信息化觀察網(wǎng)

本文來自微信公眾號“科技云報到”。

隨著企業(yè)上云的提速，一系列云安全問題也逐漸暴露出來，云安全問題得到重視，市場不斷擴大。

Gartner發(fā)布“2022年中國ICT技術(shù)成熟度曲線”顯示，云安全已處于技術(shù)萌芽期高點，預(yù)期在2-5年內(nèi)有望達到技術(shù)生產(chǎn)成熟期。

與此同時，為提高效率，AI在各場景中應(yīng)用探索從未停歇，尤其是生成式AI的出現(xiàn)，快速應(yīng)用到企業(yè)生產(chǎn)創(chuàng)新的各個環(huán)節(jié)中，展現(xiàn)出了驚人的能力和效果，也為云安全帶來了更多的挑戰(zhàn)和機遇。

因此AI和云安全的結(jié)合勢在必行，一方面需要關(guān)注智能化生產(chǎn)的安全方案，另一方面以AI賦能云安全，將構(gòu)建更強大的防御機制。

智能化生產(chǎn)下的

云安全挑戰(zhàn)與對策

生成式AI降低了應(yīng)用門檻，但也對一個企業(yè)的數(shù)據(jù)平臺提出了更高的要求。

而很多公司還沒有能力構(gòu)建這樣一個高要求的數(shù)據(jù)平臺，或者并未設(shè)立一個強大的IT部門運營管理。

●數(shù)據(jù)和模型安全是構(gòu)建AI應(yīng)用的關(guān)鍵

在訓(xùn)練構(gòu)建一個生成式AI的模型時，需要大量的非結(jié)構(gòu)化數(shù)據(jù)。即使一個企業(yè)直接去應(yīng)用一個做好的模型進行微調(diào)，也需要有高質(zhì)量的數(shù)據(jù)。

如果企業(yè)沒有規(guī)定好數(shù)據(jù)邊界、權(quán)限、應(yīng)用的API的控制不足，就很有可能發(fā)生數(shù)據(jù)泄露。在今年OWASP發(fā)布的《大模型應(yīng)用十大安全風(fēng)險》中，數(shù)據(jù)泄露高居第二位。

同時，生成式AI和大語言模型對企業(yè)內(nèi)部管控機制帶來一個新的挑戰(zhàn)。

大語言模型使用公開服務(wù)的需求，要求公司對企業(yè)內(nèi)部數(shù)據(jù)資產(chǎn)及其他信息資產(chǎn)進行更細顆粒度的管控。

因此貫穿生成式AI全周期的數(shù)據(jù)治理是非常必要的，從數(shù)據(jù)源的獲取到數(shù)據(jù)的存儲和查詢，再到將數(shù)據(jù)傳輸給AI平臺進行模型的訓(xùn)練、調(diào)優(yōu)和推理，在數(shù)據(jù)流動的過程中確保端到端的數(shù)據(jù)安全，為生成式AI應(yīng)用提供安全和有價值的數(shù)據(jù)輸入。

例如，亞馬遜云科技就為企業(yè)數(shù)據(jù)提供涵蓋存儲、傳輸、使用、治理等各個環(huán)節(jié)的加密及保護服務(wù)。

用戶可使用Amazon Key Management Service(Amazon KMS)，并將其與亞馬遜云科技眾多服務(wù)深度集成輕松保護多種數(shù)據(jù)；還可以通過Amazon Data Zone使用貫穿整個數(shù)據(jù)周期的治理服務(wù)。

此外，亞馬遜云科技還推出了敏感數(shù)據(jù)保護解決方案，可實現(xiàn)對企業(yè)敏感數(shù)據(jù)的自動化發(fā)現(xiàn)并在統(tǒng)一平臺管理數(shù)據(jù)資產(chǎn)。

該解決方案允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識別規(guī)則定義敏感數(shù)據(jù)類型，該方案利用機器學(xué)習(xí)、模式匹配的方式自動識別敏感數(shù)據(jù)，并提供可視化面板，使客戶更容易對敏感數(shù)據(jù)進行管理和保護。

另外，模型訓(xùn)練后進入生產(chǎn)環(huán)境的安全防護同樣重要。需要保證數(shù)據(jù)輸入的安全，防止數(shù)據(jù)篡改，同時在數(shù)據(jù)處理的過程中更加注意安全合規(guī)和敏感數(shù)據(jù)的剔除。

