亚马逊云科技如何为AI时代的企业构建智能安全？

9个月前Chat-GPT的爆火引起了各行各业的关注，在随后的几个月里，全球各地展开了一场关于AI大模型的"军备竞赛"，各种生成式AI应用场景也随之呈现出井喷的态势。

如今，生成式AI已经被广泛应用到企业创新的各个环节，如通过智能客服优化客户体验，通过自动生成代码来提高技术团队的生产力，通过文字生成图片来加速生成创意内容……从金融、医疗、制造、教育到游戏、娱乐，成式AI几乎改变了各行各业的"游戏规则"。

但与此同时，作为生成式AI的重要实现方式之一，大语言模型也迎来了新的安全挑战，如数据泄露、未经授权的代码执行、过度依赖LLM生成的内容、训练数据污染等等。安全成了构建生成式AI应用不可回避的议题。

近日，在 "2023亚马逊云科技re:Inforce中国站"活动中，亚马逊云科技大中华区解决方案架构部总监代闻分享了"AI时代，引领智能云安全"主题演讲，从数据与模型安全、应用安全和全球合规三个方面对生成式AI的安全问题进行了详细解析。

亚马逊云科技大中华区解决方案架构部总监 代闻

保障数据和模型安全，构建AI应用的关键

代闻指出："生成式AI应用就像是海面上的冰山，我们想要在企业里安全地驾驭这项新技术，还需要关注海面下的冰川，包括数据、模型、基础设施等等。"

数据和模型安全是构建AI应用的关键。在数据安全方面，高质量数据是构建生成式AI能力的关键。从数据源的获取到数据的存储，再到将数据传输给 AI平台进行模型的训练、调优和推理，以及全面实施数据分类和治理，亚马逊云科技提供了一整套贯穿生成式AI全周期的解决方案、产品服务和最佳实践。

如通过实施安全密钥管理、静态数据保护自动化、实施访问控制、利用机制限制数据访问来保护存储中的数据；通过实施安全密钥和证书管理、在传输中执行加密、自动检测意外数据访问、对网络通信进行身份验证来保护传输中的数据；通过身份认证、隔离环境、多方协作、数据共享来保护使用中的数据。

本次大会上，亚马逊云科技还特别推出了敏感数据保护解决方案。

在模型安全方面，模型训练的安全性是确保训练结果准确、有效的关键。企业应该全方位监控模型的安全运行，包括模型的访问安全、模型的管理、模型运行的安全监控等等。

为了帮助企业客户降低使用生成式 AI 的门槛，亚马逊云科技推出了完全托管的基础模型服务Amazon Bedrock，企业客户可根据自身需求，通过API 访问并使用其中的基础模型。客户可以在其虚拟私有云(VPC)中安全地使用Amazon Bedrock，并对基础模型进行微调，保持其自有数据及模型的安全。

代闻表示，亚马逊云科技致力于开发公平且准确的人工智能和机器学习服务，并为企业客户提供负责任地构建人工智能和机器学习应用程序所需的工具和指导。如亚马逊云科技推出的Amazon Titan可以减少和消除不当或有害的内容。

保障应用安全，实现AI价值

应用安全是实现AI价值的保障，包括开发全流程中的安全和生产环境中的安全。

在开发环节中，安全要贯穿从开发到持续集成、持续部署再到投产、监控以及整个反馈的过程。亚马逊云科技推出的AI编程助手Amazon CodeWhisperer可根据开发者指令，利用内嵌的基础模型实时生成代码建议，内置的代码安全扫描功能可帮助开发者查找难以检测的漏洞并提出补救建议。Amazon CodeGuru Security可以扫描代码，在代码里寻找漏洞，还能在CICD通过人工智能和机器学习的方式自动降低误报率，同时，基于API设计，它还能方便地集成到开发工作流里，实现集中化和扩展性。

在运行环节中，企业需要构建零信任的应用安全访问策略，并实现网络控制。亚马逊云科技推出的Amazon Verified Access、Amazon IAM、Amazon Verified Permissions、CEDAR等工具可以帮助企业客户在亚马逊云科技环境下构建零信任机制。Amazon Shield可用于防DDos攻击，Amazon WAF可提供防火墙支撑，Amazon Firewall Manager可以轻松管制防火墙策略。此外，针对威胁实别，基于人工智能和机器学习的Amazon GuardDuty可以减少一半的安全事件的误报率，实现初期的检测，进行持续的分析，检测所有的威胁，并以智能化的手段给出行动建议。

代闻表示，亚马逊云科技的零信任体系包括身份认证、可信网络、高颗粒度的权限管理和审计。而且零信任和网络控制并不是二选一的关系，把两者加起来才能让企业实现端到端的应用安全，尤其在大模型时代中。"

利用AI提升企业安全合规效率

全球安全合规的环境也在日益变化。代闻介绍，当前已经有130多个国家和地区制定了数据保护和隐私相关的法律法规；由于云计算的大规模普及，越来越多的重要数据正在加速上云，而且数量和种类都在增加；企业中的业务也在持续变化，如应用大模型带来的业务变化给安全带来了挑战。

而亚马逊云科技已经在全球获得了140多个安全标准和合规认证，并能够利用AI技术提升安全合规的效率，如为大规模批量审查提供安全控制，利用自动化减少手工操作以降低错误，利用AI提供一致性判断，利用AI/ML技术实现自动审查等等。

据数据统计，亚马逊云科技通过在其543项自身合规审计控制项中使用AI技术，减少了3300多小时，节约了53%的审计时间。

与此同时，亚马逊云科技APN合作伙伴网络可构建1+1>2的安全合作，提供数百种行业领先的安全解决方案，为客户的应用和数据安全提供多层保护：在技术方面，可提供网络安全、主机安全、应用安全、身份认证、威胁检测和事件分析、数据治理以及安全自动化运维等解决方案；在咨询方面，可提供方案建议、合规建议以及全面的安全咨询服务和合规服务。

在IDC发布的《2023中国公有云托管安全服务能力报告》中，亚马逊云科技是获得满分最多的厂商之一，也是唯一一个在"生态建设"评估维度获得满分的厂商。

最后，代闻总结道，安全始终是亚马逊云科技的首要优先级，亚马逊云科技愿与大家共同构建一个安全、智能的未来。