Automatizando Coleta de Evidências de Conformidade com IA

Desafios Operacionais em Auditorias de Conformidade

Auditorias de conformidade exigem trilhas abrangentes de evidências, frequentemente envolvendo centenas de screenshots distribuídos entre múltiplos sistemas. Equipes de conformidade gastam horas navegando manualmente por repositórios, consoles da AWS e aplicações internas, capturando screenshots em cada etapa do processo. Esse trabalho manual consome tempo, é propenso a erros e torna-se difícil de reproduzir consistentemente em ciclos de auditoria subsequentes.

A AWS, em colaboração com técnicos em suporte corporativo, desenvolveu uma abordagem inovadora para resolver esse problema através da combinação de automação de navegador e inteligência artificial generativa.

Solução de Automação com IA

A arquitetura proposta utiliza uma extensão de navegador que automatiza o processo de coleta de evidências empregando Amazon Bedrock com o modelo Amazon Nova 2 Lite. A extensão executa fluxos de trabalho pré-definidos de conformidade, captura automaticamente screenshots com timestamp e armazena as evidências de forma organizada no Amazon Simple Storage Service (Amazon S3). O sistema também é capaz de analisar documentos de conformidade e gerar novos fluxos de trabalho utilizando processamento de linguagem natural (PLN).

Por que Combinar Automação de Navegador com IA?

A decisão por essa abordagem considerou vários fatores: a solução funciona com qualquer aplicação web sem exigir acesso via API, captura evidências visuais que auditores necessitam, e consegue se adaptar a mudanças de interface através de automação inteligente. Essa flexibilidade é particularmente valiosa em ambientes complexos com múltiplas plataformas.

Arquitetura e Componentes Principais

A solução estrutura-se em uma extensão de navegador para Chrome e Firefox como interface principal, oferecendo três capacidades essenciais:

Coletor de Evidências

Executa fluxos de trabalho pré-definidos, navegando por aplicações web e capturando screenshots com timestamp em um bucket do Amazon S3. O sistema organiza automaticamente as evidências por data e fluxo de trabalho.

Projetista de Fluxos de Trabalho Alimentado por IA

Comunica-se com o Amazon Bedrock utilizando o modelo Amazon Nova 2 Lite. Quando você envia um documento de texto de conformidade, o modelo analisa o conteúdo e gera um arquivo JSON executável que a extensão consegue processar e executar automaticamente.

Entrega de Relatórios

Após a conclusão de um fluxo de trabalho, o Amazon Simple Email Service (Amazon SES) gera e envia um relatório de conformidade para um endereço de email especificado, consolidando todas as evidências capturadas.

Camadas da Arquitetura

Camada de Interface (UI): O painel lateral oferece a interface principal com três componentes: uma interface de chat para interação em linguagem natural com o Amazon Nova 2 Lite, um painel de gerenciamento de fluxos de trabalho mostrando status de execução e capacidades de edição, e uma interface de autenticação para login no Amazon Cognito.

Camada de Agente IA: O modelo Amazon Nova 2 Lite opera em três modos distintos. O modo chat permite fazer perguntas ad-hoc e executar ferramentas de automação de navegador baseadas em comandos em linguagem natural. O modo designer analisa documentos uploadados em formato .txt para extrair etapas de fluxo de trabalho e gerar scripts de automação. O modo de geração de relatórios analisa screenshots capturados após a conclusão do fluxo para gerar um relatório abrangente incluindo resumos de evidências, descobertas e avaliações de status de conformidade.

Motor de Execução de Fluxos de Trabalho: Processa fluxos de trabalho definidos em JSON passo a passo. O mecanismo trata navegação, aguarda carregamentos de página, captura screenshots com contexto e gerencia etapas de confirmação manual para ações como autenticação. Inclui recuperação de erros inteligente que utiliza o Amazon Nova 2 Lite para sugerir alternativas quando etapas falham.

Armazenamento e Serviços: O Amazon S3 armazena evidências com uma hierarquia de pasta estruturada, organizando screenshots, documentos de conformidade, prompts de IA, fluxos de trabalho com backups, logs de chat e relatórios gerados. A estrutura padronizada facilita auditoria e recuperação posterior de informações.

Autenticação e Gerenciamento de Acesso

A extensão utiliza o Amazon Cognito para gerenciar login de usuários. O Cognito trabalha integrado com o AWS Security Token Service (AWS STS) e o AWS Identity and Access Management (IAM) para fornecer à extensão credenciais com escopo limitado e privilégios mínimos para acessar Amazon Bedrock, Amazon S3 e Amazon SES. A AWS encripta evidências em repouso, organiza-as por data e fluxo de trabalho, e mantém logs de auditoria abrangentes.

Geração de Fluxos de Trabalho com IA

O projetista de fluxos de trabalho resolve um desafio crítico: criar fluxos de trabalho a partir de documentos de conformidade de forma rápida e precisa. O processo funciona em três etapas:

Primeira etapa (Upload de Documento): Você envia um arquivo de texto contendo requisitos de conformidade.

Segunda etapa (Análise por IA): O Amazon Nova 2 Lite extrai pontos de evidência necessários, identifica sistemas a verificar e determina oportunidades de automação.

Terceira etapa (Geração de Fluxo de Trabalho): O modelo IA gera um arquivo JSON completo com etapas de navegação, pontos de captura de screenshot e etapas de confirmação de usuário onde necessário.

Por exemplo, dado um documento informando “para coletar evidências, tiraremos screenshots do GitHub. Após fazer login, acesse o repositório ‘https://github.com/aws-samples’. Verifique se a proteção de branch está ativada no branch principal com revisões obrigatórias. Tire um screenshot após o login e novamente após etapas de verificação”, o Nova 2 Lite gera automaticamente um fluxo de trabalho JSON estruturado com todos os passos necessários.

