本文来自微信公众号“科技云报到”。
随着企业上云的提速,一系列云安全问题也逐渐暴露出来,云安全问题得到重视,市场不断扩大。
Gartner发布“2022年中国ICT技术成熟度曲线”显示,云安全已处于技术萌芽期高点,预期在2-5年内有望达到技术生产成熟期。
与此同时,为提高效率,AI在各场景中应用探索从未停歇,尤其是生成式AI的出现,快速应用到企业生产创新的各个环节中,展现出了惊人的能力和效果,也为云安全带来了更多的挑战和机遇。
因此AI和云安全的结合势在必行,一方面需要关注智能化生产的安全方案,另一方面以AI赋能云安全,将构建更强大的防御机制。
智能化生产下的
云安全挑战与对策
生成式AI降低了应用门槛,但也对一个企业的数据平台提出了更高的要求。
而很多公司还没有能力构建这样一个高要求的数据平台,或者并未设立一个强大的IT部门运营管理。
●数据和模型安全是构建AI应用的关键
在训练构建一个生成式AI的模型时,需要大量的非结构化数据。即使一个企业直接去应用一个做好的模型进行微调,也需要有高质量的数据。
如果企业没有规定好数据边界、权限、应用的API的控制不足,就很有可能发生数据泄露。在今年OWASP发布的《大模型应用十大安全风险》中,数据泄露高居第二位。
同时,生成式AI和大语言模型对企业内部管控机制带来一个新的挑战。
大语言模型使用公开服务的需求,要求公司对企业内部数据资产及其他信息资产进行更细颗粒度的管控。
因此贯穿生成式AI全周期的数据治理是非常必要的,从数据源的获取到数据的存储和查询,再到将数据传输给AI平台进行模型的训练、调优和推理,在数据流动的过程中确保端到端的数据安全,为生成式AI应用提供安全和有价值的数据输入。
例如,亚马逊云科技就为企业数据提供涵盖存储、传输、使用、治理等各个环节的加密及保护服务。
用户可使用Amazon Key Management Service(Amazon KMS),并将其与亚马逊云科技众多服务深度集成轻松保护多种数据;还可以通过Amazon Data Zone使用贯穿整个数据周期的治理服务。
此外,亚马逊云科技还推出了敏感数据保护解决方案,可实现对企业敏感数据的自动化发现并在统一平台管理数据资产。
该解决方案允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型,该方案利用机器学习、模式匹配的方式自动识别敏感数据,并提供可视化面板,使客户更容易对敏感数据进行管理和保护。
另外,模型训练后进入生产环境的安全防护同样重要。需要保证数据输入的安全,防止数据篡改,同时在数据处理的过程中更加注意安全合规和敏感数据的剔除。
●应用安全是实现AI价值的保障
保障应用安全的第一个阶段是开发流程中的安全(DevSecOps)。
安全需要贯穿到从开发到持续集成、持续部署再到投产、监控以及整个反馈的过程里面来。
第二个阶段是运行中的安全。针对应用的安全访问,企业可构建零信任的应用安全访问策略。
它能够实现按需的授权和认证,零信任不是一个标准的工具或者解决方案,而是一套机制,并且需要经过演练和考验。
同时也需要对访问大模型的应用进行权限管理,确保只有在拥有特定权限的应用,才能访问或者调用大模型里的定制API。
在亚马逊云科技re:lnforce2023大会中国站上,亚马逊云科技大中华区解决方案架构部总监代闻提到,“以前是靠应用程序和网络边界来隔离,现在这种防守的边界感已经改变了,单纯的应用程序和网络边界已经不足以隔离,因而加速了零信任在企业中的落地。”
不过代闻也强调,在关注AI安全时不能仅仅只关注AI应用本身。
“从构建开始,我们就需要把安全作为企业AI战略发展中的核心环节。从一个全栈的角度,去全面审视应用、模型、数据、基础架构的安全规范、技术策略和平台工具。生成式AI应用就像是海面上的冰山,我们想要在企业里安全地驾驭这项新技术,还需要关注海面下的冰川。”
亚马逊云科技大中华区解决方案架构部总监代闻
AI+云安全有望
加速上云之旅
Cybersecurity Insiders今年发布的《2023年全球云安全报告》显示,成本上升、合规性要求、混合和多云环境复杂性、可见性锐减以及技能人才短缺等困境,迫使企业不得不放缓或调整既定云部署战略。
因而,虽然企业工作负载迁移上云的速度总体仍呈现稳步上升趋势,但云部署率同比趋于平稳,而云安全性仍是企业上云之旅的关键痛点。
而由于云安全产品的易用性,不需要繁琐的安装或者是调试,可直接部署,以及按需付费的能力,不会给企业的安全成本带来额外的负担。
因此中国企业在云安全的部署上与国际上其他企业有相近的投入。
AI+云安全构建的更强大的防御机制,为解决这一问题及提高云部署率提供了更多的可能性,目前多家云服务商仍在探索中。
首先在合规方面,目前虽然相关法律法规越来越完善,但随着重要数据加速上云,数据的数量和种类不断增加,客户的业务需求也在持续变化,因此合规难度仍不容小觑。
而将AI应用到合规服务中,能够为大规模批量审查提供安全控制,利用自动化减少手工操作以降低错误,利用AI提供一致性判断,通过AI/ML技术实现自动审查,全面提升合规效率。
其次,AI可以助力实现智能控制、记录管理权限,而这些记录是可以先来支持从权限管控到网络控制再到整体的自动化管理的权限和部署,包括审计。
另外,利用AI可自动扫描代码漏洞、软件的缺陷以及集成过程中的误报等,并及时响应。
结语
目前云安全仍以AI赋能为主,然而随着生成式AI的不断应用,企业从关注其技术的先进性变成关注其提供的业务价值,需求的提出者从技术负责人更多变成业务负责人,AI赋能向AI原生发展将成为一种必然趋势。
建立一个更好的、合规的、安全的AI应用也成为重中之重,更强的防御机制将保障AI发挥更大的作用,并有一个更好的发展。