域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
9月20日,2024杭州云棲大會(huì)技術(shù)主論壇上,阿里云智能集團(tuán)云安全產(chǎn)品線負(fù)責(zé)人歐陽(yáng)欣發(fā)布主題演講,分享AI時(shí)代云基礎(chǔ)設(shè)施的安全新挑戰(zhàn)及新趨勢(shì)。AI Infra已來(lái),安全除了要持續(xù)面對(duì)以往的傳統(tǒng)問(wèn)題,更需要全新理念落地于產(chǎn)品設(shè)計(jì)、技術(shù)演進(jìn)、架構(gòu)設(shè)計(jì),才能綜合得到效果、性能、和成本的云安全最優(yōu)解。
以下內(nèi)容基于演講實(shí)錄,分享AI時(shí)代云安全最新趨勢(shì)變化。
AI時(shí)代面臨四大安全挑戰(zhàn)。
云安全三體化戰(zhàn)略
碎片化問(wèn)題的一體化解決思路
云是安全碎片化的終結(jié)場(chǎng)景。
阿里云基于多年實(shí)踐經(jīng)驗(yàn),創(chuàng)新性提出“三體化”安全建設(shè)思路?;A(chǔ)設(shè)施安全一體化、安全技術(shù)域一體化及辦公和生產(chǎn)安全一體化,實(shí)現(xiàn)基礎(chǔ)設(shè)施安全統(tǒng)一管理、安全信息統(tǒng)一分析響應(yīng)、生產(chǎn)辦公統(tǒng)一運(yùn)營(yíng),達(dá)到整合碎片工具和信息的自動(dòng)化全面覆蓋。
國(guó)內(nèi)IT基礎(chǔ)設(shè)施環(huán)境極為復(fù)雜。許多企業(yè)通常需要采購(gòu)不同的安全產(chǎn)品,去管理分布在公共云、專(zhuān)有云及線下IDC的安全事件,這無(wú)疑給運(yùn)營(yíng)人員帶來(lái)了極高的管理成本。基礎(chǔ)設(shè)施安全一體化戰(zhàn)略,借助阿里云的云安全中心、WAAP、 DDoS防護(hù)三款產(chǎn)品,統(tǒng)一管理公共云、專(zhuān)有云等多維IT基礎(chǔ)設(shè)施。可以確保無(wú)論資源位于何處,都能通過(guò)統(tǒng)一的管理控制臺(tái),實(shí)施一致的安全防護(hù)策略和應(yīng)急響應(yīng)。阿里云自身在實(shí)施統(tǒng)一安全策略后,管理效率提升100%,響應(yīng)時(shí)間從1小時(shí)可大幅縮短至1分鐘。
企業(yè)常面臨諸多安全產(chǎn)品之間不聯(lián)動(dòng)、數(shù)據(jù)之間打不通、處置鏈路不連貫的問(wèn)題,安全技術(shù)域一體化戰(zhàn)略,將公共云上各安全產(chǎn)品的日志統(tǒng)一匯集到一個(gè)安全數(shù)據(jù)湖中,進(jìn)行統(tǒng)一的威脅情報(bào)分析、告警聚合和關(guān)聯(lián)分析。利用圖計(jì)算技術(shù),將孤立的安全告警整合為更全面的安全事件,從而大幅降低安全事件對(duì)客戶(hù)的干擾。同時(shí),借助安全大模型和自動(dòng)化編排響應(yīng)機(jī)制,實(shí)現(xiàn)不同安全產(chǎn)品間處置流程的高效聯(lián)動(dòng),顯著提升處理效率。根據(jù)阿里云內(nèi)部實(shí)踐數(shù)據(jù)顯示,這一安全建設(shè)思路使得跨資產(chǎn)安全事件發(fā)生率提高了99%,安全事件推薦處置覆蓋率提升了80%。
企業(yè)辦公安全通常由IT部門(mén)管理,生產(chǎn)網(wǎng)安全則可能由各業(yè)務(wù)方自行負(fù)責(zé),這種分割管理方式最容易形成邊界漏洞,被黑客利用進(jìn)行攻擊。辦公網(wǎng)和生產(chǎn)網(wǎng)一體化戰(zhàn)略,通過(guò)統(tǒng)一進(jìn)行辦公網(wǎng)和生產(chǎn)網(wǎng)的威脅分析與處置,可以最大化提升安全運(yùn)維效率。目前,阿里云內(nèi)部已有超過(guò)10個(gè)場(chǎng)景實(shí)現(xiàn)了強(qiáng)聯(lián)動(dòng),安全運(yùn)維效率提升了3倍。在跨辦公網(wǎng)和生產(chǎn)網(wǎng)的處置中,通過(guò)打通數(shù)據(jù)、處置環(huán)節(jié)和分析流程,阿里云能夠?qū)崿F(xiàn)秒級(jí)的檢測(cè)和響應(yīng)時(shí)間。
