Chriz Betz, Head of Securirty di AWS, spiega come la sicurezza sia profondamente integrata nella cultura di Amazon e come proteggere i clienti nell’era dell‘intelligenza artificiale generativa.
In occasione di AWS re:Inforce, la conferenza annuale sulla sicurezza cloud di AWS, sono stati delineati sette motivi per cui sicurezza è stata e continuerà a essere la priorità assoluta per Amazon.
- Sicurezza come abilitatore di innovazione, inclusa la Generative AI:
Grazie a strumenti potenti e accessibili, l’IA generativa può trasformare radicalmente l’esperienza dei clienti. Tuttavia, senza una governance chiara, questa tecnologia può sollevare preoccupazioni riguardo alla sicurezza e alla privacy: non è raro che i dipendenti delle organizzazioni percepiscano la sicurezza come un ostacolo e questo approccio non solo è errato, ma anche controproducente. Infatti, la sicurezza come un fattore abilitante per il business: riduce il rischio, rafforza la resilienza e permette ai clienti di innovare più rapidamente e con maggiore fiducia in un contesto in rapida evoluzione.
- Responsabilità diffusa:
Un recente studio di un comitato consultivo del governo statunitense ha evidenziato che una cultura carente in ambito di sicurezza può essere la causa principale di errori evitabili che consentono alle intrusioni di avere successo e di passare inosservate. In AWS, è stata fatta una scelta deliberata affinché il team dedicato alla sicurezza riporti direttamente al CEO, con l’obiettivo di integrare la protezione informatica nel tessuto strutturale dell’azienda. La protezione parte dall’alto, ma è altrettanto cruciale che la responsabilità si diffonda a tutti i livelli. La sicurezza non è solo compito del team dedicato, ma è una responsabilità condivisa.
Ogni team di prodotto è responsabile della sicurezza del servizio e viene integrata in ogni roadmap di prodotto, piano di ingegneria e riunione settimanale, al pari delle funzionalità, delle prestazioni e dei costi delle soluzioni in via di sviluppo. La sicurezza non è qualcosa che può essere “aggiunta” alla fine di un processo o esternamente a un sistema; piuttosto, è un elemento fondamentale e integrato.
- Controllo dei dati per i clienti
Durante l’esplorazione dell’adozione dell’AI generativa, una delle maggiori preoccupazioni emerse dai clienti riguarda la sicurezza dei dati propri e dei loro utenti finali. AWS ha integrato nei suoi servizi AI, fin dall’inizio, avanzate funzionalità di sicurezza e privacy, consentendo ai clienti di esercitare un controllo completo sui dati sensibili. Il sistema Nitro di AWS gioca un ruolo cruciale in questo contesto, utilizzando hardware specializzato e firmware per imporre rigorose restrizioni che proteggono l’infrastruttura, i carichi di lavoro e i dati sui server virtuali Amazon EC2 dai tentativi di accesso non autorizzato, sia interni che esterni.
Nello sviluppo di applicazioni di AI generativa, Bedrock offre ai clienti un controllo totale sui dati utilizzati per personalizzare i modelli di base delle loro applicazioni. Attraverso questo servizio di Amazon, i dati sono crittografati in modo sicuro durante il transito e quando sono a riposo, garantendo la massima riservatezza e protezione delle informazioni.
- Potenziamento della sicurezza tramite AI generativa
L’efficacia e facilità d’uso dell’AI generativa non solo la rendono estremamente attrattiva per i clienti, ma anche per il reparto IT e gli amministratori della sicurezza, in quanto può facilitare l’identificazione e la risoluzione delle problematiche con maggiore precisione. Durante l’edizione di quest’anno di re:Inforce sono stati presentati due nuovi strumenti di sicurezza alimentati dall’AI generativa:
- Una nuova funzionalità di generazione di query in linguaggio naturale che consente agli amministratori della sicurezza di analizzare in modo rapido ed efficace gli eventi di attività registrati in AWS CloudTrail Lake. Questo servizio consente alle organizzazioni di archiviare e interrogare gli eventi per le loro indagini di sicurezza. Gli amministratori possono ora formulare domande specifiche come “Quanti errori sono stati registrati per ciascun servizio nella scorsa settimana e quali sono le relative cause?”, ricevendo risposte immediate direttamente da CloudTrail.
