AI時(shí)代，亞馬遜云科技何以引領(lǐng)智能云安全？

鑒于生成式AI的火爆，國(guó)際開(kāi)源安全組織發(fā)布了2023年針對(duì)大語(yǔ)言模型應(yīng)用的十大安全威脅，而結(jié)合種種發(fā)生的事件，證明這些安全威脅并不是預(yù)言而是正在發(fā)生。由此看，安全已經(jīng)是構(gòu)建生成式AI應(yīng)用不可回避的重要議題。那么作為全球云計(jì)算領(lǐng)導(dǎo)者的亞馬遜云科技又是如何應(yīng)對(duì)生成式AI應(yīng)用在安全方面的挑戰(zhàn)呢？

對(duì)此，亞馬遜云科技大中華區(qū)解決方案架構(gòu)部總監(jiān)代聞在亞馬遜云科技re:Inforce 2023中國(guó)站主題演講中稱，亞馬遜云科技站在全棧的角度，從包括數(shù)據(jù)和模型的安全、應(yīng)用安全以及全球合規(guī)三個(gè)方面來(lái)應(yīng)對(duì)。

數(shù)據(jù)和模型安全是構(gòu)建AI應(yīng)用的關(guān)鍵

不可否認(rèn)，生成式AI的井噴對(duì)一個(gè)企業(yè)的數(shù)據(jù)平臺(tái)有了更高的要求。要訓(xùn)練構(gòu)建一個(gè)生成式AI的模型，需要大量的非結(jié)構(gòu)化數(shù)據(jù)。如果一個(gè)企業(yè)直接去應(yīng)用一個(gè)最好的模型進(jìn)行微調(diào)，這時(shí)候又需要有高質(zhì)量的專業(yè)化的數(shù)據(jù)來(lái)微調(diào)這個(gè)模型。這兩個(gè)方面的要求目前對(duì)于大多數(shù)企業(yè)的數(shù)據(jù)平臺(tái)都是提出了更高的要求，尤其是數(shù)據(jù)和模型安全方面。

為此，亞馬遜云科技提供了貫穿生成式AI全周期的數(shù)據(jù)治理，從數(shù)據(jù)源的獲取到數(shù)據(jù)的存儲(chǔ)和查詢，再到將數(shù)據(jù)傳輸給 AI平臺(tái)進(jìn)行模型的訓(xùn)練、調(diào)優(yōu)和推理，以及全面實(shí)施數(shù)據(jù)分類和治理。

以保護(hù)存儲(chǔ)中的數(shù)據(jù)為例，亞馬遜云科技通過(guò)實(shí)施安全密鑰管理、靜態(tài)數(shù)據(jù)加密、強(qiáng)制實(shí)施訪問(wèn)控制、利用機(jī)制限制數(shù)據(jù)訪問(wèn)，保護(hù)存儲(chǔ)中的數(shù)據(jù)。而在本次大會(huì)上，亞馬遜云科技就推出了敏感數(shù)據(jù)保護(hù)解決方案，可實(shí)現(xiàn)對(duì)企業(yè)敏感數(shù)據(jù)的自動(dòng)化發(fā)現(xiàn)并在統(tǒng)一平臺(tái)管理數(shù)據(jù)資產(chǎn)。該解決方案允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識(shí)別規(guī)則定義敏感數(shù)據(jù)類型，該方案利用機(jī)器學(xué)習(xí)、模式匹配的方式自動(dòng)識(shí)別敏感數(shù)據(jù)，并提供可視化面板，幫助客戶更輕松地對(duì)敏感數(shù)據(jù)進(jìn)行管理和保護(hù)。

至于模型安全方面，針對(duì)大模型，幾個(gè)月前，亞馬遜云科技宣布推出Amazon Bedrock和多種生成式AI服務(wù)和功能，以幫助客戶構(gòu)建和擴(kuò)展自己的生成式AI應(yīng)用程序。其中AmazonBedrock提供了廣泛的基礎(chǔ)模型因此客戶可以選擇最能滿足需求的模型。