O projetista inclui modo de teste onde você consegue executar o fluxo de trabalho gerado imediatamente para verificar se funciona corretamente. Se etapas precisarem ajustes, o modo de edição permite modificações do JSON com destaque de sintaxe e validação.

Pré-requisitos e Preparação

Antes de começar, você precisa de:

• Uma conta ativa na AWS com permissões apropriadas
• Acesso ao Amazon Bedrock, S3, SES, Cognito e IAM
• AWS Command Line Interface (AWS CLI) versão 2.x configurada com credenciais
• Chrome versão 88 ou posterior, ou Firefox versão 147.0.2 ou posterior

Processo de Implantação

A implantação inicia-se clonando o repositório do GitHub e navegando até o diretório do projeto. O diretório principal contém pastas separadas para extensão Chrome e extensão Firefox.

A AWS fornece um template unificado do AWS CloudFormation que implanta a infraestrutura completa de AWS com suporte para Chrome, Firefox ou ambos os navegadores. Você precisará atualizar o AdminEmail com o endereço de email que o Amazon SES utilizará para enviar relatórios gerados, e o UserEmail com o email que recebe tanto a senha temporária do Amazon Cognito quanto o relatório de conformidade. Um parâmetro BrowserType permite selecionar quais extensões de navegador devem ter suporte.

O template cria:

• Pool de Usuários Amazon Cognito com política de senha forte
• Pool de Identidade Amazon Cognito para acesso a serviços AWS com permissões baseadas em papéis
• Bucket S3 com encriptação, versionamento e bloqueio de acesso público
• Papéis IAM com políticas de privilégio mínimo para Amazon Bedrock, S3 e SES
• Função AWS Lambda que faz upload de prompts de sistema iniciais ao S3
• Usuário inicial com convite de email contendo senha temporária

Após a implantação, as saídas do CloudFormation fornecem valores necessários para configurar a extensão de navegador: nome do bucket de evidências, ID do pool de identidade, região, ID do cliente do pool de usuários e ID do pool de usuários.

Configuração da Extensão de Navegador

Para Chrome, você navega até a pasta da extensão Chrome localmente no repositório clonado, executa instalação de dependências e construção do projeto. Depois acessa chrome://extensions no navegador, ativa modo de desenvolvedor, seleciona carregar extensão desempacotada e aponta para a pasta dist gerada. Após instalação, insere os dados de saída do template CloudFormation para configurar a extensão.

Para Firefox, o processo é similar: navega até a pasta da extensão Firefox, instala dependências, constrói o projeto, acessa about:debugging, seleciona “This Firefox” no menu esquerdo, escolhe carregar complemento temporário e aponta para a pasta dist. A extensão permanece ativa até reiniciar o Firefox. Após instalação, você insere os dados de configuração do template CloudFormation.

Após configurar e salvar, você faz login com o nome de usuário e senha temporária enviados por email. No primeiro acesso, será solicitado mudar a senha do usuário.

Fluxo Operacional de Auditoria

Em um fluxo típico de auditoria, você abre o painel da extensão, seleciona o Coletor de Evidências e escolhe um fluxo de trabalho disponível (por exemplo, um fornecido como exemplo para Revisão de Acesso IAM da AWS). O painel lateral mostra as etapas do fluxo de trabalho e permite iniciá-lo.

Durante execução, o fluxo começa navegando até a página do console IAM. Se autenticação for necessária, o fluxo pausa exibindo uma mensagem pedindo login. Após prosseguir, o sistema captura automaticamente screenshots das áreas especificadas pelo fluxo de trabalho. Os screenshots são enviados ao S3 com timestamps e organizados por data e fluxo de trabalho. Após conclusão, o chat exibe um botão para gerar relatório de evidências que cria um arquivo HTML com screenshots, timestamps e detalhes do fluxo, enviando-o por email.

Execução Automatizada de Fluxos de Trabalho

Os fluxos de trabalho utilizam estrutura JSON para definir sequência de ações. Cada fluxo contém nome, descrição e lista de passos onde cada passo especifica uma ação (navegar, aguardar usuário, capturar screenshot, clicar), URL ou elemento alvo, e uma descrição da etapa.

O motor de execução processa cada passo sequencialmente, aguardando carregamentos de página e tratando operações assíncronas. Para screenshots, verifica se a página está totalmente renderizada antes da captura, adiciona sobreposições com timestamp e faz upload ao Amazon S3 com nomeação organizada. Etapas de confirmação do usuário (wait_for_user) pausam execução mostrando um botão Continuar na interface de chat, tratando cenários como autenticação onde automação não é possível ou desejável.

Limpeza de Recursos

Para desativar a solução, você deleta o stack do CloudFormation, o que remove automaticamente o Pool de Usuários Amazon Cognito, Pool de Identidade, papéis IAM, função Lambda e bucket S3.

Aplicabilidade e Benefícios

Essa abordagem oferece vários benefícios distintos em relação a processos manuais. A automação elimina horas de trabalho manual de coleta de evidências. A consistência melhora significativamente pois o mesmo fluxo de trabalho coleta sempre a mesma evidência com mesmas convenções de nomenclatura e organização. A inteligência artificial adaptativa permite que o sistema lide com mudanças de interface sem requerer reprogramação. A documentação visual completa facilita auditorias posteriores e revisões de conformidade.

Fonte

Building an AI powered system for compliance evidence collection (https://aws.amazon.com/blogs/machine-learning/building-an-ai-powered-system-for-compliance-evidence-collection/)