亚马逊云科技保护构建生成式AI过程中的数据与模型安全

关键字: [Amazon Bedrock, 云安全治理, 生成式Ai安全, 数据隐私保护, 模型隔离, 访问控制]

本文字数: 3500, 阅读完需: 18 分钟

导读

在这场演讲中,演讲者讨论了如何在构建生成式AI过程中保护数据与模型安全。他解释了生成式AI面临的前景和挑战,如何改善云上安全状态,以及如何安全地使用生成式AI。演讲重点介绍了亚马逊云科技的Amazon Bedrock服务,该服务通过数据隐私、数据安全、密钥管理服务和模型隔离等措施,确保客户数据和模型在构建生成式AI应用时的安全性。演讲还提供了云安全成熟度模型和行动建议,帮助企业评估和提升云上工作负载的安全水平。

演讲精华

以下是小编为您整理的本次演讲的精华，共3200字，阅读时间大约是16分钟。

亚马逊云科技的解决方案架构师李宁先生在演讲中阐述了在构建生成式人工智能(GenAI)的过程中,如何保证数据和模型的安全。他将这一问题分为四个子问题进行探讨。

首先,李宁先生分析了生成式人工智能面临的前景和挑战。他指出,虽然过去两年生成式人工智能发展迅速且备受关注,但它也面临着一系列挑战。第一个挑战是创新障碍。当开发团队或产品团队发布新产品时,他们往往需要寻求安全团队的评估,但安全团队的回复通常是需要等待或类似的回复,因此有人将安全团队戏称为”禁止部门”。为了赶在上线前,一些产品甚至尝试避开安全团队,导致安全团队缺乏参与感。

第二个挑战是安全专家的数量相对较少。一方面,这是由于安全领域的技术挑战性和复杂性所致;另一方面,则可能是由于预算不足,无法聘请足够的高水平专家。第三个挑战是生成式人工智能技术的快速发展,使得安全环境和安全风险变得动态化,要求安全团队时刻保持最新状态并随时应对环境变化。第四个挑战是除了遵守各种安全法则和行业法规外,数据安全和隐私保护也成为一大挑战。

李宁先生引用了亚马逊云科技首席安全官的一句话:“我们不是在下棋,我们是以每小时250公里的速度在下棋,而且所有人都在看。”这句话的意思是,技术发展非常之快,以至于我们没有太多时间去思考或缓慢应对。计算资源作为一种常用资源,已经变成了许多人都可以获取和使用的东西,其中包括安全威胁者和安全防御者。

接下来,李宁先生探讨了如何改善云上的安全状态。他指出,虽然安全这一话题伴随着信息技术产业的兴起,但在传统的安全模型中,云安全也遵循了”洋葱模型”。亚马逊云科技将安全过程划分为身份识别、基础架构保护、数据保护和事件响应五个维度,并围绕这五个维度开发了累计超过300项的安全功能,帮助客户配置云上的安全能力,改善云安全状况。

在这些服务中,有些是免费的,如IAM服务、Organizations服务和Trusted Advisor服务,这些都是免费服务。另一部分服务则提供了部分免费配额,如Amazon Cognito User Pools服务的前50万个用户免费,Lambda服务的前100万个请求免费。在许多场合,李宁先生发现,在构建无服务器、事件驱动的应用程序时,前100万个请求都是免费的。

还有一些服务提供15天到30天不等的免费使用周期,在此期间,用户可以免费体验这些安全服务,根据自己的使用场景配置服务,甚至估算成本。对于这些服务,亚马逊云科技还提供了详细的操作文档、实验指导手册,甚至提供了一些游戏对抗项目,帮助客户熟悉服务。

客户可以综合这些服务和自身需求构建基于云原生的解决方案,这些解决方案不仅具有灵活性和弹性,而且比一些商用解决方案更加灵活。这与亚马逊云科技利用云技术帮助广大客户普惠,改善他们的云上安全状态的初衷非常契合。

面对如此多的服务,用户往往会感到困惑,不知从何入手,如何确定安全能力建设的优先顺序。对此,亚马逊云科技推荐了一个选择矩阵,从安全受益最大和实施难度两个维度构建行动。将这两个要素结合,圈定的安全任务被称为”速胜任务”。速胜任务对大多数客户而言,可能只需一两周就能构建起来,实现从0到1或从0.5到1的过程,而且安全防御的成效回报也非常大。

