Hart Rossman是亞馬遜云科技全球客戶安全技術(shù)支持與服務(wù)副總裁,他的工作以保障服務(wù)的安全為主,同時推動亞馬遜云科技在安全領(lǐng)域的持續(xù)創(chuàng)新和改進。

安全工作的領(lǐng)導(dǎo)者一定要了解新技術(shù)

Hart認為,作為安全工作的領(lǐng)導(dǎo)者,一定要先了解所要保護的技術(shù)內(nèi)容才能提供安全保護。

一位銀行的首席安全官向 Hart表示,他希望他的安全領(lǐng)導(dǎo)者首先是銀行從業(yè)者,其次才是安全從業(yè)者。他雇用了很多安全工作者,但他始終認為,只有當他們成為行業(yè)專家時,才能夠做出正確的安全和風險管理決策。

對于了解機器學習的人來說,生成式AI也不是什么新奇的事物,只是因為它帶來了新的互動方式而格外引人矚目。事實上,亞馬遜云科技在這一領(lǐng)域也深耕許久。

Hart認為,生成式AI是安全領(lǐng)域的一個關(guān)鍵時刻。為了幫助客戶進行創(chuàng)新,安全領(lǐng)導(dǎo)者必須深刻理解技術(shù)原理和應(yīng)用場景,并開發(fā)新的安全手段。

眼下,生成式AI的用例還不明確,但客戶和業(yè)務(wù)人員那里或許有更好的答案,了解這些需求可以更好地幫助他們實現(xiàn)快速創(chuàng)新。

所以,安全工作最大的挑戰(zhàn)就是,既要讓用戶能快速行動來實現(xiàn)創(chuàng)新,同時又要保持安全,兩者顯然存在一定的矛盾,需要做出權(quán)衡。

Hart表示,為了確保生成式AI技術(shù)的安全應(yīng)用,我們需要更新思維模式,需要重新考慮如何保護我們的工作負載、業(yè)務(wù)和創(chuàng)新。

生成式AI安全范圍矩陣與三個實踐經(jīng)驗

為此,亞馬遜云科技在幾個月前發(fā)布了生成式AI安全范圍矩陣,它總結(jié)了在安全領(lǐng)域的研究成果,幫助安全領(lǐng)導(dǎo)者、開發(fā)者和審計員思考生成式AI技術(shù)應(yīng)用場景。

Hart介紹稱,亞馬遜云科技自身在使用范圍矩陣的時候,也學到了三項重要的經(jīng)驗。

首先,身份和訪問控制的重要性。確保身份和訪問控制的正確性是非常重要的,要遵循“最小權(quán)限原則”,確保沒有人能利用生成式AI服務(wù)獲取他們通常不能訪問的信息。期間會用到Cedar、Verified Permissions、Amazon IAM和Access Analyzer等技術(shù)。

第二點,與數(shù)據(jù)所有者合作,而不是單獨進行開發(fā)。個體貢獻者在開發(fā)生成式AI應(yīng)用時,應(yīng)與數(shù)據(jù)所有者溝通,因為他們的計劃中可能已經(jīng)包含了類似的想法,從而避免重復(fù)工作。此外,個人貢獻者可以提供反饋,協(xié)助優(yōu)化用例和安全模型,確保項目更好地部署。

第三點,要全面考慮整個架構(gòu)。在引入新技術(shù)時,常常會關(guān)注新技術(shù)的新穎性,容易忽略整體架構(gòu)。生成式AI應(yīng)用不是孤立部署的,而是復(fù)雜系統(tǒng)的一部分,因此需要全面考慮整個架構(gòu),確保實施合適的控制措施,對整個基礎(chǔ)設(shè)施和工作流的生命周期進行審計。

亞馬遜云科技面向生成式AI開展的安全工作

除了這些經(jīng)驗之談,亞馬遜云科技在產(chǎn)品技術(shù)層面也有很多安全相關(guān)的舉措,在Amazon Nitro、Amazon KMS等技術(shù)的基礎(chǔ)之上,還面向生成式AI相關(guān)服務(wù)做了很多有針對性的優(yōu)化。

Amazon Bedrock和Amazon SageMaker是亞馬遜云科技在AI方面的重要服務(wù),都可以簡化模型的驗證和定制過程。其中,Amazon Bedrock可以確保數(shù)據(jù)在傳輸和存儲中是加密狀態(tài),同時,搭配Guardrails可以確保模型輸出的安全性。

此外,新公布的安全參考架構(gòu)可以更好地將所有工具進行整合。亞馬遜云科技還將各種云服務(wù)和工具整合在一起,以確保生成式AI的安全性和可觀測性,其中會涉及到一些安全工具,比如Amazon Maci、Amazon Inspector、Amazon Detector等。

亞馬遜云科技還在利用生成式AI改進安全工作流程。比如,基于Amazon Bedrock開發(fā)的支持系統(tǒng),可以利用生成式AI幫助安全響應(yīng)人員提高效率,可以快速、安全地識別、分類問題,甚至可以與其他工具和調(diào)查技術(shù)相關(guān)聯(lián),加快處理的速度。

有了這套系統(tǒng),在解決安全問題時,大概平均使用10個查詢或提示詞即可。Hart表示,我原本不確定它會如此有用,但結(jié)果安全人員都非常喜歡,它極大加速了他們以高標準調(diào)查和解決問題的速度,這非常棒。

亞馬遜云科技的客戶事件響應(yīng)團隊(CIRT)專門幫助客戶處理在亞馬遜云科技共享責任模型下發(fā)生的安全事件,在看到Amazon Bedrock和Amazon Q之后,該團隊也在考慮如何利用這些技術(shù)提供更好的響應(yīng)體驗,幫助事件響應(yīng)人員更充分了解所調(diào)查的領(lǐng)域。

為了探索如何更好地應(yīng)對涉及生成式AI系統(tǒng)的安全問題,并研究使用生成式AI提高調(diào)查結(jié)果的方法,亞馬遜云科技提出了一個心智模型(Mental model),模型包含七個調(diào)查要素,涉及訪問控制、計算變更等多個方面。

安全實踐要付諸行動

最后,Hart強調(diào)說,作為安全工作的領(lǐng)導(dǎo)者,不要把了解到的最佳實踐停留在紙面上,而是要付諸實踐,通過部署生成式AI技術(shù)來提高安全操作水平。

亞馬遜云科技提供了工具和經(jīng)驗,幫助安全工作的領(lǐng)導(dǎo)者可以更快、更安全地展開創(chuàng)新,并為客戶提供更好的安全保障。

Hart的介紹展示了生成式AI在安全領(lǐng)域的巨大潛力,并提供了具體的實踐指南,幫助安全專業(yè)人員在快速創(chuàng)新和保持安全之間找到平衡。

分享到

zhupb

相關(guān)推薦