Home Машинное обучение Рекомендации по созданию безопасных приложений с помощью Amazon Transcribe | DeepTech

Рекомендации по созданию безопасных приложений с помощью Amazon Transcribe | DeepTech

0
Рекомендации по созданию безопасных приложений с помощью Amazon Transcribe
 | DeepTech

Amazon Transcribe — это сервис AWS, который позволяет клиентам преобразовывать речь в текст в пакетном или потоковом режиме. Он использует автоматическое распознавание речи (ASR), автоматическую идентификацию языка и технологии постобработки на основе машинного обучения. Amazon Transcribe можно использовать для расшифровки звонков в службу поддержки клиентов, многосторонних конференц-звонков и сообщений голосовой почты, а также для создания субтитров для записанных и живых видео, и это лишь несколько примеров. В этой записи блога вы узнаете, как реализовать в своих приложениях возможности Amazon Transcribe таким образом, чтобы это соответствовало вашим требованиям безопасности.

Некоторые клиенты доверяют Amazon Transcribe данные, которые являются конфиденциальными и являются собственностью их бизнеса. В других случаях аудиоконтент, обрабатываемый Amazon Transcribe, может содержать конфиденциальные данные, которые необходимо защитить в соответствии с местными законами и правилами. Примерами такой информации являются личная информация (PII), личная медицинская информация (PHI) и данные индустрии платежных карт (PCI). В следующих разделах блога мы рассмотрим различные механизмы, которые Amazon Transcribe использует для защиты данных клиентов как при передаче, так и при хранении. Мы поделимся следующими семью рекомендациями по обеспечению безопасности для создания приложений с помощью Amazon Transcribe, отвечающих вашим требованиям безопасности и соответствия требованиям:

  1. Используйте защиту данных с помощью Amazon Transcribe
  2. Общайтесь по пути частной сети
  3. При необходимости отредактируйте конфиденциальные данные.
  4. Используйте роли IAM для приложений и сервисов AWS, которым требуется доступ к Amazon Transcribe.
  5. Используйте контроль доступа на основе тегов
  6. Используйте инструменты мониторинга AWS
  7. Включить конфигурацию AWS

Следующие рекомендации являются общими рекомендациями и не представляют собой комплексного решения по обеспечению безопасности. Поскольку эти рекомендации могут оказаться неприемлемыми или недостаточными для вашей среды, используйте их как полезные рекомендации, а не как рекомендации.

Лучшая практика 1. Используйте защиту данных с помощью Amazon Transcribe

Amazon Transcribe соответствует модели общей ответственности AWS, которая отличает ответственность AWS за безопасность облака от ответственности клиента за безопасность в облаке.

AWS отвечает за защиту глобальной инфраструктуры, на которой работает все облако AWS. Как клиент вы несете ответственность за контроль над своим контентом, размещенным в этой инфраструктуре. Этот контент включает в себя задачи настройки безопасности и управления для сервисов AWS, которые вы используете. Дополнительную информацию о конфиденциальности данных см. в разделе Часто задаваемые вопросы о конфиденциальности данных.

Защита данных при передаче

Шифрование данных используется для обеспечения конфиденциальности передачи данных между вашим приложением и Amazon Transcribe. Использование надежных криптографических алгоритмов защищает данные во время их передачи.

Amazon Transcribe может работать в одном из двух режимов:

  • Потоковое транскрипция разрешить транскрипцию медиапотока в режиме реального времени
  • Пакетная транскрипция разрешить транскрипцию аудиофайлов с использованием асинхронных заданий.

В режиме потоковой транскрипции клиентские приложения открывают двунаправленное потоковое соединение через HTTP/2 или WebSockets. Приложение отправляет аудиопоток в Amazon Transcribe, а сервис отвечает потоком текста в режиме реального времени. Потоковые соединения HTTP/2 и WebSockets устанавливаются через Transport Layer Security (TLS), который является широко распространенным криптографическим протоколом. TLS обеспечивает аутентификацию и шифрование передаваемых данных с помощью сертификатов AWS. Мы рекомендуем использовать TLS 1.2 или более позднюю версию.

В режиме пакетной транскрипции аудиофайл сначала необходимо поместить в корзину Amazon Simple Storage Service (Amazon S3). Затем в Amazon Transcribe создается пакетное задание транскрипции, ссылающееся на URI S3 этого файла. Как Amazon Transcribe в пакетном режиме, так и Amazon S3 используют HTTP/1.1 поверх TLS для защиты данных при передаче.

Все запросы к Amazon Transcribe через HTTP и WebSockets должны проходить аутентификацию с использованием подписи AWS версии 4. Рекомендуется также использовать подпись версии 4 для аутентификации HTTP-запросов к Amazon S3, хотя в некоторых регионах AWS также возможна аутентификация с использованием более старой подписи версии 2. . Приложения должны иметь действительные учетные данные для подписи запросов API к сервисам AWS.

