企业在数字化转型过程中,安全是第一要务,也是企业进行技术投资决策的关键性指标之一,尤其是云计算市场在全球的快速发展极大推动了客户对IT安全软件及服务的需求。如今,各行各业的企业都希望能抓住生成式AI带来的机遇开展业务创新,但企业在使用生成式AI、大语言模型等前沿技术开始业务创新的过程中,往往面临着数据、模型、应用等方面的安全挑战。生成式AI需要依赖大量的数据和模型,任何一个环节的安全疏漏,都可能会导致企业自身数据及隐私的泄露,或者产生不准确甚至错误的结果。企业只有确保应用AI各个环节的安全合规,才能更好地助力业务开展创新。
8月31日,“2023亚马逊云科技re:Inforce中国站”在北京召开。此次大会以“AI时代 全面智能的安全”为主题,聚焦生成式AI在安全层面给企业带来的挑战及机遇。亚马逊云科技认为,安全是构建生成式AI不可回避的重要议题,企业只有在AI旅程中做好数据、模型和应用的安全防护,才能更好地借助AI加速业务创新。
亚马逊云科技正式推出“敏感数据保护解决方案”,帮助客户在数据治理层面实现自动化敏感数据发现并在统一平台上管理数据资产;以及多项安全新服务及功能,如Amazon Verified Permissions、Amazon CodeGuru Security、Findings Groups for Amazon Detective等,帮助客户构建应用程序的零信任管理,提升漏洞发现及响应的智能化。
亚马逊云科技大中华区解决方案架构部总监代闻表示,“从构建开始,我们就需要把安全作为企业AI战略发展中的核心环节。我们不能只是关注AI应用本身,而应该从一个全栈的角度,去全面审视应用、模型、数据、基础架构的安全规范、技术策略和平台工具。生成式AI应用就像是海面上的冰山,我们想要在企业里安全地驾驭这项新技术,还需要关注海面下的冰川。”
·数据、模型安全是构建AI应用的关键
数据是企业使用AI进行业务创新的基础,例如企业需要使用高价值的业务数据进行模型训练及微调,数据在产生价值之前会经过数据存储、传输、使用、治理等各个环节。企业为构建生成式AI应用,首先应在数据流动的过程中确保端到端的数据安全,为生成式AI应用提供安全和有价值的数据输入。
亚马逊云科技一直严格遵从客户拥有和控制数据的理念,提供了行业领先的技术和物理措施来防止未经授权的访问,为数据提供涵盖存储、传输、使用、治理等各个环节的加密及保护服务。例如,亚马逊云科技的客户可使用Amazon Key Management Service (Amazon KMS),并将其与亚马逊云科技众多服务深度集成轻松保护多种数据;Amazon Nitro提供硬件级别的安全机制,实现了网络、存储隔离的安全通道,使用Nitro Enclaves的加密功能,客户可以进行机密计算,其中多个参与方可以加入和处理高度敏感的数据,而无需分别向每个参与方披露或共享实际数据。
亚马逊云科技还提供贯穿Amazon Data Zone整个数据周期的治理服务,并在本次re:Inforce大会上推出了敏感数据保护解决方案,可实现对企业敏感数据的自动化发现并在统一平台管理数据资产。该解决方案允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型,该方案利用机器学习、模式匹配的方式自动识别敏感数据,并提供可视化面板,帮助客户更轻松地对敏感数据进行管理和保护。
企业需要借助模型以及基础模型构建AI应用,要确保训练结果的准确性和有效性,模型训练的安全性同样至关重要,企业应全方位地监控模型的安全运行,包括模型的访问安全、模型的管理、模型运行的安全监控等。
针对大模型,几个月前亚马逊云科技宣布推出Amazon Bedrock和多种生成式AI服务和功能,以帮助客户构建和扩展自己的生成式AI应用程序。Amazon Bedrock提供了完全托管的、广泛的基础模型,因此客户可根据自身需求通过API访问及使用其中最能满足需求的模型。Amazon Bedrock与亚马逊云科技其他托管服务一样,客户可安全地在其虚拟私有云中使用该服务并对基础模型进行微调,始终保持其自有数据以及模型的安全。
