Introducción
Ahora que los equipos de infraestructura despliegan modelos de IA, agentes y pipelines a escala en AWS, surge un problema crítico: no hay visibilidad centralizada de qué activos de IA existen ni cómo impactan tu postura de seguridad. Sin esta información, los hallazgos de amenazas en GuardDuty, las vulnerabilidades en Inspector o las configuraciones incorrectas en Config pueden quedar desconectados de los activos que realmente importan.
AWS Security Hub recién incorporó el inventario de IA, que descubre y correlaciona automáticamente modelos, endpoints de inferencia, agentes y dependencias externas en toda tu organización. Este inventario se actualiza continuamente, mapea cada activo a su infraestructura subyacente y lo vincula con hallazgos de seguridad del stack de AWS. En esta guía, vas a configurarlo en tu entorno y aprender a priorizar riesgos basados en amenazas activas.
Qué es y para qué sirve
El inventario de IA de Security Hub es un catálogo automático y en tiempo real de todos los activos de IA en tu organización, agrupados por cuenta, tipo de recurso, método de descubrimiento y modelo específico. Su propósito es resolver tres problemas comunes:
- Visibilidad fragmentada: Los modelos desplegados en SageMaker, Bedrock o EC2, los agentes de IA en contenedores y las llamadas a APIs externas (ej: Anthropic, Mistral) no siempre quedan registrados en una sola consola. El inventario los une en un único dashboard.
- Correlación de riesgos: Cada activo descubierto se vincula con hallazgos de GuardDuty (amenazas), Inspector (vulnerabilidades en SBOM) y Config (recursos no conformes). Así podés ver, por ejemplo, que un endpoint de inferencia de vLLM en EC2 tiene un hallazgo crítico de GuardDuty.
- Priorización basada en riesgo: Podés filtrar el inventario por cuentas, tipos de recursos (ej:
SageMakerEndpoint), métodos de descubrimiento (Bedrock vs. EC2) o modelos específicos (ej:llama-3-8b). Esto permite enfocar remediaciones en los activos bajo amenaza activa.
El inventario no requiere configuración adicional para servicios gestionados (Bedrock, SageMaker), pero sí necesita que estén habilitados:
- Amazon Inspector (para analizar SBOM de EC2 y ECR).
- Amazon GuardDuty (para detectar llamadas a APIs externas desde EC2).
- AWS Config (para inventariar recursos de Bedrock y SageMaker).
Prerequisitos
| Requisito | Versión/Configuración | Notas |
|---|---|---|
| **AWS Security Hub** | Habilitado en todas las cuentas | Debe estar en modo **Administrador** si usás AWS Organizations. |
| **Amazon GuardDuty** | Habilitado en todas las cuentas | Requerido para detectar llamadas a APIs externas. |
| **Amazon Inspector** | Versión 2 (Vulnerability Scanning) | Debe tener **SBOM analysis** activado. |
| **AWS Config** | Habilitado con reglas de Bedrock y SageMaker | Usá el **conjunto de reglas de AWS Managed Config** para estos servicios. |
| **Permisos** | Rol de IAM con BLOCK19 , BLOCK20 , BLOCK21 | En la cuenta **Administradora de Security Hub**. |
| **Regiones** | Todas las regiones comerciales de AWS | El inventario está disponible donde Security Hub esté habilitado. |
| **Herramientas CLI** | AWS CLI v2, BLOCK22 | Para automatizar consultas posteriores. |
# Confirmá que Security Hub esté activo en tu cuenta
aws securityhub get-enabled-standards --region us-east-1
# Verificá que GuardDuty esté activo
aws guardduty list-detectors --region us-east-1
# Confirmá que Inspector esté activo (versión 2)
aws inspector2 list-findings --region us-east-1Error común: Si no ves hallazgos en Inspector, revisá que el agente de Inspector esté instalado en tus instancias EC2. Usá:aws inspector2 list-agent-ids --region us-east-1Guía paso a paso
1. Habilitá el estándar de AWS Foundational Security Best Practices (FSBP) en Security Hub
Este estándar incluye reglas que Security Hub usa para correlacionar hallazgos con los activos de IA descubiertos.