- I clienti di AWS Audit Manager ora possono accedere a un framework predefinito per valutare come l’implementazione dell’AI generativa su Amazon SageMaker sia allineata alle migliori pratiche consigliate da AWS. Questo permette ai clienti di SageMaker di avviare audit in merito all’utilizzo della loro AI generativa e automatizzare la raccolta di prove, garantendo un approccio coerente per monitorare l’utilizzo dei modelli, gestire le autorizzazioni, individuare dati sensibili e segnalare eventuali problemi.
- Difesa proattiva
Ogni giorno, nell’infrastruttura di AWS, vengono condotte scansioni per individuare e contrastare gli attacchi informatici. Grazie alla più ampia copertura di rete pubblica tra tutti i provider di cloud, AWS ha un’incomparabile capacità di monitorare determinate attività su Internet in tempo reale. Lo scorso autunno sono stati condivisi dettagli su MadPot, la rete globale di sensori di minaccia distribuiti di AWS, che supporta i team nel comprendere le tattiche e le tecniche degli aggressori.
In particolare, al re:Inforce di quest’anno è stata la prima volta in cui è stato presentato pubblicamente Sonaris, uno strumento interno utilizzato per analizzare il traffico di rete al fine di identificare e bloccare tentativi maliziosi di connessione a numerosi account client per individuare vulnerabilità. Tra maggio 2023 e aprile 2024, Sonaris ha respinto oltre 24 miliardi di tentativi di scansione dei dati dei clienti archiviati in Amazon Simple Storage Service (Amazon S3) e ha impedito quasi 2,6 trilioni di tentativi di individuare servizi vulnerabili su server virtuali Amazon EC2 dei clienti. Questo impegno significativo avviene dietro le quinte per garantire la continuità operativa dei clienti.
- Adozione delle pratiche di base
Sebbene le password aiutino a proteggere i beni digitali, da sole non bastano. L’autenticazione a più fattori (MFA), che richiede agli utenti di fornire più di una semplice password per accedere a un sito web o a un’applicazione, rappresenta un ulteriore strato di sicurezza. Sebbene esista da oltre 20 anni, non è ancora adottata universalmente.
Per migliorare la protezione degli ambienti AWS, all’inizio di quest’anno è stato avviato un nuovo programma che imporrà l’uso dell’autenticazione a più fattori per gli account root delle AWS Organizations, riducendo ulteriormente il rischio di compromissione. Questo programma offre gratuitamente una chiave di sicurezza MFA ai clienti.
Per facilitare ulteriormente l’adozione della MFA, durante l’evento re:Inforce di quest’anno è stato annunciato che AWS Identity and Access Management (IAM), uno strumento utilizzato per gestire in modo sicuro le identità e l’accesso ai servizi e alle risorse AWS, ora supporta le passkey come metodo di autenticazione secondario. Le passkey utilizzano la crittografia a chiave pubblica, che consente un’autenticazione forte e resistente al phishing, risultando più sicura delle sole password.
- Impegno continuo nell’innovazione della sicurezza
Ogni giorno, le startup in rapida crescita, le grandi imprese e le organizzazioni governative più affidabili a livello mondiale scelgono AWS per gestire la loro infrastruttura tecnologica. Infatti, le soluzioni dell’azienda sono state progettate per garantire il massimo livello di protezione nell’esecuzione dei carichi di lavoro, fondando una cultura aziendale che considera la sicurezza un imperativo strategico. L’impegno nell’innovazione costante consente ai clienti di operare in modo rapido, sicuro e con fiducia, potenziando le loro attività. I risultati raggiunti nel settore della sicurezza cloud sono senza pari. Le sfide della cybersecurity continueranno a evolversi e, nonostante i traguardi ottenuti, l’obiettivo è il miglioramento continuo, avanzando tecnologie e rafforzando la cultura della sicurezza.