亚马逊云科技re:Inforce 2024精彩回顾 生成式 AI 时代的全面安全 ...

在刚刚结束的亚马逊云科技 re:Inforce  2024大会上， 亚马逊云科技首席信息安全官（CISO）Chris Betz 发表了主题演讲。在快速发展的生成式 AI 时代，亚马逊云科技作为云计算领域的向导者，以主动且全面的掩护为中心，致力于保卫和提升云安全性。Chris Betz 引领听众一起探索公司的安全文化，展现了精心编织进亚马逊云科技体系中的复杂实践、技能和思维方式，以及在生成式 AI 时代的创新安全服务。
01
全面的安全文化是焦点

亚马逊云科技安全气力的焦点是一种根深蒂固的文化，通过持续投资和专注，经过长期培养而成。创建和维护这种文化绝非易事，需要整个组织中每个人的有意识、专注的努力。这种对安全杰出的不懈追求渗透到亚马逊云科技运营的方方面面，从最高向导层到一线服务团队。
为进一步加强这种全部权并扩大安全最佳实践，亚马逊云科技创建了“安全保卫者”(Security Guardians)计划。这些嵌入产品团队的工程师们具备着深厚的安全专业知识，饰演着安全实践保卫者的角色，引导团队在整个开发周期中的每个环节，从规划到实行，都确保安全考量在每个环节都有发言权。

亚马逊云科技采用了一系列统一的安全方法，不仅体如今内部运营中，更认识到作为一个协同团队行动的重要性。当与安全相关的事件发生时，它们会迅速上报给安全团队，由安全团队负责并采取果断行动解决题目，最大限度地缩短了整个组织的平均解决时间。
02
始于计划的基础设施安全

亚马逊云科技对安全的承诺不仅仅是一种理念，更是一个有形的现实，深深融入了其基础设施的方方面面。从物理数据中心到网络计划和服务架构，安全性都深深植根于每一层，确保了客户应用程序和数据的掩护。
安全基础设施的焦点，是经过“量身定制”计划的前沿芯片解决方案，以满足云计算领域的独特需求。在2023年的re:Invent 大会上发布的 Amazon Graviton 4处理器，代表了亚马逊云科技在硬件安全投资方面的顶峰之作。依附全加密的高速物理硬件接口，包括 DRAM、PCIe 到 Amazon Nitro卡以及双插槽芯片链路，Amazon Graviton 4将安全性提升到了一个新的高度，增长了针对各种硬件攻击的深度防御。

Amazon Graviton 的安全功能不仅限于硬件加密，还通过指针认证和分支目的辨认来加固指令的执行，分别为返回导向编程(ROP)和跳转导向编程(JOP)攻击提供了强大的防御。作为硬件高级功能，Amazon Linux 2023为内核和全部为操作系统编译的软件包启用了指针认证和分支目的辨认，确保了这些安全功能得到充实使用。
此外，亚马逊云科技解决了围绕推测执行漏洞和同步多线程(SMT)处理器的潜伏题目，在 Amazon Graviton 芯片级别完全消除了 SMT，确保每个执行线程都拥有专用的焦点，从根本上消除了潜伏的威胁。

亚马逊云科技的 Nitro 系统再次彰显了对安全性的不懈追求，从焦点上就将安全性和性能作为计划理念，其专用硬件和固件强制实行了限定措施，防止未经授权访问在 Amazon EC2 上运行的客户工作负载和数据。这一架构是确保呆板学习和生成式 AI 工作负载安全的关键构成部门，它将客户的 AI 数据与亚马逊云科技运营人员隔离开来，并提供了一种移除管理访问权限和掩护价值资产(训练数据和模型权重)的方式。