# Habilitá el estándar (repetí esto en todas las cuentas si usás Organizations)
aws securityhub batch-enable-standards \
--region us-east-1 \
--standards-arn arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0Resultado esperado:{
"StandardsSubscriptions": [
{
"StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"StandardsStatus": "READY"
}
]
}Nota: Si ya tenés FSBP habilitado, omití este paso.2. Verificá que los servicios de IA gestionados estén inventariados automáticamente
Security Hub descubre recursos de Amazon Bedrock, Bedrock AgentCore y Amazon SageMaker sin configuración adicional.
# Listá los recursos de Bedrock inventariados por Config
aws configservice get-resource-config-history \
--region us-east-1 \
--resource-type AWS::Bedrock::Agent \
--query 'configurationItems[].resourceName' --output textResultado esperado:Si tenés agentes en Bedrock, verás sus nombres (ej: my-agent-1, financial-analyst).
- Si no ves recursos, verifica que AWS Config esté activo y que las reglas de Bedrock/SageMaker estén habilitadas:
aws configservice list-discovered-resources \
--region us-east-1 \
--resource-type AWS::Bedrock::Agent
3. Configurá Amazon Inspector para descubrir AI en EC2 y ECR
Amazon Inspector ahora analiza SBOM (Software Bill of Materials) de tus instancias EC2 y repositorios ECR para identificar:
- Endpoints de inferencia (ej:
vllm,ollama). - Modelos alojados localmente (ej:
huggingface-tgi). - Frameworks de IA populares.
- El rol de IAM de Inspector debe tener permisos para escanear EC2 y ECR.
- Los agentes de Inspector deben estar instalados en tus instancias.
# Activá el escaneo de vulnerabilidades y SBOM en Inspector
aws inspector2 create-filter \
--region us-east-1 \
--name "AI-Security-Filter" \
--filter-criteria '{"vulnerabilitySeverities": [{"severity": "HIGH"}], "sbomScanning": {"enabled": true}}'Resultado esperado:{
"filterArn": "arn:aws:inspector2:us-east-1:123456789012:filter/0123456789abcdef0123456789abcdef"
}Verificación en EC2:# Listá hallazgos de SBOM en EC2 (buscá por "AI" o "model")
aws inspector2 list-findings \
--region us-east-1 \
--filter-criteria '{"sbomComponentTypes": ["AI_INFERENCE_ENDPOINT", "AI_MODEL"]}'Resultado esperado:{
"findings": [
{
"id": "arn:aws:inspector2:us-east-1:123456789012:finding/0123456789abcdef0123456789abcdef",
"type": "SAGEMAKER_ENDPOINT_VULNERABLE",
"resources": [{"id": "i-1234567890abcdef0"}]
}
]
}4. Usá GuardDuty para descubrir dependencias externas de IA
GuardDuty detecta llamadas a APIs externas desde EC2 (ej: api.anthropic.com, api.openai.com), que podrían ser dependencias no documentadas de modelos de terceros.
# Listá hallazgos de GuardDuty relacionados con IA
aws guardduty list-findings \
--region us-east-1 \
--detector-id <DETECTOR_ID> \
--filter-criteria '{"type": ["UnauthorizedApiCall"]}'Resultado esperado:{
"findingIds": ["abc123...", "def456..."]
}Interpretación:- Si un EC2 está llamando a
api.anthropic.com, es probable que use un modelo de Anthropic. El inventario de Security Hub lo marcará como dependencia externa de IA.
5. Explorá el inventario de IA en Security Hub
El inventario se actualiza cada 6 horas y se accede desde la consola de Security Hub en la pestaña «AI Inventory».
Pasos en la consola:- Abrí AWS Security Hub.
- Seleccioná «AI Inventory» en el menú lateral.
- Aplicá filtros:
prod-* (para ver solo cuentas de producción).– Resource Type: EC2Instance (para ver modelos alojados en instancias).
– Discovery Method: Inspector SBOM Analysis (para ver activos descubiertos por Inspector).
| Account | Resource Type | Model | Discovery Method | Threats |
|---|---|---|---|---|
