Detectar configuraciones incorrectas de Amazon Bedrock con Datadog Cloud Security
Sources: https://aws.amazon.com/blogs/machine-learning/detect-amazon-bedrock-misconfigurations-with-datadog-cloud-security, https://aws.amazon.com/blogs/machine-learning/detect-amazon-bedrock-misconfigurations-with-datadog-cloud-security/, AWS ML Blog
TL;DR
- Datadog Cloud Security ahora ofrece detecciones y guías de remediación para identificar y corregir configuraciones incorrectas de Amazon Bedrock antes de que se conviertan en incidentes de seguridad.
- La integración utiliza escaneo sin agente y con agente para monitorizar continuamente tu entorno AWS en busca de configuraciones erróneas, riesgos de identidad, vulnerabilidades y violaciones de cumplimiento, priorizados por el sistema de puntuación de severidad de Datadog.
- Un riesgo representativo son los buckets S3 configurados para escritura pública usados en el entrenamiento o ajuste fino de Bedrock; podría provocar envenenamiento de datos; Datadog ofrece detecciones listas para usar y pasos de remediación.
- La solución usa diagramas en tiempo real de Cloud Map para contextualizar los riesgos de IA junto con exposición de datos sensibles y otros indicadores de seguridad, mejorando claridad y velocidad de respuesta.
- La colaboración Datadog–AWS se extiende a más de 900 integraciones, proporcionando cobertura de seguridad de IA lista para usar dentro de una estrategia de seguridad en la nube más amplia. Este marco sigue el Modelo de Responsabilidad Compartida de AWS, con AWS gestionando la seguridad de la infraestructura y los clientes siendo responsables de configuraciones seguras y controles de acceso dentro de sus entornos Bedrock. Para más detalles, consulta la publicación de AWS y Datadog.
Contexto y antecedentes
A medida que las organizaciones adoptan cada vez más Amazon Bedrock para aplicaciones de IA generativa, proteger su uso se vuelve crucial. Bedrock ofrece seguridad de nivel empresa al incorporar protecciones integradas para la privacidad de datos, controles de acceso, seguridad de red, cumplimiento y salvaguardas de IA responsable. Los datos del cliente se cifran en tránsito (TLS 1.2 o superior) y en reposo con AWS KMS, y los clientes mantienen control total sobre las claves de cifrado. La privacidad de datos es central: tus entradas, prompts y salidas no se comparten con proveedores de modelos ni se utilizan para entrenar modelos de base. El ajuste fino se realiza en copias privadas de los modelos, asegurando confidencialidad de los datos. El acceso se gobierna a través de AWS IAM y políticas basadas en recursos, permitiendo autorizaciones granulares para usuarios y roles. Bedrock se integra con AWS PrivateLink y admite puntos de enlace VPC para una comunicación privada e interna, de modo que el tráfico no sale de la red de Amazon. El servicio cumple con ISO, SOC, CSA STAR, elegibilidad HIPAA, GDPR y FedRAMP High, lo que lo hace adecuado para industrias reguladas. Además, Bedrock incluye salvaguardas configurables para filtrar contenido sensible y promover un uso responsable de IA. La seguridad sigue el Modelo de Responsabilidad Compartida de AWS, donde AWS gestiona la seguridad de la infraestructura y los clientes gestionan configuraciones y controles de acceso dentro de Bedrock. Datadog y AWS han establecido una asociación para proporcionar una visión holística de los riesgos de IA, vulnerabilidades, exposiciones de datos sensibles y otras configuraciones incorrectas. Datadog Cloud Security emplea escaneos tanto sin agente como con agente para ayudar a las organizaciones a identificar, priorizar y remediar riesgos en recursos de nube. Las detecciones se enriquecen con datos de observabilidad, fortaleciendo la postura de seguridad en implementaciones de IA. A medida que la IA se adopta rápidamente, incorporar seguridad en los procesos existentes es crucial, especialmente ante regulaciones más estrictas. Detalles sobre por qué se priorizó la integración Bedrock se explican en la colaboración AWS–Datadog dentro del ecosistema Bedrock. Durante el cuarto trimestre de 2024, la investigación de seguridad de Datadog observó un interés creciente de actores maliciosos en entornos de IA en la nube, lo que hace que esta integración sea particularmente oportuna. Al combinar las capacidades de IA de AWS con la experiencia en seguridad de Datadog, las organizaciones pueden acelerar la adopción de IA manteniendo controles robustos.
Qué hay de nuevo
Datadog y AWS amplían la oferta con tres capacidades clave en Datadog Cloud Security para proteger implementaciones Bedrock:
- Seguridad de IA holística: integra la seguridad de IA en tu estrategia general de seguridad en la nube y contextualiza los riesgos de IA junto con otros indicadores de seguridad (exposición de identidad, configuraciones, etc.).
- Detección de riesgos en tiempo real: identifica problemas de seguridad relacionados con IA tan pronto como surgen, permitiendo una respuesta y remediación más rápidas.
- Cumplimiento simplificado: ofrece detecciones listas para usar y guías de remediación para ayudar a cumplir regulaciones de IA en evolución. La colaboración permite detecciones para clientes Bedrock y se integra con Cloud Map para visualizar diagramas de arquitectura en tiempo real, colocando los riesgos de IA en el contexto de la infraestructura circundante. El escaneo sin agente continúa y vigila el entorno AWS con intervalos de 15 minutos a 2 horas. Más allá de las detecciones específicas de Bedrock, el sistema ofrece un catálogo de cientos de reglas preconfiguradas para identificar configuraciones incorrectas y rutas de amenaza que los adversarios pueden explotar, manteniendo el contexto de seguridad en AWS.