Защита данных в состоянии покоя

Amazon Transcribe в пакетном режиме использует корзины S3 для хранения как входного аудиофайла, так и выходного файла транскрипции. Клиенты используют корзину S3 для хранения входного аудиофайла, и настоятельно рекомендуется включить в этой корзине шифрование. Amazon Transcribe поддерживает следующие методы шифрования S3:

Оба метода шифруют данные клиента при их записи на диски и расшифровывают их при доступе к ним, используя один из самых надежных доступных блочных шифров: 256-битный расширенный стандарт шифрования (AES-256) GCM. При использовании SSE-S3 ключи шифрования управляются. и регулярно чередуется сервисом Amazon S3. Для дополнительной безопасности и соответствия требованиям SSE-KMS предоставляет клиентам контроль над ключами шифрования через службу управления ключами AWS (AWS KMS). AWS KMS предоставляет дополнительные элементы управления доступом, поскольку у вас должны быть разрешения на использование соответствующих ключей KMS для шифрования и дешифрования объектов в корзинах S3, настроенных с помощью SSE-KMS. Кроме того, SSE-KMS предоставляет клиентам возможность вести контрольный журнал, в котором фиксируется, кто и когда использовал ваши ключи KMS.

Выходная транскрипция может храниться в той же или другой корзине S3, принадлежащей клиенту. В этом случае применяются те же параметры шифрования SSE-S3 и SSE-KMS. Другой вариант вывода Amazon Transcribe в пакетном режиме — использование корзины S3, управляемой сервисом. Затем выходные данные помещаются в защищенную корзину S3, управляемую сервисом Amazon Transcribe, и вам предоставляется временный URI, который можно использовать для загрузки вашей расшифровки.

Amazon Transcribe использует зашифрованные тома Amazon Elastic Block Store (Amazon EBS) для временного хранения данных клиентов во время обработки мультимедиа. Данные о клиентах очищаются как для полных случаев, так и для случаев сбоя.

Лучшая практика 2. Общайтесь по частной сети.

Многие клиенты полагаются на шифрование при передаче для безопасного взаимодействия с Amazon Transcribe через Интернет. Однако для некоторых приложений шифрования данных при передаче может быть недостаточно для удовлетворения требований безопасности. В некоторых случаях требуется, чтобы данные не проходили через общедоступные сети, такие как Интернет. Кроме того, может потребоваться развертывание приложения в частной среде, не подключенной к Интернету. Чтобы удовлетворить этим требованиям, используйте конечные точки интерфейса VPC на базе AWS PrivateLink.

На следующей архитектурной диаграмме показан вариант использования, когда приложение развертывается на Amazon EC2. Экземпляр EC2, на котором запущено приложение, не имеет доступа к Интернету и взаимодействует с Amazon Transcribe и Amazon S3 через конечные точки интерфейса VPC.

Экземпляр EC2 внутри VPC взаимодействует со службами Amazon Transcribe и Amazon S3 в том же регионе через конечные точки интерфейса VPC.

В некоторых сценариях приложение, взаимодействующее с Amazon Transcribe, может быть развернуто в локальном центре обработки данных. Могут существовать дополнительные требования безопасности или соответствия, согласно которым данные, передаваемые с помощью Amazon Transcribe, не должны проходить через общедоступные сети, такие как Интернет. В этом случае можно использовать частное подключение через AWS Direct Connect. На следующей диаграмме показана архитектура, которая позволяет локальному приложению взаимодействовать с Amazon Transcribe без какого-либо подключения к Интернету.

Корпоративный дата-центр с сервером приложений подключен к облаку AWS через AWS Direct Connect.  Локальный сервер приложений взаимодействует с сервисами Amazon Transcribe и Amazon S3 через AWS Direct Connect, а затем взаимодействует с конечными точками VPC.

Лучшая практика 3. При необходимости отредактируйте конфиденциальные данные.

В некоторых случаях использования и нормативно-правовой базе может потребоваться удаление конфиденциальных данных из стенограмм и аудиофайлов. Amazon Transcribe поддерживает идентификацию и редактирование личной информации (PII), такой как имена, адреса, номера социального страхования и т. д. Эту возможность можно использовать, чтобы клиенты могли обеспечить соответствие требованиям индустрии платежных карт (PCI) путем редактирования личных данных, таких как номер кредитной или дебетовой карты, срок действия и трехзначный код проверки карты (CVV). В стенограммах с отредактированной информацией PII будет заменен заполнителями в квадратных скобках, указывающими, какой тип PII был отредактирован. Потоковая транскрипция поддерживает дополнительную возможность только идентифицировать персональные данные и маркировать их без редактирования. Типы личных данных, редактируемых Amazon Transcribe, различаются в зависимости от пакетной и потоковой транскрипции. Дополнительные сведения см. в разделах «Редактирование личных данных в пакетном задании» и «Редактирование или идентификация личных данных в потоке реального времени».

