Detectar Configurações Incorretas do Amazon Bedrock com Datadog Cloud Security

TL;DR

• O Datadog Cloud Security agora oferece detecções e orientação de remediação para identificar e corrigir configurações incorretas do Amazon Bedrock antes que se tornem incidentes de segurança.
• A integração utiliza varredura sem agente e com agente para monitorar continuamente seu ambiente AWS em busca de configurações inadequadas, riscos de identidade, vulnerabilidades e violações de conformidade, priorizando com o Datadog Severity Scoring.
• Um risco representativo é o uso de buckets S3 publicamente graváveis para treino ou ajuste fino de modelos Bedrock, o que pode permitir envenenamento de dados; a Datadog oferece detecções prontas e passos de remediação.
• A solução utiliza diagramas em tempo real do Cloud Map para contextualizar os riscos de IA junto com exposição de dados sensíveis e outros sinais de segurança, melhorando clareza e velocidade de resposta.
• A parceria Datadog–AWS se estende a mais de 900 integrações, viabilizando cobertura de segurança de IA pronta para uso dentro de uma estratégia mais ampla de segurança em nuvem. Esta abordagem segue o AWS Shared Responsibility Model, com a AWS responsável pela segurança da infraestrutura e os clientes responsáveis por configurações seguras e controles de acesso dentro de seus ambientes Bedrock. Para mais detalhes, veja o post da AWS e Datadog.

Contexto e antecedentes

À medida que as organizações adotam cada vez mais o Amazon Bedrock para aplicações de IA generativa, a segurança de sua utilização se torna essencial. O Bedrock oferece segurança de nível empresarial ao incorporar proteções embutidas para privacidade de dados, controles de acesso, segurança de rede, conformidade e salvaguardas de IA responsável. Os dados do cliente são criptografados em trânsito (TLS 1.2 ou superior) e em repouso com o AWS KMS, com os clientes mantendo controle total sobre as chaves de criptografia. A privacidade de dados é central: suas entradas, prompts e saídas não são compartilhados com provedores de modelos nem usados para treinar modelos de base. O ajuste fino acontece em cópias privadas de modelos, assegurando confidencialidade dos dados. O acesso é rigidamente governado através do AWS IAM e políticas baseadas em recursos, permitindo autorização granular para usuários e funções. O Bedrock se integra ao AWS PrivateLink e oferece pontos de extremidade VPC para comunicação privada e interna, evitando que o tráfego saia da rede da Amazon. O serviço está em conformidade com padrões como ISO, SOC, CSA STAR, elegibilidade de HIPAA, GDPR e FedRAMP High, tornando-o adequado para setores regulados. Além disso, o Bedrock inclui salvaguardas configuráveis para filtrar conteúdos sensíveis ou prejudiciais, promovendo o uso responsável de IA. A segurança segue o AWS Shared Responsibility Model, com a AWS cuidando da segurança da infraestrutura e os clientes gerenciando configurações seguras e controles de acesso em seu ambiente Bedrock. A Datadog e a AWS firmaram parceria para oferecer uma visão holística de riscos de IA, vulnerabilidades, exposição de dados sensíveis e outras configurações incorretas. O Datadog Cloud Security utiliza varredura sem agente e com agente para ajudar as organizações a identificar, priorizar e remediar riscos em recursos de nuvem. As detecções são enriquecidas por dados de observabilidade, fortalecendo a postura de segurança na implementação de IA. Com a adoção acelerada de IA, incorporar segurança aos processos existentes torna-se crucial, especialmente com regulamentações mais restritas. Detalhes sobre por que a integração Bedrock foi priorizada aparecem na colaboração AWS-Datadog dentro do ecossistema Bedrock. Durante o quarto trimestre de 2024, a pesquisa de segurança da Datadog observou maior interesse de atores mal-intencionados em ambientes de IA na nuvem, ressaltando a relevância desta integração. Ao combinar as capacidades de IA da AWS com a expertise em segurança da Datadog, equipes podem acelerar a adoção de IA mantendo controles robustos.