Por qué es importante (impacto para desarrolladores/empresas)
Para desarrolladores y empresas, esta integración aporta beneficios concretos a medida que la IA se vuelve más omnipresente:
- Adopción rápida de IA segura: al incorporar la seguridad de IA a tus flujos de seguridad en la nube existentes, las equipes pueden innovar más rápido sin comprometer controles.
- Visibilidad temprana de riesgos: detecciones en tiempo real con puntuaciones de riesgo contextuales ayudan a priorizar problemas críticos, reduciendo el ruido y acelerando la remediación.
- Mejora de la postura de cumplimiento: detecciones listas para usar y flujos de remediación facilitan el cumplimiento de regulaciones y la gobernanza interna, con puntuaciones de postura que reflejan las correcciones realizadas.
- Seguridad escalable: el ecosistema de integraciones de Datadog (más de 900) y su experiencia en seguridad de la nube permiten monitoreo escalable en entornos híbridos y multi-nube. Los clientes pueden ver las incidencias junto con la infraestructura circundante usando Cloud Map, lo que facilita entender cómo los recursos Bedrock interactúan con otros recursos de AWS y con data stores. El enfoque enfatiza cifrado fuerte, redes privadas y controles de acceso estrictos para mantener cargas de IA seguras en industrias reguladas.
Detalles técnicos o Implementación
- Enfoque de escaneo: Datadog Cloud Security admite escaneo sin agente y con agente para identificar configuraciones incorrectas, riesgos de identidad, vulnerabilidades y violaciones de cumplimiento en recursos AWS.
- Programación: el escaneo sin agente se ejecuta a intervalos configurables entre 15 minutos y 2 horas.
- Puntuación de riesgo: los hallazgos se priorizan con el sistema de puntuación de severidad de Datadog, que considera estado de producción, exposición pública y acceso a datos sensibles.
- Detecciones IA: el sistema incluye detecciones Bedrock específicas, como identificar buckets S3 con escritura pública utilizados para entrenamiento.
- Remediación: se proporcionan instrucciones paso a paso para remediar, ya sea en AWS, creando tickets en Jira o utilizando la automatización de flujos de trabajo. Las acciones de remediación actualizan la postura en Datadog.
- Visibilidad de la arquitectura: los diagramas de Cloud Map muestran recursos y relaciones, ofreciendo contexto IA dentro de la infraestructura.
- Privacidad y cumplimiento: Bedrock ofrece salvaguardas para filtrar contenido sensible y promover un uso responsable de IA; los datos se mantienen privados y cifrados en tránsito (TLS 1.2+) y en reposo (KMS). Implementación: Datadog Cloud Security puede desplegarse con el agente, sin agente o con ambos para una cobertura máxima.
- Conformidad y normas: Bedrock cumple con ISO, SOC, CSA STAR, elegibilidad HIPAA, GDPR y FedRAMP High, adecuado para industrias reguladas. Estas capacidades se apoyan en la experiencia de seguridad en la nube de Datadog y en la integración ya establecida con AWS, proporcionando una vista unificada de riesgos de IA y un camino más rápido hacia implementaciones IA seguras.
Puntos clave
- Añadido Bedrock con deteciones y remediaciones en Datadog Cloud Security.
- Detección de riesgos en tiempo real, seguridad IA holística y cumplimiento simplificado con detecciones preconstruidas.
- Priorización de hallazgos con puntuación de riesgo que considera producción, exposición pública y sensibilidad de datos.
- Remediación integrada y accionable, con opciones para corregir en AWS, crear tickets en Jira o usar automatización de flujos de trabajo.
- Visualización en Cloud Map para contextualizar riesgos IA dentro de la arquitectura.
FAQ
Referencias
More news
Llevar agentes de IA de concepto a producción con Amazon Bedrock AgentCore
Análisis detallado de cómo Amazon Bedrock AgentCore facilita la transición de aplicaciones de IA basadas en agentes desde un concepto de prueba hasta sistemas de producción empresariales, conservando memoria, seguridad, observabilidad y gestión escalable de herramientas.
Monitorear la inferencia por lotes de Bedrock de AWS con métricas de CloudWatch
Descubra cómo monitorear y optimizar trabajos de inferencia por lotes de Bedrock con métricas, alarmas y paneles de CloudWatch para mejorar rendimiento, costos y operación.
Solicitando precisión con Stability AI Image Services en Amazon Bedrock
Bedrock incorpora Stability AI Image Services con nueve herramientas para crear y editar imágenes con mayor precisión. Descubre técnicas de prompting para uso empresarial.
Escala la producción visual con Stability AI Image Services en Amazon Bedrock
Stability AI Image Services ya está disponible en Amazon Bedrock, ofreciendo capacidades de edición de imágenes listas para usar a través de la API de Bedrock y ampliando los modelos Stable Diffusion 3.5 y Stable Image Core/Ultra ya presentes.
Usar AWS Deep Learning Containers con Amazon SageMaker AI MLflow gestionado
Vea cómo los AWS Deep Learning Containers (DLCs) se integran con SageMaker AI gestionado por MLflow para equilibrar el control de la infraestructura y una gobernanza de ML sólida. Un flujo de TensorFlow para predicción de edad de abalones ilustra el seguimiento de extremo a extremo y la trazabilidad
Construir Flujos de Trabajo Agenticos con GPT OSS de OpenAI en SageMaker AI y Bedrock AgentCore
Visión general de extremo a extremo para implementar modelos GPT OSS de OpenAI en SageMaker AI y Bedrock AgentCore, impulsando un analizador de acciones multiagente con LangGraph, con cuantización MXFP4 de 4 bits y orquestación serverless.