具體表現(xiàn)在，首先，Amazon Bedrock后面接入了基礎(chǔ)模型，它給提供了一個(gè)API可以使用大模型加速生成式AI的應(yīng)用程序和開(kāi)發(fā)，無(wú)須管理底層的基礎(chǔ)設(shè)施；

其次，Amazon Bedrock會(huì)負(fù)責(zé)任地選取一些合作伙伴，例如AI21 Labs、Anthropic、Stability AI，以及自己的基礎(chǔ)模型，另外亞馬遜云科技最新推出的合作伙伴名單里也增加了Cohere，便于客戶最快速地找到最合適的、能力最強(qiáng)的基礎(chǔ)模型；

最后使用組織內(nèi)部的數(shù)據(jù)來(lái)訓(xùn)練大模型，同時(shí)又保證給大模型做了私有拷貝，這個(gè)拷貝只是給客戶服務(wù)，不會(huì)再跟其他任何的大模型共享；訓(xùn)練數(shù)據(jù)只是在客戶賬戶里來(lái)幫助工作，Amazon Bedrock不會(huì)拿任何用戶的數(shù)據(jù)來(lái)增進(jìn)自己的模型。這兩點(diǎn)非常關(guān)鍵，也是很多企業(yè)在采用大模型的時(shí)候?qū)τ跀?shù)據(jù)主權(quán)、數(shù)據(jù)保護(hù)方面有擔(dān)心的一個(gè)很重要的點(diǎn)，Amazon Bedrock給了一個(gè)非常完善的答案。

應(yīng)用創(chuàng)造價(jià)值，應(yīng)用安全是實(shí)現(xiàn)AI價(jià)值的保障

除了上述數(shù)據(jù)和模型安全是構(gòu)建AI應(yīng)用的關(guān)鍵外，在亞馬遜云科技看來(lái)，應(yīng)用安全是實(shí)現(xiàn)AI價(jià)值的保障。

對(duì)此，代聞介紹，從防護(hù)方面，亞馬遜云科技分為兩個(gè)階段來(lái)防護(hù)，第一個(gè)階段是開(kāi)發(fā)流程中的安全防護(hù)，第二個(gè)階段是生產(chǎn)過(guò)程中的安全防護(hù)。

其中開(kāi)發(fā)流程中的安全（DevSecOps）是指安全應(yīng)該貫穿到從開(kāi)發(fā)到持續(xù)集成、持續(xù)部署再到投產(chǎn)、監(jiān)控以及整個(gè)反饋的過(guò)程。為此，亞馬遜云科技利用自身經(jīng)驗(yàn)，將AI防護(hù)應(yīng)用到軟件開(kāi)發(fā)的全生命周期，讓開(kāi)發(fā)更便捷，更安全。

以Amazon CodeWhisperer和Amazon CodeGuru Security為例，Amazon CodeWhisperer是亞馬遜云科技推出的AI編程助手，可根據(jù)開(kāi)發(fā)者指令利用內(nèi)嵌的基礎(chǔ)模型實(shí)時(shí)生成代碼建議，該服務(wù)內(nèi)置了代碼安全掃描功能，可幫助開(kāi)發(fā)者查找難以檢測(cè)的漏洞并提出補(bǔ)救建議。至于Amazon CodeGuru Security，則可以掃描代碼，在代碼里面尋找漏洞，包括調(diào)用包漏洞，包括很多其他代碼邏輯的漏洞。它還能夠在CICD通過(guò)人工智能和機(jī)器學(xué)習(xí)的方式自動(dòng)降低誤報(bào)率，同時(shí)它基于API設(shè)計(jì)，能夠非常方便地集成到開(kāi)發(fā)工作流里邊去，實(shí)現(xiàn)集中化和擴(kuò)展性。

而涉及到運(yùn)行中的安全，零信任自然是首當(dāng)其沖。對(duì)此，亞馬遜云科技推出若干工具，幫助客戶在自己的亞馬遜云科技環(huán)境下構(gòu)建這套機(jī)制。

