傳統程式設計中,程式設計人員會撰寫規則,定義程式在電腦或機器上應如何運作。在 ML 中,模型會從資料中學習規則。ML 模型可以探索資料中的隱藏模式,或對訓練期間未使用的新資料進行準確的預測。多個 AWS 服務 使用 AI/ML 從巨型資料集學習,並進行安全推論。
-
Amazon Macie
是一種資料安全服務,使用 ML 和模式比對來探索和協助保護您的敏感資料。Macie 會自動偵測大量且不斷增長的敏感資料類型清單,包括個人身分識別資訊 (PII),例如姓名、地址和信用卡號碼等財務資訊。它還可讓您持續查看存放在 Amazon Simple Storage Service (Amazon S3) 中的資料。Macie 使用自然語言處理 (NLP) 和 ML 模型,這些模型在不同類型的資料集上進行訓練,以了解您現有的資料,並指派商業值以排定業務關鍵資料的優先順序。Macie 接著會產生敏感的資料調查結果。 -
Amazon GuardDuty
是一種威脅偵測服務,使用 ML、異常偵測和整合式威脅情報來持續監控惡意活動和未經授權的行為,以協助保護您的 AWS 帳戶、執行個體、無伺服器和容器工作負載、使用者、資料庫和儲存體。GuardDuty 整合了 ML 技術,這些技術可有效分辨潛在惡意使用者活動與其中異常但良性的操作行為 AWS 帳戶。此功能會持續在帳戶中建立 API 調用模型,並納入機率預測,以更準確地隔離和提醒高度可疑的使用者行為。此方法有助於識別與已知威脅策略相關的惡意活動,包括探索、初始存取、持久性、權限提升、防禦逃避、登入資料存取、影響和資料外洩。若要進一步了解 GuardDuty 如何使用機器學習,請參閱 AWS re:Inforce 2023 分組工作階段在 Amazon GuardDuty (TDR310) 中使用機器學習開發新問題 清單。
適當的安全性
AWS 開發自動化推理工具,使用數學邏輯來回答有關基礎設施的關鍵問題,並偵測可能公開您資料的錯誤組態。此功能稱為可證明的安全性,因為它可在雲端和雲端中提供更高的安全性保證。可能的安全性使用自動推理,這是 AI 的特定領域,可將邏輯扣除套用至電腦系統。例如,自動化推理工具可以分析政策和網路架構組態,並證明沒有可能公開易受攻擊資料的意外組態。此方法可為雲端的關鍵安全特性提供最高層級的保證。如需詳細資訊,請參閱 AWS 網站上的 Provable Security Resources
-
Amazon Verified Permissions
是您建置之應用程式的可擴展許可管理和精細授權服務。Verified Permissions 使用 Cedar ,這是一種用於存取控制的開放原始碼語言,是使用自動推理和差異測試所建置。Cedar 是一種將許可定義為政策的語言,描述誰應有權存取哪些資源。它也是評估這些政策的規格。使用 Cedar 政策來控制允許應用程式的每個使用者執行的動作,以及他們可以存取的資源。Cedar 政策是permitorforbid 陳述式,可判斷使用者是否可以對資源採取行動。政策與資源相關聯,您可以將多個政策連接到資源。禁止政策覆寫許可政策。當您的應用程式使用者嘗試對資源執行動作時,您的應用程式會向 Cedar 政策引擎提出授權請求。Cedar 會評估適用的政策,並傳回 ALLOW或DENY決策。Cedar 支援任何類型的委託人和資源的授權規則,允許角色型和屬性型存取控制,並支援透過自動化推理工具進行分析,以協助最佳化您的政策並驗證您的安全模型。 -
AWS Identity and Access Management Access Analyzer 可協助您簡化許可管理。您可以使用此功能來設定精細的許可、驗證預期的許可,以及透過移除未使用的存取來精簡許可。IAM Access Analyzer 會根據日誌中擷取的存取活動產生精細的政策。它還提供超過 100 個政策檢查,以協助您撰寫和驗證您的政策。IAM Access Analyzer 使用可用的安全性來分析存取路徑,並提供對資源的公有和跨帳戶存取的完整調查結果。此工具建置在 Zelkova
上,可將 IAM 政策轉換為同等的邏輯陳述式,並針對問題執行一套一般用途和專門的邏輯求解器 (滿意模數理論)。IAM Access Analyzer 會將 Zelkova 重複套用至具有越來越特定查詢的政策,以根據政策的內容來描述政策允許的行為類別特徵。分析器不會檢查存取日誌,以判斷外部實體是否存取信任區域內的資源。當資源型政策允許存取資源時,即使外部實體未存取資源,也會產生問題清單。若要進一步了解滿意度模數理論,請參閱滿意度手冊中的滿意度模數理論 。* -
Amazon S3 Block Public Access
是 Amazon S3 的一項功能,可讓您封鎖可能導致儲存貯體和物件公開存取的可能錯誤設定。您可以為存取點、儲存貯體、帳戶和 AWS 組織啟用Amazon S3 封鎖公開存取 (這會影響帳戶中的現有儲存貯體和新儲存貯體)。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。使用 Zelkova 自動化推理系統來判斷指定政策或 ACL 是否視為公有。Amazon S3 使用 Zelkova 檢查每個儲存貯體政策,並在未經授權的使用者能夠讀取或寫入您的儲存貯體時警告您。如果儲存貯體標記為公有,則允許某些公有請求存取儲存貯體。如果儲存貯體標記為非公有,則會拒絕所有公有請求。Zelkova 能夠做出此類判斷,因為它具有精確的 IAM 政策數學表示法。它會為每個政策建立公式,並證明該公式的理論。 -
Amazon VPC Network Access Analyzer 是 Amazon VPC 的一項功能,可協助您了解 資源的潛在網路路徑,並識別潛在的意外網路存取。Network Access Analyzer 可協助您驗證網路分段、識別網際網路可存取性,以及驗證信任的網路路徑和網路存取。此功能使用自動推理演算法來分析封包可在網路中的資源之間採取 AWS 的網路路徑。然後,它會針對符合您網路存取範圍的路徑產生調查結果,以定義傳出和傳入流量模式。網路存取分析器會對網路組態執行靜態分析,這表示在此分析過程中不會在網路中傳輸任何封包。
-
Amazon VPC Reachability Analyzer 是 Amazon VPC 的一項功能,可讓您偵錯、了解和視覺化 AWS 網路中的連線。Reachability Analyzer 是一種組態分析工具,可讓您在虛擬私有雲端 (VPC) 中的來源資源和目的地資源之間執行連線測試。當目的地可連線時, Reachability Analyzer 會產生來源與目的地之間虛擬網路路徑的hop-by-hop詳細資訊。當目的地無法連線時, Reachability Analyzer 會識別封鎖元件。Reachability Analyzer 使用自動化推理,透過在來源和目的地之間建立網路組態模型來識別可行的路徑。然後,它會根據組態檢查連線能力。它不會傳送封包或分析資料平面。
* Biere、A. M. Heule、H. van Maaren 和 T. Walsh。2009 年。滿意度手冊。IOS Press、NLD。
