Cómo acelerar la

innovación del machine

learning de manera segura
Las características de seguridad de Amazon
SageMaker y la nube de AWS lo ayudan a pasar
rápidamente de la idea a la producción.
INTRODUCCIÓN

Introducción: Cómo la seguridad ayuda

a obtener resultados basados en el
machine learning
Para crear modelos exitosos de machine learning, a menudo necesita
conjuntos de datos que son específicos de su empresa. Estos conjuntos
de datos son activos sumamente valiosos y deben protegerse en todas
las etapas del proceso de machine learning, incluida la preparación de los
datos, el entrenamiento, la validación y las inferencias.

En un proyecto típico de machine learning, la creación de un flujo de

trabajo seguro puede demandar meses. Recién entonces podrá comenzar
a trabajar con los modelos. Para mantener la aprobación de los ejecutivos,
se deben obtener resultados rápidamente, por lo que todo aquello que
permita reducir las demoras relacionadas con la seguridad permitirá
garantizar el compromiso general de la organización con su proyecto
y con las iniciativas de machine learning de mayor magnitud.

Amazon SageMaker es un servicio completamente administrado que

proporciona a todos los desarrolladores y científicos de datos la capacidad
de crear, entrenar e implementar modelos de machine learning de manera
rápida y segura. A continuación, se ofrece una descripción general de las
características de seguridad de Amazon SageMaker, mediante las que
su organización podrá cumplir con los estrictos requisitos de seguridad
relacionados con las cargas de trabajo de machine learning. En definitiva,
esto lo ayudará a pasar de la idea a la producción de un modo más rápido
y seguro, y con mayores probabilidades de éxito.

2
RESUMEN EJECUTIVO

Resumen ejecutivo
Por ser un servicio administrado de AWS,
Amazon SageMaker hereda de manera automática la
infraestructura global de AWS y sus características de
seguridad de red. AWS está pensado específicamente
para la nube y cuenta con centros de datos y una red Seguridad de la red Autenticación Protección de los datos
diseñados para ayudarlo a proteger su información, y de la infraestructura y autorización
Cifre los datos
identidades, aplicaciones y dispositivos. La infraestructura Controle el tráfico de datos Defina quién puede
automáticamente, tanto en
y la red de AWS se monitorean en todo momento entre los componentes de obtener autenticaciones y
reposo como en tránsito, con
para garantizar la confidencialidad, la integridad y la Amazon SageMaker en una autorizaciones para utilizar
la flexibilidad de utilizar sus
disponibilidad de sus datos. Además, Amazon SageMaker red privada. Garantice que las los recursos de Amazon
propias claves.
ofrece un conjunto completo de capacidades, de manera entradas y las salidas sean SageMaker, aplique reglas
que usted puede ejecutar las cargas de trabajo de seguras mediante la tenencia y lleve a cabo auditorías.
machine learning en el entorno más flexible y seguro individual, de modo tal que
que existe en la actualidad para tal fin. sus recursos y datos estén
protegidos.
Los siguientes son los criterios de seguridad más
importantes que los clientes tienen en cuenta a la
hora de evaluar las distintas soluciones de machine
learning. En conjunto, las características de seguridad
de Amazon SageMaker y de la nube de AWS le
permiten cumplir con dichos criterios al instante, por Monitoreo y auditorías Certificaciones
lo que puede poner en marcha el machine learning en de conformidad
Haga un seguimiento, rastree
aplicaciones de producción con total seguridad. y audite todos los eventos, Herede los controles de
los accesos a los datos, las conformidad más completos
interacciones y las llamadas a y cumpla fácilmente con los
la API hasta el nivel de las IP requisitos normativos que
y de los usuarios. regulan su actividad.

3
 SEGURIDAD DE LA RED Y DE LA INFRAESTRUCTURA

Seguridad de la red y de la infraestructura

La seguridad del amachine learning comienza en la infraestructura central, incluidos los recursos
informáticos subyacentes, el almacenamiento y las redes. Cuando evalúe las soluciones de machine
learning en relación con la seguridad de la red y de la infraestructura, tenga en cuenta los siguientes 3M innova sin perder el foco
criterios fundamentales: 1) la capacidad de aislar la red y de mantener el tráfico de datos entre los
distintos componentes del flujo de trabajo dentro de conexiones de red privadas y seguras; Por medio de la investigación y el desarrollo,
2) la capacidad de controlar el acceso y, más específicamente, de bloquear el flujo de entrada 3M presenta más de 1200 productos
(ingress) y de salida (egress) de datos y códigos, desde la Internet y hacia ella; y 3) un modelo de nuevos al año. Utiliza Amazon SageMaker
tenencias que permita aislar los entornos de los distintos usuarios. para aumentar la eficacia de los procesos
de control de calidad y para deshacerse
Amazon SageMaker utiliza Amazon Virtual Private Cloud (VPC), un servicio que provee secciones
de las tareas de inspección manual, que
de la nube de AWS lógicamente aisladas para iniciar sus recursos en una red virtual propia. Todo el
demandan mucho tiempo. 3M creó modelos
tráfico entre los distintos componentes de Amazon SageMaker ocurre dentro de esta red, que es
de machine learning para mejorar la
estrictamente controlada por permisos de grupos de seguridad. Usted también tiene la posibilidad
investigación, los análisis y la detección de
de implementar Amazon SageMaker dentro de su propia VPC para brindar un acceso seguro a los
defectos en relación con los materiales.
recursos privados.