生成式人工智能
需要AI時(shí)代安全新防線
大模型技術(shù)正在深刻改變各行各業(yè)。
安全領(lǐng)域承接了雙刃劍,既有AI技術(shù)賦能安全能力和運(yùn)營(yíng)效率,同時(shí)需要助力對(duì)抗新技術(shù)帶來(lái)的新風(fēng)險(xiǎn)。
保護(hù)AI,阿里云升級(jí)了全新的大模型全生命周期的安全防護(hù)體系。在數(shù)據(jù)的采集、模型設(shè)計(jì)、訓(xùn)練、評(píng)測(cè)、部署和使用階段都提供了豐富的安全產(chǎn)品,既包括在模型生成階段的內(nèi)容安全產(chǎn)品,以及云安全中心、WAAP產(chǎn)品、云防火墻、DDoS防護(hù)等保護(hù)AI基礎(chǔ)設(shè)施的產(chǎn)品,也有數(shù)據(jù)安全中心、數(shù)字水印等數(shù)據(jù)安全產(chǎn)品。這些產(chǎn)品和技術(shù)能力不僅落實(shí)到阿里云自身的百煉平臺(tái)和通義系列產(chǎn)品,也讓客戶(hù)同樣可以便捷調(diào)用以保護(hù)自己的大模型全生命周期的安全。
對(duì)抗AI帶來(lái)的風(fēng)險(xiǎn),AI技術(shù)的進(jìn)展也帶來(lái)了諸如Deepfake(深度偽造)等問(wèn)題。阿里云發(fā)布的實(shí)人認(rèn)證產(chǎn)品,能夠有效對(duì)抗Deepfake攻擊。該產(chǎn)品提供AIGC生成人臉檢測(cè)、PS換臉檢測(cè)等八大Deepfake鑒偽能力,目前日均攔截攻擊量達(dá)25萬(wàn)次,攻擊攔截率高達(dá)99%。該模型同時(shí)具備分鐘級(jí)自我更新能力,應(yīng)對(duì)不斷迭代的攻防技術(shù)。
內(nèi)容安全無(wú)疑是AI時(shí)代的重點(diǎn)安全擔(dān)憂之一,阿里云內(nèi)容安全產(chǎn)品進(jìn)行了重大升級(jí),業(yè)內(nèi)有一句話是用魔法打敗魔法,我們要用大模型的能力去檢測(cè)大模型帶來(lái)的風(fēng)險(xiǎn)。此次升級(jí)通過(guò)Prompt工程將大模型快速應(yīng)用于新的內(nèi)容場(chǎng)景,目前已覆蓋10個(gè)新場(chǎng)景,相比以往依賴(lài)人工標(biāo)注數(shù)據(jù)的方式,效率提升了100%,這意味著阿里云能夠更快速地響應(yīng)客戶(hù)的內(nèi)容風(fēng)控需求。同時(shí),通過(guò)大模型監(jiān)督微調(diào),顯著提升了場(chǎng)景匹配能力,其中暗喻場(chǎng)景識(shí)別效果提升了80%,視覺(jué)場(chǎng)景識(shí)別效果提升了70%。
AI合規(guī),針對(duì)生成式人工智能技術(shù)發(fā)展帶來(lái)的版權(quán)歸屬、信息追蹤、合規(guī)標(biāo)識(shí)等訴求,阿里云提供支持圖片、文檔、音頻、視頻和APP等多種格式的數(shù)字水印解決方案。該方案在國(guó)內(nèi)外擁有超過(guò)70項(xiàng)專(zhuān)利,符合國(guó)家相關(guān)法規(guī)中關(guān)于顯式標(biāo)識(shí)和隱式標(biāo)識(shí)能力的標(biāo)準(zhǔn),并已通過(guò)了國(guó)內(nèi)權(quán)威的China DRM認(rèn)證和國(guó)際權(quán)威的Cartesian認(rèn)證。目前,它能夠識(shí)別超過(guò)80種攻擊手法,提取成功率超過(guò)90%。