●應(yīng)用安全是實現(xiàn)AI價值的保障

保障應(yīng)用安全的第一個階段是開發(fā)流程中的安全（DevSecOps）。

安全需要貫穿到從開發(fā)到持續(xù)集成、持續(xù)部署再到投產(chǎn)、監(jiān)控以及整個反饋的過程里面來。

第二個階段是運行中的安全。針對應(yīng)用的安全訪問，企業(yè)可構(gòu)建零信任的應(yīng)用安全訪問策略。

它能夠?qū)崿F(xiàn)按需的授權(quán)和認(rèn)證，零信任不是一個標(biāo)準(zhǔn)的工具或者解決方案，而是一套機制，并且需要經(jīng)過演練和考驗。

同時也需要對訪問大模型的應(yīng)用進行權(quán)限管理，確保只有在擁有特定權(quán)限的應(yīng)用，才能訪問或者調(diào)用大模型里的定制API。

在亞馬遜云科技re:lnforce2023大會中國站上，亞馬遜云科技大中華區(qū)解決方案架構(gòu)部總監(jiān)代聞提到，“以前是靠應(yīng)用程序和網(wǎng)絡(luò)邊界來隔離，現(xiàn)在這種防守的邊界感已經(jīng)改變了，單純的應(yīng)用程序和網(wǎng)絡(luò)邊界已經(jīng)不足以隔離，因而加速了零信任在企業(yè)中的落地。”

不過代聞也強調(diào)，在關(guān)注AI安全時不能僅僅只關(guān)注AI應(yīng)用本身。

“從構(gòu)建開始，我們就需要把安全作為企業(yè)AI戰(zhàn)略發(fā)展中的核心環(huán)節(jié)。從一個全棧的角度，去全面審視應(yīng)用、模型、數(shù)據(jù)、基礎(chǔ)架構(gòu)的安全規(guī)范、技術(shù)策略和平臺工具。生成式AI應(yīng)用就像是海面上的冰山，我們想要在企業(yè)里安全地駕馭這項新技術(shù)，還需要關(guān)注海面下的冰川。”

亞馬遜云科技大中華區(qū)解決方案架構(gòu)部總監(jiān)代聞

AI+云安全有望

加速上云之旅

Cybersecurity Insiders今年發(fā)布的《2023年全球云安全報告》顯示，成本上升、合規(guī)性要求、混合和多云環(huán)境復(fù)雜性、可見性銳減以及技能人才短缺等困境，迫使企業(yè)不得不放緩或調(diào)整既定云部署戰(zhàn)略。

因而，雖然企業(yè)工作負載遷移上云的速度總體仍呈現(xiàn)穩(wěn)步上升趨勢，但云部署率同比趨于平穩(wěn)，而云安全性仍是企業(yè)上云之旅的關(guān)鍵痛點。

而由于云安全產(chǎn)品的易用性，不需要繁瑣的安裝或者是調(diào)試，可直接部署，以及按需付費的能力，不會給企業(yè)的安全成本帶來額外的負擔(dān)。

因此中國企業(yè)在云安全的部署上與國際上其他企業(yè)有相近的投入。

AI+云安全構(gòu)建的更強大的防御機制，為解決這一問題及提高云部署率提供了更多的可能性，目前多家云服務(wù)商仍在探索中。

首先在合規(guī)方面，目前雖然相關(guān)法律法規(guī)越來越完善，但隨著重要數(shù)據(jù)加速上云，數(shù)據(jù)的數(shù)量和種類不斷增加，客戶的業(yè)務(wù)需求也在持續(xù)變化，因此合規(guī)難度仍不容小覷。

而將AI應(yīng)用到合規(guī)服務(wù)中，能夠為大規(guī)模批量審查提供安全控制，利用自動化減少手工操作以降低錯誤，利用AI提供一致性判斷，通過AI/ML技術(shù)實現(xiàn)自動審查，全面提升合規(guī)效率。

其次，AI可以助力實現(xiàn)智能控制、記錄管理權(quán)限，而這些記錄是可以先來支持從權(quán)限管控到網(wǎng)絡(luò)控制再到整體的自動化管理的權(quán)限和部署，包括審計。

另外，利用AI可自動掃描代碼漏洞、軟件的缺陷以及集成過程中的誤報等，并及時響應(yīng)。

結(jié)語

目前云安全仍以AI賦能為主，然而隨著生成式AI的不斷應(yīng)用，企業(yè)從關(guān)注其技術(shù)的先進性變成關(guān)注其提供的業(yè)務(wù)價值，需求的提出者從技術(shù)負責(zé)人更多變成業(yè)務(wù)負責(zé)人，AI賦能向AI原生發(fā)展將成為一種必然趨勢。

建立一個更好的、合規(guī)的、安全的AI應(yīng)用也成為重中之重，更強的防御機制將保障AI發(fā)揮更大的作用，并有一個更好的發(fā)展。