Además, Amazon SageMaker permite que la red se aísle de Internet, para lo cual puede deshabilitar
Hoy contamos con procesos basados en
el tráfico saliente de datos hacia Internet a través de la red. Esto sirve para prevenir que los usuarios
el machine learning que son mucho más
queden expuestos a riesgos, como el que implica la instalación de un software no autorizado.
eficientes que los enfoques anteriores.
Asimismo, puede controlar el tráfico de red de Amazon SageMaker con AWS PrivateLink,
Con [Amazon] SageMaker, podemos
un servicio que brinda conectividad privada entre las VPC, los servicios de AWS y las aplicaciones
acceder de manera rentable y bajo
en las instalaciones. Más aún, las instancias de Amazon SageMaker se implementan en instancias
demanda a una infraestructura potente
de Amazon EC2 con tenencia individual, a fin de garantizar que sus entornos de machine learning
y a características de seguridad que
estén aislados de los de otros clientes. Por último, con Amazon SageMaker es posible restringir el
son muy completas. Esto nos permitió
acceso raíz a usuarios de manera programática. De este modo, puede decidir cuándo otorgarle a los
concentrarnos en la investigación,
científicos de datos la flexibilidad que necesitan para aprovechar las bibliotecas externas.
en lugar de estar pendientes de los
mecanismos para que el escalado de
Obtenga más información sobre la seguridad de la infraestructura y sobre nuestras capacidades informáticas
Amazon SageMaker » sea seguro.
David Frazee, director técnico, Laboratorio de
Sistemas de Investigación Corporativa, 3M
4
 AUTENTICACIÓN Y AUTORIZACIÓN

Autenticación y autorización
Una de las principales capacidades que necesita para proteger su entorno de machine learning
es un mecanismo sólido que le permita definir, regular y auditar quiénes pueden iniciar sesión (es
decir, la autenticación) y qué recursos y funciones están autorizados a usar (es decir, la autorización).

Amazon SageMaker se gestiona con AWS Identity and Access Management (IAM), un servicio
para administrar el acceso a los servicios y recursos de AWS de manera segura. Con AWS IAM,
puede establecer controles de acceso pormenorizados. Este servicio le permite especificar
quién puede realizar qué acciones en recursos específicos y en determinadas circunstancias,
en relación con características, usuarios, grupos y roles concretos. También puede incorporar
identidades de usuarios ya existentes desde AWS Directory Service, desde el directorio
de usuarios de su empresa, como Active Directory (AD) o el protocolo ligero de acceso a
directorios (LDAP), o desde un proveedor de identidad web.

Con el fin de ayudarlo a implementar mejores controles de acceso, SageMaker le ofrece lo siguiente:

1
Multi-factor authentication (MFA), que solicita a los usuarios su nombre de
usuario y contraseña (el primer factor) y un código de autenticación desde
su dispositivo AWS MFA (el segundo factor).

2
Control de acceso basado en etiquetas, para clasificar los recursos
según el uso, el propietario, el entorno y otros criterios. Esto facilita
la administración, la búsqueda y el filtrado de recursos.

3
Controles de detección, que sirven para identificar amenazas de
seguridad o incidentes potenciales a partir del comportamiento
del usuario en Amazon SageMaker.

4 Controles preventivos, que pueden detener una acción

potencialmente dañina antes de que ocurra.

Obtenga más información acerca de AWS IAM y de Amazon SageMaker »

5
 PROTECCIÓN DE LOS DATOS

Protección de los datos

Otro requisito de seguridad con el que deben cumplir las soluciones de machine learning es la protección
de los datos mediante el cifrado automático, ya sea en reposo, en tránsito o durante el entrenamiento en
clústeres distribuidos. Además, las soluciones de machine learning deben ser flexibles, de modo tal que le
permitan incorporar sus propias claves de cifrado.
Amazon SageMaker cuenta con capacidades de cifrado integradas para garantizar el cifrado de los conjuntos de
datos de entrenamiento, de los datos de entrada para inferencias y de otros artefactos de modelos y sistemas
de machine learning, tanto en reposo como en tránsito. Amazon SageMaker también le ofrece opciones flexibles
de cifrado mediante las claves administradas por Amazon SageMaker, por AWS o por el cliente.