受益AI,阿里云安全大模型能夠顯著提升安全運(yùn)營(yíng)效率。阿里云對(duì)云安全中心AI助手進(jìn)行了能力升級(jí),在安全事件風(fēng)險(xiǎn)調(diào)查與響應(yīng)、產(chǎn)品咨詢(xún)以及智能報(bào)告三大場(chǎng)景,顯著提升了安全事件運(yùn)營(yíng)的人效。云安全中心AI助手可以為客戶(hù)提供清晰的風(fēng)險(xiǎn)解釋?zhuān)⒅笇?dǎo)他們進(jìn)行正確的風(fēng)險(xiǎn)處置。目前,AI助手支持的告警事件類(lèi)型覆蓋率從之前的85%提升至99%,安全服務(wù)自動(dòng)處置率達(dá)到了73%,大模型用戶(hù)覆蓋率已經(jīng)達(dá)到了88%。
AI在辦公安全數(shù)據(jù)分類(lèi)分級(jí)場(chǎng)景中也發(fā)揮了重要作用。阿里云的能力源自阿里巴巴集團(tuán)內(nèi)部在辦公安全方面的豐富實(shí)踐?;谶@一技術(shù)沉淀,阿里云推出的辦公數(shù)據(jù)安全解決方案,能夠大幅提升企業(yè)敏感資產(chǎn)治理的效率。目前,該方案支持超過(guò)300種文檔類(lèi)型,識(shí)別準(zhǔn)確率高達(dá)99%,涵蓋超過(guò)10種資產(chǎn)治理場(chǎng)景,資產(chǎn)治理效率提升了5倍。
身份安全是云安全的基石之一
阿里云發(fā)布身份安全體系大圖
由于云上用戶(hù)安全基線標(biāo)準(zhǔn)和意識(shí)不同,身份管理面臨諸多挑戰(zhàn)。對(duì)此,阿里云通過(guò)提升默認(rèn)水位來(lái)保障客戶(hù)的身份安全。
2024年8月20日起,阿里云逐步在所有賬戶(hù)上默認(rèn)開(kāi)啟多因素認(rèn)證(MFA),MFA支持包括TOTP、短信、電子郵件驗(yàn)證在內(nèi)的多種認(rèn)證方式,以增強(qiáng)賬戶(hù)安全性。此外,阿里云將默認(rèn)禁用超過(guò)2年未登錄使用過(guò)的登錄密碼,以及閑置超過(guò)2年的訪問(wèn)密鑰(AK)。
此次云棲大會(huì)上,阿里云發(fā)布了滿(mǎn)足5A的身份產(chǎn)品體系大圖,涵蓋了從身份識(shí)別到權(quán)限分配的整個(gè)過(guò)程。
阿里云提供的RAM產(chǎn)品,支持連接云平臺(tái)身份,客戶(hù)還可以通過(guò) IDaaS 與釘釘、飛書(shū)、企業(yè)微信等第三方平臺(tái)串聯(lián),并與RAM和SSO結(jié)合使用,從而打通現(xiàn)有身份體系與云上賬號(hào)體系,實(shí)現(xiàn)單點(diǎn)SSO登錄與權(quán)限統(tǒng)一管理。
針對(duì)更高級(jí)的安全需求,阿里云提供密鑰管理服務(wù)(KMS)。用戶(hù)無(wú)論是使用通用賬號(hào)口令、OS密鑰、訪問(wèn)密鑰還是Token,都可以托管到KMS平臺(tái)上。該平臺(tái)支持自定義密鑰管理(CMK),允許客戶(hù)使用自己的密鑰進(jìn)行加密,甚至可以將密鑰存儲(chǔ)在本地加密機(jī)中與云平臺(tái)聯(lián)動(dòng),從而打消客戶(hù)對(duì)上云后數(shù)據(jù)未加密的顧慮。同時(shí),AK體系提供了密鑰輪轉(zhuǎn)功能,所有的密鑰操作都會(huì)被審計(jì)和監(jiān)控,客戶(hù)的訪問(wèn)密鑰可以安全的自定義周期性更換。目前,阿里云支持30秒級(jí)別的密鑰輪轉(zhuǎn),這樣即使AK丟失,也可以迅速止血,極大縮減潛在風(fēng)險(xiǎn)。
身份安全領(lǐng)域,最小化授權(quán)的全生命周期治理至關(guān)重要。上線前阿里云提供授權(quán)驗(yàn)證能力,包括最佳實(shí)踐建議、異常檢測(cè)和透明化校驗(yàn)。目前,阿里云提供29條校驗(yàn)規(guī)則,幫助客戶(hù)在靜態(tài)策略審計(jì)上做好前置工作。上線后阿里云將幫助客戶(hù)分析閑置權(quán)限,進(jìn)行跨賬號(hào)訪問(wèn)分析,支持170款云產(chǎn)品提供全面的審計(jì)功能。針對(duì)高危權(quán)限分析,阿里云會(huì)識(shí)別潛在的高風(fēng)險(xiǎn)并提供優(yōu)化建議,目前已提供133條校驗(yàn)規(guī)則,確保權(quán)限管理的安全性和有效性。