O que há de novo

Datadog e AWS expandem para três capacidades centrais dentro do Datadog Cloud Security para proteger implemen­tações Bedrock:

• Segurança de IA holística: integra a segurança de IA à sua estratégia de segurança em nuvem, contextualizando riscos de IA com outros sinais de segurança (exposição de identidade, configurações inadequadas, etc.).
• Detecção de risco em tempo real: detecta potenciais problemas de segurança relacionados à IA assim que surgem, permitindo resposta e remediação mais rápidas.
• Conformidade simplificada: fornece detecções prontas e orientações de remediação para ajudar a atender a regulamentações de IA em evolução. Essa parceria habilita detecções para clientes Bedrock e se integra ao Cloud Map para visualizar diagramas de arquitetura em tempo real, colocando riscos de IA no contexto da infraestrutura circundante. A varredura sem agente continua, monitorando o ambiente AWS a cada 15 minutos a 2 horas. Além das detecções específicas do Bedrock, o sistema oferece um catálogo com centenas de regras prontas para identificar configurações incorretas e caminhos de ameaça exploráveis por adversários, mantendo o contexto de segurança em toda a AWS.

Por que isso importa (impacto para desenvolvedores/empresas)

Para desenvolvedores e empresas, essa integração traz benefícios concretos conforme a IA se torna mais presente:

• Adoção de IA segura mais rápida: ao incorporar a segurança de IA aos fluxos de segurança em nuvem existentes, as equipes inovam mais rápido sem abrir mão do controle.
• Visibilidade precoce de riscos: detecções em tempo real com pontuação de risco contextualizada ajudam equipes a priorizar problemas críticos, reduzindo ruído e acelerando a remediação.
• Melhor postura de conformidade: detecções prontas e fluxos de remediação ajudam a alinhar-se a regulamentações e governança interna, com pontuações de postura refletindo remediações concluídas.
• Segurança escalável: a ampla base de integrações (mais de 900) e a experiência em segurança em nuvem da Datadog permitem monitoramento escalável em ambientes híbridos e multi-nuvem. Os clientes podem visualizar as questões junto de infraestrutura relacionada usando o Cloud Map, o que facilita entender como os recursos Bedrock interagem com outros recursos da AWS e com data stores. A abordagem enfatiza criptografia forte, redes privadas e controles de acesso rígidos para manter cargas de IA seguras em setores regulados.

Detalhes técnicos ou Implementação

• Abordagem de varredura: Datadog Cloud Security suporta varredura sem agente e com agente para identificar configurações incorretas, riscos de identidade, vulnerabilidades e violações de conformidade em recursos AWS.
• Programação: a varredura sem agente ocorre em intervalos configuráveis entre 15 minutos e 2 horas, permitindo detecção oportuna conforme as configurações se alteram.
• Pontuação de risco: as descobertas são priorizadas pelo Datadog Severity Scoring, que considera status de produção, exposição pública e acesso a dados sensíveis.
• Detecções focadas em IA: o sistema inclui detecções específicas para Bedrock, como identificar buckets S3 com escrita pública usados para treinamento.
• Remediação: fornece orientações passo a passo para remediação, com opções de corrigir em AWS, criar tickets no Jira ou acionar automação de fluxo de trabalho. Remediações atualizam a postura no Datadog.
• Visibilidade da arquitetura: diagramas no Cloud Map mostram recursos e relações, fornecendo contexto de IA dentro da infraestrutura.
• Privacidade e conformidade: Bedrock oferece salvaguardas para filtrar conteúdo sensível e orientar uso responsável de IA; dados são protegidos com criptografia em trânsito (TLS 1.2+) e em repouso (KMS) e não são compartilhados com provedores de modelos nem usados para treinar modelos de base.
• Opções de implantação: o Datadog Cloud Security pode ser implantado com o agente Datadog, de forma sem agente, ou com ambos, para cobrir todo o ambiente AWS.
• Padrões de conformidade: Bedrock está em conformidade com ISO, SOC, CSA STAR, elegibilidade HIPAA, GDPR e FedRAMP High, tornando-o adequado para setores regulados. Essas capacidades se apoiam na expertise existente de segurança em nuvem da Datadog e na integração já estabelecida com a AWS, permitindo uma visão unificada de riscos de IA e um caminho mais rápido para implantações de IA seguras.

Principais pontos

• Adição de detecções específicas do Bedrock e orientações de remediação no Datadog Cloud Security.
• Detecção de risco em tempo real, segurança de IA holística e conformidade simplificada com detecções prontas.
• Priorização de achados com pontuação de risco que considera produção, exposição pública e sensibilidade de dados.
• Remediação acionável integrada, com opções para corrigir em AWS, criar tickets no Jira ou usar automação de fluxo de trabalho.
• Visibilidade via Cloud Map para contextualizar riscos de IA na arquitetura de nuvem.

Referências

• https://aws.amazon.com/blogs/machine-learning/detect-amazon-bedrock-misconfigurations-with-datadog-cloud-security/