本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 用于安全的 AI/ML
| |
| --- |
| 通过进行[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)来影响 AWS 安全参考架构 (AWS SRA) 的未来。 |
人工智能和机器学习(20 多年来AI/ML) is transforming businesses. AI/ML一直是 Amazon 关注的焦点,客户使用的许多功能(包括安全服务)都是由 AI/ML 驱动的。 AWS这创造了一种内在的差异化价值,因为您可以安全地进行构建, AWS 而无需您的安全团队或应用程序开发团队具有 AI/ML 方面的专业知识。
人工智能是一种先进的技术,它使机器和系统能够获得智能和预测能力。人工智能系统通过其消耗或训练的数据从过去的经验中吸取教训。机器学习是 AI 最重要的方面之一。机器学习是计算机在不经过明确编程的情况下从数据中学习的能力。在传统编程中,程序员编写规则来定义程序应如何在计算机或机器上运行。在机器学习中,模型从数据中学习规则。机器学习模型可以发现数据中的隐藏模式,或者对训练期间未使用的新数据做出准确的预测。多种 AWS 服务 用途 AI/ML ,可以从庞大的数据集中学习并做出安全推断。
+ [Amazon Macie](https://aws.amazon.com/macie/) 是一项数据安全服务,它使用机器学习和模式匹配来发现和帮助保护您的敏感数据。Macie 会自动检测大量且不断增长的敏感数据类型,包括姓名、地址等个人身份信息 (PII) 和信用卡号等财务信息。它还使您可以持续查看存储在亚马逊简单存储服务 (Amazon S3) 中的数据。Macie 使用在不同类型数据集上训练的自然语言处理 (NLP) 和机器学习模型,以了解您的现有数据,并分配业务价值以确定关键业务数据的优先级。然后,Macie 会生成[敏感数据发现](https://docs.aws.amazon.com/macie/latest/user/findings-types.html#findings-sensitive-data-types)。
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 是一项威胁检测服务,它使用机器学习、异常检测和集成威胁情报来持续监控恶意活动和未经授权的行为,以帮助保护您的实例 AWS 账户、无服务器和容器工作负载、用户、数据库和存储。 GuardDuty 整合了机器学习技术,这些技术可以非常有效地将潜在的恶意用户活动与内部的异常但良性的操作行为区分开来。 AWS 账户此功能可以持续对账户内的 API 调用进行建模,并结合概率预测,以便更准确地隔离高度可疑的用户行为并发出警报。这种方法有助于识别与已知威胁策略相关的恶意活动,包括发现、初始访问、持久性、权限升级、防御规避、凭据访问、影响和数据泄露。要了解有关如何 GuardDuty 使用机器学习的更多信息,请参阅 re AWS : inForce 2023 分组讨论会[在 Ama GuardDuty zon 中使用机器学习开发新发现](https://www.youtube.com/watch?v=dNIbGa2CS2w) (0)。TDR31
## 可证明的安全性
AWS 开发自动推理工具,这些工具使用数学逻辑来回答有关基础架构的关键问题,并检测可能暴露数据的错误配置。这种功能之所以称为*可证明安全*,是因为它为云端和云端的安全性提供了更高的保障。Provable Security 使用自动推理,这是人工智能的一门特定学科,用于将逻辑推导应用于计算机系统。例如,自动推理工具可以分析策略和网络架构配置,并证明不存在可能暴露易受攻击数据的意外配置。这种方法为云的关键安全特性提供了可能的最高级别的保障。有关更多信息,请参阅 AWS 网站上的[可证明安全资源](https://aws.amazon.com/security/provable-security/resources/)。以下内容 AWS 服务 和功能目前使用自动推理来帮助您实现可证明的应用程序安全性:
+ [Amazon V](https://aws.amazon.com/verified-permissions/) erified Permissions 是一项可扩展的权限管理和精细授权服务,适用于您构建的应用程序。Verified Permissions 使用 [Ced](https://www.cedarpolicy.com/en) ar,这是一种用于访问控制的开源语言,使用自动推理和差异测试构建。Cedar 是一种将权限定义为描述谁应该有权访问哪些资源的策略的语言。它也是评估这些政策的规范。使用 Cedar 策略来控制应用程序的每个用户可以执行的操作以及他们可以访问哪些资源。Cedar 策略是*允许*或*禁止*的声明,用于确定用户是否可以对资源进行操作。策略与资源关联,您可以将多个策略附加到一个资源。 *禁止*政策优先于*许可*政策。当您的应用程序的用户尝试对资源执行操作时,您的应用程序会向 Cedar 策略引擎发出授权请求。Cedar 会评估适用的政策并返回`ALLOW`或`DENY`决定。Cedar 支持任何类型的委托人和资源的授权规则,允许基于角色和基于属性的访问控制,并支持通过自动推理工具进行分析,这些工具可以帮助优化您的策略并验证您的安全模型。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)帮助您简化权限管理。您可以使用此功能来设置精细权限、验证预期权限以及通过删除未使用的访问权限来优化权限。IAM Access Analyzer 会根据您的日志中捕获的访问活动生成精细的策略。它还提供 100 多份政策检查,以帮助您撰写和验证您的政策。IAM Access Analyzer 使用可证明的安全性来分析访问路径,并为公共和跨账户访问您的资源提供全面的调查结果。该工具[基于 Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 构建,它将 IAM 策略转换为等效的逻辑语句,并针对问题运行一套通用和专门的逻辑求解器(可满足性模数理论)。IAM Access Analyzer 反复将 Zelkova 应用于具有越来越具体查询的策略,以根据策略的内容表征策略允许的行为类别。分析器不会检查访问日志来确定外部实体是否访问了您的信任区域内的资源。当基于资源的策略允许访问资源时,即使外部实体没有访问该资源,它也会生成调查结果。*要了解有关可满足性模数理论的更多信息,请参阅《可满足性手册》中的可[满足性模数理](https://people.eecs.berkeley.edu/~sseshia/pubdir/SMT-BookChapter.pdf)论。* \*
+ [Amazon S3 阻止公共访问](https://aws.amazon.com/s3/features/block-public-access/)是 Amazon S3 的一项功能,它允许您阻止可能导致对您的存储桶和对象进行公开访问的可能的错误配置。您可以为接入点、存储桶、账户和 AWS 组织启用 Amazon S3 阻止公共访问权限(这会影响账户中的现有存储桶和新存储桶)。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之,向存储桶和对象授予公共访问权限。通过使用Zelkova自动推理系统来确定给定的策略或ACL是否被视为公开。Amazon S3 使用 Zelkova 来检查每项存储桶策略,并在未经授权的用户能够读取或写入您的存储桶时向您发出警告。如果存储桶被标记为公有,则允许某些公共请求访问该存储桶。如果存储桶被标记为非公开,则**所有**公共请求都将被拒绝。Zelkova 之所以能够做出这样的决定,是因为它对 IAM 策略进行了精确的数学表示。它为每种策略创建了一个公式,并证明了关于该公式的定理。
+ [Amazon VPC 网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html)是 Amazon VPC 的一项功能,可帮助您了解通往资源的潜在网络路径,并识别潜在的意外网络访问。Network Access Analyzer 可帮助您验证网络分段、识别互联网可访问性以及验证可信的网络路径和网络访问权限。此功能使用自动推理算法来分析数据包在网络中的资源之间可以走的 AWS 网络路径。然后,它会生成与您的网络访问范围相匹配的路径的调查结果,这些路径定义了出站和入站流量模式。网络访问分析器对网络配置执行静态分析,这意味着在此分析过程中,不会在网络中传输任何数据包。
+ [Amazon VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 是 Amazon VPC 的一项功能,可让您调试、了解和可视化网络中的连接。 AWS Reachability Analyzer 是一种配置分析工具,使您能够在虚拟私有云中的源资源和目标资源之间执行连接测试()。VPCs当目标可以到达时,Reachability Analyzer 会生成源和目标之间虚拟网络路径的 hop-by-hop详细信息。当无法到达目的地时,Reachability Analyzer 会识别阻塞组件。Reachability Analyzer 使用自动推理,通过构建源和目标之间的网络配置模型来识别可行路径。然后,它会根据配置检查可达性。它不发送数据包或分析数据平面。
\* Biere、A.M. Heule、H. van Maaren 和 T. Walsh。2009。《*满意度手册》*。IOS 出版社,NLD。