Специализированные API-интерфейсы Amazon Transcribe Call Analytics имеют встроенную возможность редактировать персональные данные как в текстовых расшифровках, так и в аудиофайлах. Этот API использует специализированные модели преобразования речи в текст и обработки естественного языка (NLP), специально предназначенные для понимания звонков по обслуживанию клиентов и продаж. В других случаях вы можете использовать это решение для удаления личных данных из аудиофайлов с помощью Amazon Transcribe.

Дополнительные рекомендации по безопасности Amazon Transcribe

Передовая практика 4 – Использовать Роли IAM для приложений и сервисов AWS, которым требуется доступ к Amazon Transcribe. При использовании роли вам не нужно передавать долгосрочные учетные данные, такие как пароли или ключи доступа, экземпляру EC2 или сервису AWS. Роли IAM могут предоставлять временные разрешения, которые приложения могут использовать при отправке запросов к ресурсам AWS.

Передовая практика 5 – Использовать контроль доступа на основе тегов. Вы можете использовать теги для управления доступом к своим учетным записям AWS. В Amazon Transcribe теги можно добавлять к заданиям по транскрипции, пользовательским словарям, пользовательским словарным фильтрам и пользовательским языковым моделям.

Передовая практика 6 – Используйте инструменты мониторинга AWS. Мониторинг — важная часть поддержания надежности, безопасности, доступности и производительности Amazon Transcribe и ваших решений AWS. Вы можете отслеживать Amazon Transcribe с помощью AWS CloudTrail и Amazon CloudWatch.

Передовая практика 7 – Давать возможность Конфигурация AWS. AWS Config позволяет вам оценивать, проверять и анализировать конфигурации ваших ресурсов AWS. Используя AWS Config, вы можете просматривать изменения в конфигурациях и взаимосвязях между ресурсами AWS, изучать подробную историю конфигураций ресурсов и определять общее соответствие конфигурациям, указанным в ваших внутренних рекомендациях. Это может помочь вам упростить аудит соответствия, анализ безопасности, управление изменениями и устранение эксплуатационных неполадок.

Проверка соответствия Amazon Transcribe

Приложения, созданные вами на AWS, могут подпадать под действие программ соответствия, таких как SOC, PCI, FedRAMP и HIPAA. AWS использует сторонних аудиторов для оценки своих сервисов на соответствие различным программам. AWS Artifact позволяет загружать сторонние отчеты об аудите.

Чтобы узнать, подпадает ли тот или иной сервис AWS под действие конкретных программ соответствия, см. раздел «Сервисы AWS» в разделе «Программа соответствия». Дополнительную информацию и ресурсы, которые AWS предоставляет клиентам для обеспечения соответствия требованиям, см. в разделах «Проверка соответствия для Amazon Transcribe» и «Ресурсы по обеспечению соответствия AWS».

Заключение

В этом посте вы узнали о различных механизмах безопасности, передовых методах и архитектурных шаблонах, доступных для создания безопасных приложений с помощью Amazon Transcribe. Вы можете защитить свои конфиденциальные данные как при передаче, так и при хранении с помощью надежного шифрования. Редактирование PII можно использовать для удаления личной информации из ваших стенограмм, если вы не хотите ее обрабатывать и хранить. Конечные точки VPC и Direct Connect позволяют установить частное соединение между вашим приложением и сервисом Amazon Transcribe. Мы также предоставили ссылки, которые помогут вам проверить соответствие вашего приложения с помощью Amazon Transcribe таким программам, как SOC, PCI, FedRAMP и HIPAA.

В качестве следующих шагов ознакомьтесь с разделом «Начало работы с Amazon Transcribe», чтобы быстро начать использовать сервис. Подробную информацию о сервисе можно найти в документации Amazon Transcribe. Следите за Amazon Transcribe в блоге AWS Machine Learning, чтобы быть в курсе новых возможностей и вариантов использования Amazon Transcribe.


об авторе

Портретное изображение Алекса Булаткина, архитектора решений в AWS

Алексей Булаткин — архитектор решений в AWS. Ему нравится помогать поставщикам услуг связи создавать инновационные решения на платформе AWS, которые меняют представление о телекоммуникационной отрасли. Он с энтузиазмом работает с клиентами над внедрением возможностей сервисов искусственного интеллекта AWS в их приложения. Алекс живет в столичном регионе Денвера и любит ходить в походы, кататься на лыжах и сноуборде.

LEAVE A REPLY

Please enter your comment!
Please enter your name here