针对自建模型的企业,Amazon SageMaker提供了多种功能帮助开发人员更轻松地构建、训练和部署模型,如Amazon SageMaker Model Cards可实现对模型信息的统一管理、Amazon SageMaker Model Monitor可自动监测模型的准确性。
·应用安全是实现AI价值的保障
生成式AI应用本身以及访问的安全性也同样重要,因为只有在安全的基础上才能实现AI价值。应用安全包括开发流程中的安全和运行中的安全两个阶段,安全应该贯穿到从开发到持续集成、持续部署再到投产、监控以及整个反馈的过程。
将安全功能嵌入AI应用之中是提升应用本身安全性的方法之一。Amazon CodeWhisperer服务是亚马逊云科技推出的AI编程助手,可根据开发者指令利用内嵌的基础模型实时生成代码建议,该服务内置了代码安全扫描功能,可帮助开发者查找难以检测的漏洞并提出补救建议。Amazon CodeGuru Security可以扫描代码,在代码里面寻找漏洞,包括调用包漏洞,包括很多其他代码逻辑的漏洞。它还能够在CICD通过人工智能和机器学习的方式自动降低误报率,同时它基于API设计,能够非常方便地集成到开发工作流里边去,实现集中化和扩展性。
针对应用的安全访问,企业可构建零信任的应用安全访问策略。亚马逊云科技推出一系列工具帮助客户构建零信任机制。通过Amazon Verified Access可以搭建一套无需虚拟专用网的网络验证系统,亚马逊云科技日前还推出了Amazon Verified Permissions服务,为用户构建的应用程序提供细粒度授权和权限管理,用户可以使用该服务管理其应用程序的角色和属性的访问控制。
·加强AI赋能安全及合规服务 提升合规效率
数字时代的法律法规日趋完善,目前已经有超过130多个国家和地区制定和颁布了数据保护和隐私安全相关的法律法规。随着云计算的大规模普及,越来越多的重要数据正在加速上云,而且数量和种类在增加,同时诸如像生成式AI、大模型运用带来的业务变化给企业带来了新的安全挑战。
亚马逊云科技不仅提供了一系列的技术、服务和工具帮助更多企业充分释放生成式AI的潜力,同时基于自身优势还将AI以及生成式AI技术应用于其安全及合规服务中,以更智能的安全、合规服务应对复杂的安全威胁、提高合规效率。
亚马逊云科技在全球获得140多个安全标准和合规认证,能够为大规模批量审查提供安全控制,利用自动化减少手工操作以降低错误,利用AI提供一致性判断,利用AI/ML技术实现自动审查,全面提升合规效率。
如威胁检测服务Amazon GuardDuty可通过人工智能和机器学习将安全事件的误报率降低50%。亚马逊云科技通过在其500多项自身合规审计控制项中使用AI技术,大幅提升了自身的合规效率,将审计时间简约了53%。亚马逊云科技推出了多项具有AI能力的安全服务新功能,包括推出Amazon CodeGuru Security预览版,利用机器学习技术帮助用户识别代码漏洞,并提供修复漏洞的指导意见;扩大Amazon Detective发现组的范围至Amazon Inspector,该服务利用机器学习技术,可以帮助专业安全人员加快调查过程、确定根本原因。
亚马逊云科技还与合作伙伴一起提供数百种行业领先的安全解决方案,多层保护客户的应用和数据安全。通过全球安全伙伴提供的解决方案,携手构建1+1>2的安全合作。本次大会上,亚马逊云科技宣布与涂鸦智能成立“联合安全实验室”,双方将在机密计算及数据隐私、Matter技术合作及体系建设、生成式AI在IoT领域的安全实践等方面展开联合共创;与德勤企业咨询合作为中国出海企业解读相应的法律法规,分析面临的问题和挑战,并提出应对策略提升出海企业数据安全。
在IDC近期发布的《2023中国公有云托管安全服务能力报告》中,亚马逊云科技在专家能力、漏洞及威胁检测等7项目评估维度上是获得满分最多的厂商之一,其中“生态建设”评估维度是唯一获得满分的厂商。亚马逊云科技正在用高标准的安全理念,不断提升安全合规能力及标准。