Hart Rossman是亞馬遜云科技全球客戶安全技術(shù)支持與服務(wù)副總裁�,他的工作以保障服務(wù)的安全為主,同時推動亞馬遜云科技在安全領(lǐng)域的持續(xù)創(chuàng)新和改進���。
安全工作的領(lǐng)導(dǎo)者一定要了解新技術(shù)
Hart認為���,作為安全工作的領(lǐng)導(dǎo)者,一定要先了解所要保護的技術(shù)內(nèi)容才能提供安全保護�����。
一位銀行的首席安全官向 Hart表示�����,他希望他的安全領(lǐng)導(dǎo)者首先是銀行從業(yè)者��,其次才是安全從業(yè)者���。他雇用了很多安全工作者����,但他始終認為,只有當他們成為行業(yè)專家時��,才能夠做出正確的安全和風險管理決策���。
對于了解機器學習的人來說���,生成式AI也不是什么新奇的事物,只是因為它帶來了新的互動方式而格外引人矚目����。事實上,亞馬遜云科技在這一領(lǐng)域也深耕許久�����。
Hart認為���,生成式AI是安全領(lǐng)域的一個關(guān)鍵時刻。為了幫助客戶進行創(chuàng)新�����,安全領(lǐng)導(dǎo)者必須深刻理解技術(shù)原理和應(yīng)用場景����,并開發(fā)新的安全手段��。
眼下���,生成式AI的用例還不明確,但客戶和業(yè)務(wù)人員那里或許有更好的答案�����,了解這些需求可以更好地幫助他們實現(xiàn)快速創(chuàng)新���。
所以��,安全工作最大的挑戰(zhàn)就是��,既要讓用戶能快速行動來實現(xiàn)創(chuàng)新�,同時又要保持安全���,兩者顯然存在一定的矛盾�,需要做出權(quán)衡��。
Hart表示�����,為了確保生成式AI技術(shù)的安全應(yīng)用,我們需要更新思維模式�����,需要重新考慮如何保護我們的工作負載���、業(yè)務(wù)和創(chuàng)新��。
生成式AI安全范圍矩陣與三個實踐經(jīng)驗
為此�,亞馬遜云科技在幾個月前發(fā)布了生成式AI安全范圍矩陣���,它總結(jié)了在安全領(lǐng)域的研究成果�����,幫助安全領(lǐng)導(dǎo)者、開發(fā)者和審計員思考生成式AI技術(shù)應(yīng)用場景��。
Hart介紹稱�,亞馬遜云科技自身在使用范圍矩陣的時候,也學到了三項重要的經(jīng)驗�����。
首先,身份和訪問控制的重要性�����。確保身份和訪問控制的正確性是非常重要的���,要遵循“最小權(quán)限原則”�����,確保沒有人能利用生成式AI服務(wù)獲取他們通常不能訪問的信息����。期間會用到Cedar�、Verified Permissions、Amazon IAM和Access Analyzer等技術(shù)�。
第二點,與數(shù)據(jù)所有者合作����,而不是單獨進行開發(fā)。個體貢獻者在開發(fā)生成式AI應(yīng)用時�����,應(yīng)與數(shù)據(jù)所有者溝通,因為他們的計劃中可能已經(jīng)包含了類似的想法����,從而避免重復(fù)工作。此外�,個人貢獻者可以提供反饋,協(xié)助優(yōu)化用例和安全模型����,確保項目更好地部署。
第三點�����,要全面考慮整個架構(gòu)����。在引入新技術(shù)時,常常會關(guān)注新技術(shù)的新穎性���,容易忽略整體架構(gòu)。生成式AI應(yīng)用不是孤立部署的��,而是復(fù)雜系統(tǒng)的一部分,因此需要全面考慮整個架構(gòu)�,確保實施合適的控制措施,對整個基礎(chǔ)設(shè)施和工作流的生命周期進行審計����。
亞馬遜云科技面向生成式AI開展的安全工作
除了這些經(jīng)驗之談,亞馬遜云科技在產(chǎn)品技術(shù)層面也有很多安全相關(guān)的舉措����,在Amazon Nitro、Amazon
KMS等技術(shù)的基礎(chǔ)之上���,還面向生成式AI相關(guān)服務(wù)做了很多有針對性的優(yōu)化���。
Amazon Bedrock和Amazon SageMaker是亞馬遜云科技在AI方面的重要服務(wù),都可以簡化模型的驗證和定制過程�����。其中���,Amazon Bedrock可以確保數(shù)據(jù)在傳輸和存儲中是加密狀態(tài)����,同時,搭配Guardrails可以確保模型輸出的安全性�����。
此外����,新公布的安全參考架構(gòu)可以更好地將所有工具進行整合。亞馬遜云科技還將各種云服務(wù)和工具整合在一起��,以確保生成式AI的安全性和可觀測性�����,其中會涉及到一些安全工具����,比如Amazon Maci、Amazon Inspector�、Amazon Detector等。
亞馬遜云科技還在利用生成式AI改進安全工作流程�。比如,基于Amazon Bedrock開發(fā)的支持系統(tǒng)��,可以利用生成式AI幫助安全響應(yīng)人員提高效率,可以快速����、安全地識別���、分類問題�,甚至可以與其他工具和調(diào)查技術(shù)相關(guān)聯(lián)��,加快處理的速度�。
有了這套系統(tǒng),在解決安全問題時�,大概平均使用10個查詢或提示詞即可。Hart表示��,我原本不確定它會如此有用����,但結(jié)果安全人員都非常喜歡,它極大加速了他們以高標準調(diào)查和解決問題的速度����,這非常棒。
亞馬遜云科技的客戶事件響應(yīng)團隊(CIRT)專門幫助客戶處理在亞馬遜云科技共享責任模型下發(fā)生的安全事件���,在看到Amazon Bedrock和Amazon
Q之后��,該團隊也在考慮如何利用這些技術(shù)提供更好的響應(yīng)體驗�����,幫助事件響應(yīng)人員更充分了解所調(diào)查的領(lǐng)域���。
為了探索如何更好地應(yīng)對涉及生成式AI系統(tǒng)的安全問題���,并研究使用生成式AI提高調(diào)查結(jié)果的方法,亞馬遜云科技提出了一個心智模型(Mental model)���,模型包含七個調(diào)查要素���,涉及訪問控制、計算變更等多個方面���。
安全實踐要付諸行動
最后����,Hart強調(diào)說����,作為安全工作的領(lǐng)導(dǎo)者�,不要把了解到的最佳實踐停留在紙面上��,而是要付諸實踐�����,通過部署生成式AI技術(shù)來提高安全操作水平����。
亞馬遜云科技提供了工具和經(jīng)驗���,幫助安全工作的領(lǐng)導(dǎo)者可以更快���、更安全地展開創(chuàng)新,并為客戶提供更好的安全保障�。
Hart的介紹展示了生成式AI在安全領(lǐng)域的巨大潛力,并提供了具體的實踐指南��,幫助安全專業(yè)人員在快速創(chuàng)新和保持安全之間找到平衡�����。