亚马逊云科技对安全性的关注不仅体如今硬件和基础设施上，还深入到其服务和技能中。我们认识到实行健全的零信托架构以为组织创建得当的安全边界的重要性。

在IAM领域，Chris提到，亚马逊云科技在re:Inforce 2023发布了 CEDAR，这是一个开源的、专门构建的授权策略和评估引擎，支持基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)等常见授权模型。CEDAR 是第一个从头开始就使用自动推理举行正式验证的策略语言，使客户可以或许在应用程序中表达细粒度权限，并进步正确性和安全性的保证。
03
经过验证的安全
亚马逊云科技对安全的承诺不仅体如今其内部运营和技能上，更深深植根于公司对合规性和行业尺度的方法。亚马逊云科技支持143项安全尺度和合规性认证，助力客户满足全球范围内的合规性要求。这种承诺体如今与欧洲电信运营商 O2 Telefonica 的合作伙伴关系上。
O2 Telefonica 选择亚马逊云科技构建高度安全和可扩展的5G 焦点网络，借助亚马逊云科技服务提供的数据安全、优化的性能、效率和韧性。尽管电信行业对安全有着严酷要求，但 Telefonica 仍能在亚马逊云科技上构建出满足其运营和安全需求的系统，同时进步运营效率。
亚马逊云科技对安全的承诺不仅体如今威胁检测和相应上，还包括全面的恶意软件掩护。随着 Amazon GuardDuty 中 Amazon S3 的恶意软件掩护功能的正式发布，客户如今可以在文件上传到 S3时自动扫描恶意软件，并选择性地隔离已辨认的恶意软件。Amazon GuardDuty 恶意软件掩护功能的这一重大扩展为整个组织内的任何 S3存储桶提供了完全托管、可扩展的掩护，而不会低沉客户对 S3所盼望的规模、延迟或弹性。

在不停演进的网络安全领域，亚马逊云科技认识到实行健全的零信托架构以为组织创建得当的安全边界的重要性。在上一年的 re:Invent 上，亚马逊云科技公布了新的功能，以支持客户通过零信托架构在云中实现强大的安全态势，该公司将继续投资使零信托采用变得更加容易和更加经济高效。
其中一项投资是预览发布亚马逊云科技私有证书颁发机构毗连器(Private CA Connector)用于简单证书注册协议(SCEP)。这项新功能使客户可以或许将亚马逊云科技 Private CA 与盛行的移动设备管理解决方案一起使用，大大减少了使用亚马逊云科技托管的私有 SCEP 服务管理自己的公钥基础设施运营所需的时间和资金。

亚马逊云科技还在 Amazon IAM 中为管理账户根用户强制实行多因素身份验证(MFA)，掩护用户账户免受根据攻击，低沉账户被担当的风险。此外，亚马逊云科技已公布 Passkeys 作为身份验证的第二因素正式上线，为客户提供了更大的灵活性和更加用户友好的多因素身份验证选项。

为了引导客户在最小特权的道路上前进，亚马逊云科技推出了一项新的 IAM Access Analyzer 功能：未使用访问权限的建议。使用自动推理，Access Analyzer 提供了发现效果，使安全团队可以或许集中检察整个组织中未使用的访问权限，吸收规范性引导和策略建议，以解决这些发现效果并完善未使用的访问权限。这一功能是亚马逊云科技不停增长的云基础设施授权管理能力的一部门，并且免费提供。

固然实行零信托是加强组织安全态势的关键一步，但强大的监控和数据分析能力对于持续维护和发展零信托模型至关重要。2022年，亚马逊云科技推出了 Amazon Security Lake，资助客户更全面地相识其安全态势。

该功能为整个组织中的任何 S3桶提供全面管理、可扩展的掩护，在文件上传时自动扫描恶意软件，并可选择隔离已辨认的恶意软件。只需几个步骤，客户就可以在任何 S3桶上启用恶意软件掩护，而不会低沉他们对 S3所盼望的规模、延迟或弹性等功能特性。
04
保卫生成式  AI 的安全
随着生成式 AI 成为大多数组织关注的热点题目，亚马逊云科技重申其作为运行呆板学习和生成式 AI 工作负载的最佳场合的地位。亚马逊云科技的目的是在其生成式 AI 堆栈的三个层面上提供最多选择和最佳安全功能。

