9月20日,2024杭州云栖大会技术主论坛上,阿里云智能集团云安全产品线负责人欧阳欣发布主题演讲,分享AI时代云基础设施的安全新挑战及新趋势。AI Infra已来,安全除了要持续面对以往的传统问题,更需要全新理念落地于产品设计、技术演进、架构设计,才能综合得到效果、性能、和成本的云安全最优解。
以下内容基于演讲实录,分享AI时代云安全最新趋势变化。
AI时代面临四大安全挑战。
国内IT基础设施环境极为复杂。许多企业通常需要采购不同的安全产品,去管理分布在公共云、专有云及线下IDC的安全事件,这无疑给运营人员带来了极高的管理成本。基础设施安全一体化战略,借助阿里云的云安全中心、WAAP、 DDoS防护三款产品,统一管理公共云、专有云等多维IT基础设施。可以确保无论资源位于何处,都能通过统一的管理控制台,实施一致的安全防护策略和应急响应。阿里云自身在实施统一安全策略后,管理效率提升100%,响应时间从1小时可大幅缩短至1分钟。
企业常面临诸多安全产品之间不联动、数据之间打不通、处置链路不连贯的问题,安全技术域一体化战略,将公共云上各安全产品的日志统一汇集到一个安全数据湖中,进行统一的威胁情报分析、告警聚合和关联分析。利用图计算技术,将孤立的安全告警整合为更全面的安全事件,从而大幅降低安全事件对客户的干扰。同时,借助安全大模型和自动化编排响应机制,实现不同安全产品间处置流程的高效联动,显著提升处理效率。根据阿里云内部实践数据显示,这一安全建设思路使得跨资产安全事件发生率提高了99%,安全事件推荐处置覆盖率提升了80%。
企业办公安全通常由IT部门管理,生产网安全则可能由各业务方自行负责,这种分割管理方式最容易形成边界漏洞,被黑客利用进行攻击。办公网和生产网一体化战略,通过统一进行办公网和生产网的威胁分析与处置,可以最大化提升安全运维效率。目前,阿里云内部已有超过10个场景实现了强联动,安全运维效率提升了3倍。在跨办公网和生产网的处置中,通过打通数据、处置环节和分析流程,阿里云能够实现秒级的检测和响应时间。
生成式人工智能
需要AI时代安全新防线
大模型技术正在深刻改变各行各业。
安全领域承接了双刃剑,既有AI技术赋能安全能力和运营效率,同时需要助力对抗新技术带来的新风险。
保护AI,阿里云升级了全新的大模型全生命周期的安全防护体系。在数据的采集、模型设计、训练、评测、部署和使用阶段都提供了丰富的安全产品,既包括在模型生成阶段的内容安全产品,以及云安全中心、WAAP产品、云防火墙、DDoS防护等保护AI基础设施的产品,也有数据安全中心、数字水印等数据安全产品。这些产品和技术能力不仅落实到阿里云自身的百炼平台和通义系列产品,也让客户同样可以便捷调用以保护自己的大模型全生命周期的安全。
阿里云提供的RAM产品,支持连接云平台身份,客户还可以通过 IDaaS 与钉钉、飞书、企业微信等第三方平台串联,并与RAM和SSO结合使用,从而打通现有身份体系与云上账号体系,实现单点SSO登录与权限统一管理。
针对更高级的安全需求,阿里云提供密钥管理服务(KMS)。用户无论是使用通用账号口令、OS密钥、访问密钥还是Token,都可以托管到KMS平台上。该平台支持自定义密钥管理(CMK),允许客户使用自己的密钥进行加密,甚至可以将密钥存储在本地加密机中与云平台联动,从而打消客户对上云后数据未加密的顾虑。同时,AK体系提供了密钥轮转功能,所有的密钥操作都会被审计和监控,客户的访问密钥可以安全的自定义周期性更换。目前,阿里云支持30秒级别的密钥轮转,这样即使AK丢失,也可以迅速止血,极大缩减潜在风险。
身份安全领域,最小化授权的全生命周期治理至关重要。上线前阿里云提供授权验证能力,包括最佳实践建议、异常检测和透明化校验。目前,阿里云提供29条校验规则,帮助客户在静态策略审计上做好前置工作。上线后阿里云将帮助客户分析闲置权限,进行跨账号访问分析,支持170款云产品提供全面的审计功能。针对高危权限分析,阿里云会识别潜在的高风险并提供优化建议,目前已提供133条校验规则,确保权限管理的安全性和有效性。
云原生安全能力全栈升级
进一步强化原生优势
应对外挂式安全性能不足的问题,阿里云宣布云原生安全能力全线升级,强化了阿里云安全原生优势,满足阿里云百万级企业客户丰富业务场景与安全需求的服务。
这意味着阿里云不仅会坚守安全责任共担模式下云服务商的责任,搭建和提供“安全的云”,更会进一步与客户紧密合作,为客户提供更高的初始安全水位,对客户进行更主动的安全事件响应,为客户提供更普惠的安全能力,提供更多的安全科普和培训,与客户共同形成一个紧密相连、互相支持的安全防护网络,打通客户安全体验的最后一公里,将平台的安全能力转化为客户侧实实在在的安全效果。
例如,当阿里云感知到客户的访问密钥(Accesskey,AK)泄露时,会采取一系列的主动保护措施。如果确定客户的AK已被黑客获取,阿里云会立即限制该AK调用高风险的API,防止其执行可能造成严重损害的操作。这种主动保护措施由平台自动执行。只有在客户完成密钥轮转,并反馈告知阿里云新的AK已经生成且问题已解决后,平台才会解除这些保护措施,恢复客户的正常业务操作。
对于高危风险场景,阿里云会提供更主动的协助服务。不同于过去仅通过邮件和短信提示的方式,阿里云会安排客服小二直接电话联系客户,告知他们当前面临的安全风险的严重性,并建议他们与平台合作尽快处理这一风险。此外,阿里云还提供一键安全求助功能,客服小二全天候值班,随时准备响应并处理这类安全事件。
除了满足大型客户的需求,阿里云还致力于为中小客户提供更多的安全能力和服务,使他们在低成本的情况下也能有效保护自身的安全。做好平台安全建设的同时,阿里云也免费开放更多的安全能力额度,包括云安全中心、内容安全、数据安全中心,让中小企业客户能够增强安全防护,同时还在安全体验上增加一键检测、一键修复等功能,帮助客户共同加入到云上安全维护中。
做AI时代最安全的云,阿里云将秉承云上安全共同体理念,通过落地云安全三体化战略,升级安全护航新范式,为客户和社会构建安全、高效的云生态系统。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至253000106@qq.com举报,一经查实,本站将立刻删除。
发布者:SEO优化专员,转转请注明出处:https://www.chuangxiangniao.com/p/925216.html
