re:Inforce:在AI时代,让安全成为首要优先级 原创

re:Inforce从2019年至今已经举办5年,不同于re:Invent的全类型技术和服务的发布,re:Inforce则聚焦在安全,让企业更加知道安全的重要性,同时也展现出了亚马逊云科技对于安全的重视。

re:Inforce从2019年至今已经举办5年,不同于re:Invent的全类型技术和服务的发布,re:Inforce则聚焦在安全,让企业更加知道安全的重要性,同时也展现出了亚马逊云科技对于安全的重视。

今年re:Inforce首次来到中国,着重探讨在生成式AI加速落地当下的安全问题。之前某大型国际企业基于大语言模型公开聊天应用服务后,20天出现了3起数据泄露事件,包括产品良率泄露、代码泄露、会议内容泄露。

“企业应该把安全作为AI战略发展的核心环节。”亚马逊云科技大中华区解决方案架构部总监代闻说道。2023 亚马逊云科技 re:Inforce中国站重点探讨了数据和模型安全、应用安全、安全合规三大方面。

re:Inforce:在AI时代,让安全成为首要优先级

亚马逊云科技大中华区解决方案架构部总监代闻

数据和模型安全是构建AI的基石

企业构建并训练一个生成式AI的模型,需要大量的非结构化数据,这对于数据平台提出了更高的要求。

亚马逊云科技提供了贯穿生成式AI全周期的数据治理,从数据源的获取到数据的存储和查询,再到将数据传输给 AI平台进行模型的训练、调优和推理,以及全面实施数据分类和治理。

模型的训练需要高质量数据,高质量的数据有两个保护重点,第一,防止数据泄露;第二,防止数据篡改。亚马逊云科技有一套整体的方法论,优良架构“Well-Architected Framework”保护存储、传输、使用中的数据。

保护存储中的数据,首先需要数据加密,并让加密变成自动化得机制,最后实时访问控制。大会发布了敏感数据保护解决方案,可实现对企业敏感数据的自动化发现并在统一平台管理数据资产。该解决方案允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型,该方案利用机器学习、模式匹配的方式自动识别敏感数据,并提供可视化面板,帮助客户更轻松地对敏感数据进行管理和保护。

保护传输中的数据,亚马逊云科技从实施安全密钥和证书管理、执行传输中加密、自动检测意外数据访问、对网络通信进行身份验证四个方面对传输中的数据进行保护。多层次保护传输中的数据。亚马逊云科技通过跨区域之间的数据传输、VPC内部以及VPC之间的传输、迁移上云的过程中、以及TLS1.2+AES256从整个的基础架构上实现应用层的加密和传输的保护。

保护使用中的数据。从身份认证、隔离环境、多方协作以及数据共享四个方面,进行使用中的数据保护。

Amazon SageMaker在2017年发布以后不断地推出新的能力,帮助用户集中管理模型信息和版本,确保模型的安全和高效运行。Amazon SageMaker Model Cards存储元数据进行跨部门的数据分析、Amazon SageMaker Model Registry存储和管理模型和版本、Amazon SageMaker Model Monitor可持续监控正式使用中的机器学习模型的质量。

为了进一步在应用大模型上增强安全性,几个月前,亚马逊云科技宣布推出Amazon Bedrock和多种生成式AI服务和功能,Amazon Bedrock可以帮助企业安全高效地构建大模型。

Amazon Bedrock接入了基础模型,同时会负责任地选取一些合作伙伴,确保使用组织内部的数据来训练大模型,并且Amazon KMS、Amazon IAM等可以完善地跟Amazon Bedrock集成,集成以后可以很好地管理加密、权限控制和所有行为的日志。

亚马逊云科技在负责任AI方面有着坚定的承诺,Amazon Titan有两个基础模型,Titan Text能够执行文本类的任务,Titan Embeddings能执行个性化推荐的任务。Amazon Titan可以通过减少和消除不当或者是有害的内容来支持负责任AI的实现。

应用安全是实现AI价值的保障

在应用安全上有两个防护阶段,第一个阶段是开发流程中的安全,第二个阶段是生产过程中的安全。

开发流程中安全应该贯穿到从开发到持续集成、持续部署再到投产、监控以及整个反馈的过程里面来。亚马逊云科技利用自身经验,将AI防护应用到软件开发的全生命周期,让开发更便捷,更安全。

亚马逊云科技也发布了AI开发安全能力,Amazon CodeWhisperer可根据开发者指令利用内嵌的基础模型实时生成代码建议,该服务内置了代码安全扫描功能,可帮助开发者查找难以检测的漏洞并提出补救建议。Amazon CodeGuru Security可以扫描代码,在代码里面寻找漏洞,包括调用包漏洞,包括很多其他代码逻辑的漏洞。还能在CI/CD通过人工智能和机器学习的方式自动降低误报率,同时它基于API设计,能够非常方便地集成到开发工作流里边去,实现集中化和扩展性。

生产过程中安全需要注意零信任、有安全威胁、攻击保护。亚马逊云科技认为,零信任不是一个标准的工具或者解决方案,而是一套机制,并且需要经过演练和考验。

大模型可能会允许企业各部门进行访问,这时就需要隔离访问,首先需要建立一个可信任的网络通道,Amazon Verified Access可以搭建一套无需VPN的网络验证系统,可以使用Amazon IAM,或者客户自己的用户认证系统,来完成这个认证程序。Amazon Verified Permissions,为用户构建的应用程序提供细粒度授权和权限管理,用户可以使用该服务管理其应用程序的角色和属性的访问控制。

同时为了方便书写所有的授权规则,亚马逊云科技发布了新的开源语言CEDAR,CEDAR用于编写和执行授权策略的开源的语言,能够让大家更加轻松、更加快速地来创建所有的访问控制权限。

AI已经融入到安全合规中

安全合规已经变得越来越重要,目前已经有超过130多个国家和地区制定和颁布了数据保护和隐私安全相关的法律法规。由于云计算的大规模普及,越来越多的重要数据正在加速上云,而且数量和种类在增加。业务持续变化给安全合规带来的挑战,像大模型运用带来的业务的变化给安全带来的挑战。

亚马逊云科技在全球获得140多个安全标准和合规认证,并将AI技术应用到其安全及合规服务中,能够为大规模批量审查提供安全控制,利用自动化减少手工操作以降低错误,利用AI提供一致性判断,利用AI/ML技术实现自动审查,全面提升合规效率。

亚马逊云科技通过在其500多项自身合规审计控制项中使用AI技术,将审计时间节约了53%。

在合作伙伴上,亚马逊云科技APN合作伙伴网络提供数百种行业领先的安全解决方案,多层保护客户的应用和数据安全。通过全球安全伙伴提供的解决方案,携手构建1+1>2的安全合作。

而且IDC发布的《2023中国公有云托管安全服务能力报告》中,亚马逊云科技是获得满分最多的厂商之一,其中“生态建设”评估维度是唯一获得满分的厂商。

安全始终是亚马逊云科技的首要优先级,亚马逊云科技也希望安全变成所有企业共同的首要优先级,共同构建一个安全、智能的未来。

来源:至顶网CIO与CTO频道

0赞

好文章,需要你的鼓励

2023

09/11

13:57

分享

点赞

邮件订阅