亞馬遜成為第一個(gè)將人工智能引入云存儲(chǔ)的公共云服務(wù)提供商，以幫助用戶保護(hù)數(shù)據(jù)安全。被稱為亞馬遜Macie的新服務(wù)依靠機(jī)器學(xué)習(xí)，自動(dòng)發(fā)現(xiàn)，分類和保護(hù)存儲(chǔ)在AWS中的敏感數(shù)據(jù)。該服務(wù)報(bào)告與存儲(chǔ)數(shù)據(jù)，及其權(quán)限和訪問(wèn)模式有關(guān)的潛在風(fēng)險(xiǎn)。

亞馬遜S3是非常流行的云存儲(chǔ)服務(wù)，受到眾多客戶的信賴。從大型企業(yè)到初創(chuàng)企業(yè)，各個(gè)規(guī)模的企業(yè)在S3內(nèi)存儲(chǔ)企業(yè)內(nèi)容，文件以及其他數(shù)字資產(chǎn)。在將文檔上傳到AmazonS3之前，客戶預(yù)計(jì)會(huì)創(chuàng)建存儲(chǔ)桶，這是保存文檔和數(shù)據(jù)的邏輯容器。每一個(gè)存儲(chǔ)桶都有不同級(jí)別的權(quán)限，以啟用或禁用文件訪問(wèn)。互聯(lián)網(wǎng)上的任何人都可以讀取存儲(chǔ)在具有公共訪問(wèn)權(quán)的存儲(chǔ)桶中的數(shù)據(jù)。

雖然有多種技術(shù)和好的做法可以保護(hù)S3存儲(chǔ)桶和文件，但是許多用戶并不認(rèn)真對(duì)待它們。2017年5月，Gizmodo報(bào)告說(shuō)，在擁有公開訪問(wèn)權(quán)限的亞馬遜S3上發(fā)現(xiàn)6萬(wàn)多個(gè)美國(guó)政府的敏感文件。約28GB的數(shù)據(jù)包含未加密密碼，這些密碼由最高機(jī)密清關(guān)設(shè)施的政府承包商所有。今年年初，美國(guó)國(guó)家地理空間情報(bào)局(NGA)聘請(qǐng)BoozAllen收集，分析由間諜衛(wèi)星和空中無(wú)人機(jī)采集的地理空間數(shù)據(jù)。UpGuard的網(wǎng)絡(luò)風(fēng)險(xiǎn)安全分析師ChrisVickery發(fā)現(xiàn)，許多密碼和密鑰都屬于BoozAllen的員工，他們?cè)诳晒_訪問(wèn)的亞馬遜S3存儲(chǔ)桶中進(jìn)行NGA項(xiàng)目的工作。這只是敏感數(shù)據(jù)被公開至何處的一個(gè)例子。

亞馬遜Macie的主要目標(biāo)是查找和報(bào)告存儲(chǔ)在未完全受保護(hù)的云平臺(tái)上的敏感數(shù)據(jù)。通過(guò)分析用法和訪問(wèn)模式，這已經(jīng)不是微不足道的建議了。當(dāng)Macie發(fā)現(xiàn)來(lái)自異常不同的IP地址的新用戶正在訪問(wèn)文檔時(shí)，它會(huì)提醒客戶。

AWS正利用有監(jiān)督和無(wú)監(jiān)督的機(jī)器學(xué)習(xí)算法使Macie智能化。它使用自然語(yǔ)言處理(NLP)來(lái)解析存儲(chǔ)在文檔中的數(shù)據(jù)，以識(shí)別信用卡號(hào)，社會(huì)安全號(hào)碼，電子郵件，密碼，API密鑰，SSH密鑰和其他敏感信息等模式。根據(jù)已知數(shù)據(jù)的敏感性和關(guān)鍵性，Macie將文檔歸類為事先定義風(fēng)險(xiǎn)級(jí)別。完成分類后，Macie將開始監(jiān)控高風(fēng)險(xiǎn)數(shù)據(jù)的訪問(wèn)方式。Macie運(yùn)用人工智能來(lái)了解歷史數(shù)據(jù)訪問(wèn)模式，并自動(dòng)評(píng)估用戶，應(yīng)用程序和服務(wù)帳戶的活動(dòng)。這可以幫助客戶檢測(cè)未經(jīng)授權(quán)的訪問(wèn)，并避免數(shù)據(jù)泄露。

亞馬遜Macie是如何獲得分類和推薦的數(shù)據(jù)安全機(jī)制，這備受關(guān)注。該服務(wù)依賴于三個(gè)獨(dú)立的輸入：

數(shù)據(jù)——Macie從存儲(chǔ)在MicrosoftWord，Excel和文本文件等的實(shí)際數(shù)據(jù)中提取關(guān)鍵詞。Macie還考慮文件擴(kuò)展名(MIME類型)來(lái)評(píng)估數(shù)據(jù)的敏感度。例如，香港服務(wù)器 香港服務(wù)器租用，PEM文件會(huì)影響Macie將文件移到比TXT文件更高的風(fēng)險(xiǎn)級(jí)別。

元數(shù)據(jù)——Macie還會(huì)考慮在文件，S3文件和存儲(chǔ)桶中可得的元數(shù)據(jù)。許多時(shí)候，在分類文檔時(shí)，元數(shù)據(jù)比數(shù)據(jù)更有幫助。

訪問(wèn)信息和憑證——Macie接入AmazonCloudTrail，這是AWS中的一個(gè)審查跟蹤服務(wù)，幾乎存錄了對(duì)AWS資源做出的所有API請(qǐng)求。該服務(wù)利用CloudTrail的能力采集在S3文件上的目標(biāo)級(jí)API活動(dòng)。除了CloudTrail之外，Macie還從身份及訪問(wèn)管理(IAM)中提取與用戶和角色相關(guān)的信息。

上述三個(gè)數(shù)據(jù)源作為Macie發(fā)現(xiàn)，香港站群服務(wù)器 美國(guó)服務(wù)器，分類和保護(hù)數(shù)據(jù)的關(guān)鍵輸入。雖然AmazonS3是Macie唯一支持的數(shù)據(jù)源，但AWS預(yù)計(jì)會(huì)引入AmazonRedShift，AmazonRDS，AmazonElasticFileSystem(AmazonEFS)等其他服務(wù)。在Macie開始與AWS的數(shù)據(jù)服務(wù)結(jié)合之前，這只是時(shí)間問(wèn)題。像大多數(shù)基于機(jī)器學(xué)習(xí)的算法一樣，利用額外數(shù)據(jù)，Macie只會(huì)變得更加優(yōu)秀。這會(huì)臨時(shí)提供該服務(wù)的分類和風(fēng)險(xiǎn)分析能力。

亞馬遜Macie并不是AWS的自產(chǎn)技術(shù)，其實(shí)該服務(wù)是來(lái)自Harvest.ai公司，今年年初，AWS以2000萬(wàn)美元收購(gòu)了這一初創(chuàng)公司。Harvest.ai打造了一個(gè)名為MacieAnalytics的產(chǎn)品，可以報(bào)告和防止企業(yè)的數(shù)據(jù)泄露。該產(chǎn)品現(xiàn)與AmazonS3結(jié)合成為AmazonMacie。

亞馬遜Macie只是啟用人工智能的基礎(chǔ)架構(gòu)服務(wù)的開始。隨著對(duì)機(jī)器學(xué)習(xí)和人工智能的大量投資，預(yù)計(jì)AWS，谷歌和微軟會(huì)將智能化引入云操作，DevOps和安全域。