云原生安全能力全棧升級(jí)
進(jìn)一步強(qiáng)化原生優(yōu)勢(shì)
應(yīng)對(duì)外掛式安全性能不足的問(wèn)題,阿里云宣布云原生安全能力全線升級(jí),強(qiáng)化了阿里云安全原生優(yōu)勢(shì),滿(mǎn)足阿里云百萬(wàn)級(jí)企業(yè)客戶(hù)豐富業(yè)務(wù)場(chǎng)景與安全需求的服務(wù)。
云上安全共同體
阿里云做客戶(hù)更緊密的安全伙伴
如果客戶(hù)不安全,那么阿里云作為云平臺(tái),就無(wú)法實(shí)現(xiàn)真正意義上的安全。
阿里云正式將公共云的安全責(zé)任共擔(dān)思路,升級(jí)為“安全共同體”全新概念。在安全共同體理念的引導(dǎo)下,阿里云不僅提供安全的云服務(wù),更要幫助客戶(hù)安全地使用云。
這意味著阿里云不僅會(huì)堅(jiān)守安全責(zé)任共擔(dān)模式下云服務(wù)商的責(zé)任,搭建和提供“安全的云”,更會(huì)進(jìn)一步與客戶(hù)緊密合作,為客戶(hù)提供更高的初始安全水位,對(duì)客戶(hù)進(jìn)行更主動(dòng)的安全事件響應(yīng),為客戶(hù)提供更普惠的安全能力,提供更多的安全科普和培訓(xùn),與客戶(hù)共同形成一個(gè)緊密相連、互相支持的安全防護(hù)網(wǎng)絡(luò),打通客戶(hù)安全體驗(yàn)的最后一公里,將平臺(tái)的安全能力轉(zhuǎn)化為客戶(hù)側(cè)實(shí)實(shí)在在的安全效果。
例如,當(dāng)阿里云感知到客戶(hù)的訪問(wèn)密鑰(Accesskey,AK)泄露時(shí),會(huì)采取一系列的主動(dòng)保護(hù)措施。如果確定客戶(hù)的AK已被黑客獲取,阿里云會(huì)立即限制該AK調(diào)用高風(fēng)險(xiǎn)的API,防止其執(zhí)行可能造成嚴(yán)重?fù)p害的操作。這種主動(dòng)保護(hù)措施由平臺(tái)自動(dòng)執(zhí)行。只有在客戶(hù)完成密鑰輪轉(zhuǎn),并反饋告知阿里云新的AK已經(jīng)生成且問(wèn)題已解決后,平臺(tái)才會(huì)解除這些保護(hù)措施,恢復(fù)客戶(hù)的正常業(yè)務(wù)操作。
對(duì)于高危風(fēng)險(xiǎn)場(chǎng)景,阿里云會(huì)提供更主動(dòng)的協(xié)助服務(wù)。不同于過(guò)去僅通過(guò)郵件和短信提示的方式,阿里云會(huì)安排客服小二直接電話聯(lián)系客戶(hù),告知他們當(dāng)前面臨的安全風(fēng)險(xiǎn)的嚴(yán)重性,并建議他們與平臺(tái)合作盡快處理這一風(fēng)險(xiǎn)。此外,阿里云還提供一鍵安全求助功能,客服小二全天候值班,隨時(shí)準(zhǔn)備響應(yīng)并處理這類(lèi)安全事件。
除了滿(mǎn)足大型客戶(hù)的需求,阿里云還致力于為中小客戶(hù)提供更多的安全能力和服務(wù),使他們?cè)诘统杀镜那闆r下也能有效保護(hù)自身的安全。做好平臺(tái)安全建設(shè)的同時(shí),阿里云也免費(fèi)開(kāi)放更多的安全能力額度,包括云安全中心、內(nèi)容安全、數(shù)據(jù)安全中心,讓中小企業(yè)客戶(hù)能夠增強(qiáng)安全防護(hù),同時(shí)還在安全體驗(yàn)上增加一鍵檢測(cè)、一鍵修復(fù)等功能,幫助客戶(hù)共同加入到云上安全維護(hù)中。
做AI時(shí)代最安全的云,阿里云將秉承云上安全共同體理念,通過(guò)落地云安全三體化戰(zhàn)略,升級(jí)安全護(hù)航新范式,為客戶(hù)和社會(huì)構(gòu)建安全、高效的云生態(tài)系統(tǒng)。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!