首先是建立一個(gè)可信任的網(wǎng)絡(luò)通道，為此，Amazon Verified Access 可以搭建一套無(wú)需VPN的網(wǎng)絡(luò)驗(yàn)證系統(tǒng)，使用AmazonIAM，或者客戶自己的用戶認(rèn)證系統(tǒng)，來(lái)完成這個(gè)認(rèn)證程序。除了對(duì)用戶的認(rèn)證之外，Amazon Verified Access還支持可以設(shè)置規(guī)則。這些管控，可以在幾乎不對(duì)應(yīng)用進(jìn)行任何代碼改變的情況下部署和發(fā)生。

此外，亞馬遜云科技還推出了Amazon Verified Permissions，為用戶構(gòu)建的應(yīng)用程序提供細(xì)粒度授權(quán)和權(quán)限管理，用戶可以使用該服務(wù)管理其應(yīng)用程序的角色和屬性的訪問(wèn)控制。而為了方便大家來(lái)書(shū)寫(xiě)所有的授權(quán)規(guī)則，亞馬遜云科技還發(fā)布了一個(gè)新的開(kāi)源語(yǔ)言，叫做CEDAR，CEDAR用于編寫(xiě)和執(zhí)行授權(quán)策略的開(kāi)源的語(yǔ)言，它可以能夠讓大家更加輕松、更加快速地來(lái)創(chuàng)建所有的訪問(wèn)控制權(quán)限。

大模型帶來(lái)安全新挑戰(zhàn)，AI提升安全合規(guī)效率

在目前的整個(gè)全球環(huán)境下，安全合規(guī)變得越來(lái)越重要，目前已經(jīng)有超過(guò)130多個(gè)國(guó)家和地區(qū)制定和頒布了數(shù)據(jù)保護(hù)和隱私安全相關(guān)的法律法規(guī)。同時(shí)由于云計(jì)算的大規(guī)模普及，越來(lái)越多的重要數(shù)據(jù)正在加速上云，而且數(shù)量和種類在增加。與此同時(shí)，業(yè)務(wù)持續(xù)變化，也給安全合規(guī)帶來(lái)挑戰(zhàn)，這之中就包含諸如像大模型運(yùn)用帶來(lái)的業(yè)務(wù)的變化給安全帶來(lái)的挑戰(zhàn)。

基于此，亞馬遜云科技在全球獲得140多個(gè)安全標(biāo)準(zhǔn)和合規(guī)認(rèn)證，并將AI技術(shù)應(yīng)用到其安全及合規(guī)服務(wù)中，為大規(guī)模批量審查提供安全控制，利用自動(dòng)化減少手工操作以降低錯(cuò)誤，利用AI提供一致性判斷，利用AI/ML技術(shù)實(shí)現(xiàn)自動(dòng)審查，全面提升合規(guī)效率。例如亞馬遜云科技通過(guò)在其500多項(xiàng)自身合規(guī)審計(jì)控制項(xiàng)中使用AI技術(shù)，將審計(jì)時(shí)間節(jié)約了53%。

此外，亞馬遜云科技APN合作伙伴網(wǎng)絡(luò)提供數(shù)百種行業(yè)領(lǐng)先的安全解決方案，多層保護(hù)客戶的應(yīng)用和數(shù)據(jù)安全。通過(guò)全球安全伙伴提供的解決方案，攜手構(gòu)建1+1>2的安全合作

例如技術(shù)方面提供網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、身份認(rèn)證、威脅檢測(cè)和事件分析、數(shù)據(jù)治理以及安全自動(dòng)化運(yùn)維等；咨詢方面提供方案建議、合規(guī)建議以及全面的安全咨詢服務(wù)和合規(guī)服務(wù)。為此，亞馬遜云科技成為IDC近期發(fā)布的《2023中國(guó)公有云托管安全服務(wù)能力報(bào)告》中獲得滿分最多的廠商之一及“生態(tài)建設(shè)”評(píng)估維度唯一獲得滿分的廠商。