之后,客户可以根据自身的业务需求以及安全团队或IT团队的技术积累能力,逐步选择其他任务,一步一步构建安全能力。速胜任务只是帮助客户踏上了云安全治理的演进之路,并不意味着通过这个顺序就可以从不安全、不确定变成安全,大胆部署工作负载。事实上,它只是帮助客户具备了一个初始的安全环境,客户还需要持续不断地演进,坚持今天比昨天做得更好,这条路任重而道远。

为了达到云安全的目的,亚马逊云科技还推荐了一个云安全成熟度模型,包括四个阶段。第一个阶段就是速胜任务选择的区域,是模型的起点。在这个阶段,亚马逊云科技建议客户从最简单、回报最大的任务开始构建,争取获得立竿见影的效果。目的不仅是直接快速解决初始的云安全威胁,降低风险,更关键的是通过一两周的快速构建过程,降低了面对风险的时间。

第二个阶段是基础阶段,亚马逊云科技认为每一个亚马逊云科技云上的用户或账号都应该具备这个安全能力水平,因为只有达到这个水平,账户才具备部署生产环境的基本要求,否则就可能存在或多或少的安全风险。

第三个阶段是高效阶段。在这个阶段,安全团队应该积极参与到整个信息化建设或数字化转型的过程中,具备高效的云安全置顶能力,能够快速制定安全计划并实施云治理任务。

第四个阶段是已优化阶段,是最高的阶段。不一定每个企业都会进入这个阶段,对于一些高要求或有特定治理计划的企业,亚马逊云科技会在已优化阶段持续开展更深入的云安全治理。

接下来,李宁先生讨论了如何安全地使用生成式人工智能。他相信在座的各位对生成式人工智能并不陌生,也应该是看好它的前景。演讲中展示的一些图片都是由人工智能创作的,而不是人工创作。生成式人工智能属于人工智能的一个分支,但与传统人工智能不同。传统人工智能利用特定数据为特定目的训练特定模型,应用于翻译、预测或个性化推荐等场景,模型通常较小,目的性和训练方法、算法数据都较有针对性。

而生成式人工智能的模型称为基础模型,是采用大量数据训练产生的,具有多用途和多模态的特点。一个单一的模型就可以覆盖大多数客户对图像、文本、音频、视频等的使用场景需求,因此生成式人工智能技术发展非常快,模型能力非常强。

但业界也开始对生成式人工智能的安全性产生顾虑,担心人工智能的发展速度可能会超出我们对其技术的理解以及降低相关风险的能力,这是一种未知或不可控的风险。根据亚马逊云科技的研究,人工智能的安全可能分为三个维度:

首先是抵御生成式人工智能带来的危险。根据了解,生成式人工智能已经在以下几个方面得到应用:第一,钓鱼邮件的生成。生成式人工智能技术可以帮助构建更加本地化或更符合用户真实场景的邮件内容,使得攻击更加个性化和逼真,防御更加困难。第二,生成恶意代码。如果直接向基础模型提问生成恶意代码,可能会被拒绝。但如果转而询问生成加密远端文件集的代码,并提供登录凭证和方法,模型就可能生成恶意病毒代码的全过程。第三,深度伪造和完美语音克隆。假如一个企业高管的公开演讲视频上传到互联网,攻击者下载视频、提取声纹特征,再合并一段语音发给公司财务人员,要求做出财务划拨,如果没有进一步确认,面对真实声音的指令,企业可能会面临巨大的金融风险。

针对这些情况,李宁先生提出了一些应对实践。首先,改善团队的安全意识,在团队内部讨论生成式人工智能的风险场景及潜在风险,对于任何突然的指令和要求,都需要二次确认或提供凭证,按照公司正规流程执行。其次,在IT建设过程中更广泛地实施多因子认证,加强审核机制。对于企业内部各个人员,要将他们在使用公司业务系统时的权限降到最低,并持续开展审计和权限审查,确保人员角色与权限相匹配。

第二个维度是如何利用生成式人工智能提升安全性。亚马逊云科技一直走在行业前列,已经基于生成式人工智能构建了一系列具备相关能力的服务。

第一个服务是Amazon CodeWhisperer,包括CodeWhisperer Develop和CodeWhisperer Business等产品。重点介绍的是CodeWhisperer for Developer,它是一个代码助手,开发人员可以利用它开发业务程序。另外,Amazon CodeWhisperer还可以帮助执行代码安全性扫描,发现不安全的代码,并在要求下生成安全的代码替代。