Obtenga más información acerca de la protección de los datos en Amazon

SageMaker »

La NFL le hace un tackle a las lesiones de los jugadores

AWS y la Liga Nacional de Fútbol Americano (National Football League, NFL) están utilizando el machine
learning para diseñar The Digital Athlete (El atleta digital), una plataforma cuya finalidad es mejorar la
prevención y el tratamiento de lesiones y, en última instancia, poder predecirlas. A través de la recopilación
y la agrupación de datos anónimos de los jugadores, este programa será capaz de crear un compuesto para
simular infinitas situaciones relacionadas con el entorno del juego. La NFL y AWS esperan que, en el futuro,
el programa también pueda utilizarse fuera del ámbito de este deporte. Por ejemplo, podría ser una
herramienta muy útil en el sector de la salud.

“Como los datos que se utilizan en el modelado son extremadamente confidenciales,

necesitábamos una solución de ML, como Amazon SageMaker, que contara con
características integradas de seguridad y de conformidad normativa para proteger
los datos a lo largo de todo el proceso de ML”.
Jennifer Langton, vicepresidente sénior de salud y seguridad, NFL

6
MONITOREO Y AUDITORÍAS

Monitoreo y auditorías

Las auditorías consisten en el seguimiento, el “Elegimos [Amazon] CloudWatch porque nos

rastreo y el monitoreo de los eventos, los accesos permite simplificar el proceso de agrupar
a los datos, las interacciones y las llamadas a la diversos tipos de flujos de registros a partir de
API hasta el nivel de las IP y de los usuarios, a distintos servicios de AWS. Además, reduce los
fin de garantizar una rápida solución (si fuera gastos generales y la complejidad normalmente
necesario). Es fundamental poder capturar asociados a la administración de los registros”.
los seguimientos de las auditorías con un alto Con [Amazon] CloudWatch, también podemos
grado de detalle en relación con los usuarios, los exportar determinados registros mediante
archivos y los objetos. flujos de registros, gracias a lo cual hemos
podido establecer una canalización externa de
Amazon SageMaker está integrado con Amazon análisis de registros, que funciona de manera
CloudWatch Logs y con AWS CloudTrail para automática. Por eso, esta solución es la
el registro de eventos y de llamadas a la ganadora absoluta”.
API. También es posible fijar determinados
Moe Abbas, ingeniero sénior de software de seguridad,
límites y configurar alarmas para que envíen
Canva
notificaciones o que lleven a cabo acciones
cuando se alcancen dichos límites. Y se puede
identificar a los usuarios y las cuentas que
hicieron una llamada a AWS, además de conocer
la dirección IP de origen y el momento en el
que se realizó la llamada. Puesto que Amazon
SageMaker utiliza datos que provienen de
Amazon S3, todas las actividades relacionadas
con el acceso a los datos se registran
automáticamente para que sean monitoreadas.

Obtenga más información acerca del

registro y el monitoreo en Amazon
SageMaker »

7
 CERTIFICACIONES DE CONFORMIDAD

Conformidad normativa
En muchos casos, las soluciones de machine learning deben cumplir con ciertas normas y obtener
certificaciones de conformidad, que varían considerablemente según el país y la industria.
AWS es compatible con más normas de seguridad y con más certificaciones de conformidad que
cualquier otro proveedor de nube. Amazon SageMaker es un servicio de AWS que cumple con una
gran variedad de programas de conformidad, incluidos el estándar PCI, la ley HIPAA, los informes SOC
1-3, el programa FedRAMP y las normas ISO 9001, 27001, 27017 y 27018. Además, para ayudarlo
en sus esfuerzos con respecto a la conformidad normativa, AWS obtiene validaciones de terceros en
forma periódica y en relación con miles de requisitos de conformidad internacionales para los sectores
financiero, minorista, público y de la salud, entre otros. Para conocer las certificaciones más recientes de
SageMaker, visite el sitio del programa de conformidad de AWS.

Thomson Reuters innova más rápido y de manera segura

Thomson Reuters es el líder en servicios de información inteligente y confiable para empresas
y profesionales. Gracias a Amazon SageMaker, Thomson Reuters ha acelerado el desarrollo
de modelos de machine learning para una gran cantidad de soluciones innovadoras, como
la clasificación de textos y las respuestas a preguntas en lenguaje natural, a un bajo costo
y con una gran flexibilidad. Para complementar las características de seguridad de Amazon
SageMaker, creó una solución personalizada, a la que llamó Secure Content Workspaces (SCW).

“Amazon SageMaker ha permitido a nuestro equipo ahorrar infinidad de horas

de codificación que hubieran sido necesarias en una infraestructura de ML
autoadministrada. En forma conjunta, Amazon SageMaker y SCW hacen posible
que los científicos de datos y de investigaciones trabajen en la nube sin ser expertos
en ella, y que lo hagan en conformidad con nuestros estándares”.
John Duprey, director sénior de ingeniería, Centro de Inteligencia Artificial e Informática Cognitiva,
Thomson Reuters

8
Pruebe Amazon SageMaker gratis durante dos meses
Amazon SageMaker puede ayudar a su organización a proteger los entornos de machine learning
rápidamente, para que usted pueda enfocarse en escalar y en innovar a una mayor velocidad.
Como parte de la capa gratuita de AWS, puede empezar a utilizar Amazon SageMaker sin cargo.

Comience su prueba gratuita »