在底层，亚马逊云科技提供安全的人工智能基础设施，创建在三个关键原则之上：完全隔离人工智能数据与基础设施运营商、客户可以或许自行隔离数据，以及受掩护的基础设施通信。该基础设施确保任何未经授权的人(无论是亚马逊云科技还是客户端)都无法访问敏感的人工智能数据，如模型权重和使用这些模型处理的数据。

中间层 Amazon Bedrock 内置行业领先的功能，如 Amazon IAM和 Amazon KMS。它可以使用 VPC 来控制流量，提供多租户隔离，并为全部网络间流量和模型定制提供强大的加密。客户始终拥有模型的私有版本，任何改进或定制都是私有的，只有该客户可以访问。Guardrails for Amazon Bedrock，可让客户根据自己的用例为任何基础模型创建和应用防护，可阻止高达85%的有害内容，比基础模型原生提供的掩护更多。
在顶层，亚马逊云科技为构建者提供工具和服务，资助他们编写更安全、更结实的代码。Amazon CodeGuru Developer 是一款加强型代码助手，使用 Amazon CodeGuru Security，提供安全漏洞扫描和修复功能，可扫描代码中难以检测的漏洞，如暴露的根据和日记注入。在 DevSecOps 领域，Amazon Inspector 与 CI/CD 管道集成，对应用程序代码执行安全扫描和缓解，确保在摆设之前检测和缓解安全漏洞。
亚马逊云科技还提供了一系列围绕三层生成式 AI 技能栈的服务，以促进 AI 技能的安全使用。其中一项服务是 Amazon GuardDuty，它可以检测生成式 AI 工作负载中的可疑和潜伏恶意运动，例如异常移除 Bedrock 安全防护措施、更改模型训练源以及可疑的模型使用环境。
亚马逊云科技还公布了在 Amazon CloudTrail Lake 中预览自然语言查询生成功能。这个由生成式 AI 驱动的新功能将使客户可以或许轻松快速地分析他们在 Amazon CloudTrail Lake 中的内容，而无需编写复杂的 SQL 语句。这一功能将简化审计、安全和运营用例，允许用户提出诸如“在过去一周内，每项服务记录了多少错误”之类的题目，并吸收一个可以举行微调或直接提交的生成 CloudTrail Lake 查询。

末了，亚马逊首席安全官（CSO）Steve Schmidt 登台，概述了将生成式 AI 解决方案从构思转移到生产的四个重点领域：

1.确保在训练人工智能模型时正确处理敏感数据，使用亚马逊云科技云工具对训练数据举行加密，实行健全的掩护措施，并保持对数据存储、访问和使用的可见性。
2.为检索加强生成(RAG)实行信托边界，确保人工智能应用程序携带正确的用户上下文，并且只能访问经授权的数据。
3.优化人工智能应用程序的测试，通过使用一套全面的提示不停测试模型，以检测潜伏的注入题目或数据泄露，这是一个正在举行的积极研究领域。
4.在生成式 AI 系统的输入和输出上实行得当的安全防护措施，例如对相应举行清算、避免某些术语或主题，并使用 Guardrails for Amazon Bedrock 等功能。这些防护措施应该不停发展，以满足不停变革的威胁环境。
Steve Schmidt 对生成式 AI 在亚马逊的变革潜力表现兴奋，并鼓励与会者采用类似的策略和文化，以快速和安全地推进生成式 AI ，同时掩护客户的隐私或安全。
Chris Betz 强调，文化在推动新风俗的发展、计划安全系统以及让个人在整个组织中优先考虑安全方面的重要性。他鼓励与会者相互学习，并将宝贵的见解带归去，以在各自的组织中塑造成功的安全文化。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。