第二个服务是Amazon Inspector,是一个更久远的脆弱性管理服务。它的好处是能够为客户提供跨账号的集中式脆弱性管理,持续扫描亚马逊云科技上的资源,包括扫描Lambda的Runtime运行时代码,发现脆弱性并以用户看板的形式呈现,让用户快速发现并执行加固。

第三个服务是Amazon GuardDuty,能够综合分析被妥协或遭攻击的指标,分析威胁事件的根本原因,利用生成式人工智能技术生成简洁的报告,让用户快速理解整个事件过程。

讨论了如何利用生成式人工智能提升安全性后,李宁先生继续探讨如何保护基于生成式人工智能构建的应用程序安全。由于企业看好生成式人工智能,肯定会构建符合企业增长、重塑应用程序价值链的相关应用程序,因此如何保护这些应用程序就变得非常重要。

在这方面,亚马逊云科技最新推出的Amazon Bedrock服务具有重要作用。Amazon Bedrock提供了简单易用的API入口点,让开发者可以快速构建基于生成式人工智能的应用程序。客户可以自由选择来自不同服务提供商的模型,甚至基于这些基础模型训练自己的模型或上传自己的模型使用。

更重要的是,Amazon Bedrock在确保生成式人工智能安全使用方面提供了多重保障:

1. 数据隐私方面
   • 亚马逊云科技明确表示,客户的数据不会用于模型的改造,不会与任何模型提供商共享这些数据。
   • 亚马逊云科技自己的基础模型泰坦公开承诺不会使用客户数据去训练或改建模型能力。
   • 客户所有数据(包括执行生成式人工智能时的提示词输入和模型推理返回)都存在客户自己的账号内,提供账号级隔离,保留在指定区域内,不会离开客户账号,只有客户自己可访问。
   • 用户自定义模型采用自己的密钥加密,亚马逊及第三方无法解密。

• 数据安全
  • 用户数据在任何状态下都是加密的,静态时使用AES256加密算法,传输时使用TLS1.2+协议加密。
  • 提供两种方式避免公网暴露:私有链路直连或专线/VPN连接。
  • 原生集成身份与访问管理服务,控制对资源的访问。
  • CloudTrail记录所有API调用活动,开启防篡改,用于审计和故障分析。
  • 指标监控服务采集应用指标,配置预警和自动化处理。
• 密钥管理服务(KMS)
  • 采用高度加密算法,理论上无法破解。
  • 密钥永不离开KMS服务,使用信封加密保护密钥安全。
  • 密钥存储在硬件安全模块(HSM),具有防篡改和自毁能力。
  • 多区域部署,高可用,支持密钥复制4. 模型隔离
  • 模型提供商只能将模型上传到指定的亚马逊云科技管理的存储桶,无读取和列出权限。Amazon Bedrock作为亚马逊云科技的一个服务,可以从该存储桶中部署和管理模型。
  • 用户通过Amazon Bedrock接口输入信息并经过身份认证和权限认证后,可以执行模型推理,整个调用过程中数据存在于用户自己的账号桶或本地盘中。模型提供商包括亚马逊云科技自身都无法访问这个入口点。
  • 如果用户要自定义训练模型,模型数据将以加密状态存储在用户自己的桶中。训练基础模型有读取这些数据的权限,但无写权限。产生的自定义模型将使用用户自己的密钥加密,再推送部署。

因此,在整个过程中,Amazon Bedrock的部署框架和技术权限确保了用户的数据和模型不会被外部或未经授权的对象访问。用户的数据始终在自己的账号内,亚马逊云科技提供了账号级的隔离。

除了Amazon Bedrock本身的安全保障,亚马逊云科技还为其提供了Gating.AI服务,在用户输入和模型输出之间运行,提供四个关键能力:

1. 话题拒绝能力。如果构建的是特定领域的聊天机器人,可能不希望它讨论与服务内容无关的政治敏感话题或不合法不合规内容。此功能可以拒绝这些话题的讨论,避免后续风险。
2. 对模型输出内容的过滤能力。根据内容过滤规则,可以编辑和过滤模型推理产生的不合法不合规内容,再返回给客户。
3. 敏感信息过滤器。在使用企业自身知识训练自定义模型的过程中,可能会无意将少量敏感数据送入模型训练。此时,如果重新训练模型代价太高,可以利用此功能明确告知模型不能暴露某些类型的敏感数据,如信用卡数据等。
4. 单词或关键词过滤。如果有人在某些场合说了一些不当的话语或关键字,此功能可以让机器人拒绝回答相关话题或人员的问询,有助于控制风险。

最近,Gating.AI服务还添加了两项新功能:模型幻觉检测,能够根据模型输入输出判断模型返回的幻觉事实性和相关性,提供判断依据;开放API,允许非Amazon Bedrock用户调用Gating.AI的功能,在自己的输入和模型之间执行负责任的检测和过滤。

总的来说,亚马逊云科技通过Amazon Bedrock服务及其数据隐私、数据安全、密钥管理、模型隔离等多重技术措施,为客户提供了安全使用生成式人工智能的保障。同时,Gating.AI服务的多种功能有助于负责任地使用生成式人工智能。

在演讲的最后,李宁先生总结了保护数据和模型安全的几点要求:

1. 客户的数据绝对在客户的管控过程中,亚马逊和模型服务商绝对不会使用客户数据执行模型的改造和训练。
2. 客户的数据和模型都处于全程加密状态,无论是落盘、传输还是部署,都是加密的。
3. 亚马逊云科技提供成熟的精细访问控制服务,能够原生地帮助客户管理访问授权和控制,提供精细力度的管理。
4. 客户在云上的安全密钥放置在KMS和HSM设备中,足够安全。
5. 客户的自定义模型采用自己的密钥加密,亚马逊及第三方无法在理论上破解密钥或违规访问自定义模型。客户的数据始终在自己的账号内,亚马逊云科技提供账号级隔离。

最后,李宁先生建议客户利用云安全成熟度模型评估自身云上负载的安全状态,持续关注工作负载的安全状态,确保至少达到第三级或第四级成熟度。同时,提升团队对生成式人工智能安全风险的认知,并鼓励探索和使用Amazon Bedrock服务。

总的来说,这场演讲深入探讨了在构建生成式人工智能过程中如何保护数据和模型安全,阐述了亚马逊云科技在这一领域的解决方案和实践经验,为客户保护生成式人工智能应用程序的数据和模型安全提供了指导和建议。

下面是一些演讲现场的精彩瞬间：

演讲者在演讲中阐述了在构建深层次人工智能时如何确保数据和模型的安全性。

生成式AI技术发展迅速,模型能力强大,但也引发了安全顾虑,担心AI发展速度超出技术理解和风险控制能力。

深度伪造技术可能导致企业面临巨大金融风险,必须采取应对措施。

亚马逊云科技CodeWhisperer是一款代码助手,可帮助开发人员编写业务程序,并执行代码安全扫描和生成安全代码。

在这段演讲中,演讲者建议用户利用云的安全成熟度模型评估云上负载的安全状态,持续关注工作负载的安全状态,并通过深层次AI的场景和风险意识提升团队的安全认知。

总结

亚马逊云科技在构建生成式AI过程中保护数据与模型安全的主要做法如下:

生成式AI带来了前景和挑战,亚马逊云科技提供了300多项安全功能帮助客户改善云安全状态,并推荐了云安全成熟度模型来持续演进。针对生成式AI的安全风险,亚马逊云科技建议提高团队意识、实施多因子认证和审计机制。亚马逊云科技利用生成式AI提升安全性,如CodeWhisperer代码安全扫描、Inspector漏洞管理、GuardDuty威胁分析报告生成等。

在Amazon Bedrock服务中,亚马逊云科技采取多重措施保护数据和模型安全:客户数据不会用于模型训练,数据加密传输和存储,精细访问控制,密钥管理服务加密,模型隔离部署。Amazon Bedrock还提供Gating服务,支持话题拒绝、内容过滤、敏感信息过滤、关键词过滤、幻觉检测等,确保负责任使用生成式AI。

亚马逊云科技建议客户利用云安全成熟度模型评估工作负载安全状态,提升生成式AI安全意识,并探索使用Amazon Bedrock服务。通过这些措施,亚马逊云科技致力于在构建生成式AI过程中保护数据与模型安全。