利用面向AWS的Thales Sovereign解决方案保护AI之旅

  亚马逊网络服务(AWS)是全球最大的云服务提供商。众所周知,他们致力于提供工具、解决方案和最佳实践,使其客户能够安全地利用AWS上的生成式人工智能 (GenAI) 工作负载。组织正在迅速使用GenAI为企业带来更高的生产力和创造力。在GenAI的几乎所有用途中,AI模型都需要访问数据,并且这些数据可以是非公共的,也可以是组织的私有数据。私有和非公开数据可以包括商业秘密、个人身份信息和合规数据。

  Thales和AWS建立了牢固的合作伙伴关系,共同为AWS客户提供主权解决方案。2022年,Thales和AWS联合亮相外部密钥管理作为AWS中的保留您自己的密钥 (HYOK) 策略。AWS和Thales继续联合设计和开发增强的数据保护功能,专注于高级加密解决方案和安全密钥管理,以支持致力于保护其混合型企业的组织。

  GenAI面临的安全挑战是什么?

  GenAI现在正在通过各种不同的用例在许多垂直领域中快速部署。许多行业的大大小小的组织都希望从GenAI中获益。已确定的部分好处列表包括:

  l 改善客户体验(聊天机器人和虚拟助手)

  l 提高员工生产力(员工助理)

  l 增强创造力和内容创作(营销)

  l 加速流程优化(文档处理)

  l 将行业从响应式转变为主动式(医疗保健)

  大多数GenAI选项由大型语言模型(LLM)提供支持,这些模型使用源输入数据进行预训练,以执行所需的任务,例如内容生成和代码生成。

  AI生命周期通常包括三个阶段:

  l 采购(数据和模型)

  l 训练

  l 推理

  AI生命周期的每个阶段都是威胁行为者进行网络攻击的潜在暴露点。对于在GenAI中培训LLM的组织来说,限制数据暴露和降低网络攻击风险的两种方法包括:

  l 限制将用于训练AI模型的源数据。在处理非公开(组织机密)数据集时,需要密切监控。

  l 确保仅以授权方式和根据需要使用数据。

  在组织将非公开数据暴露给AI模型之前,他们应该验证GenAI可以访问的数据的敏感性是否得到验证。泰雷兹数据发现和分类等工具确保只有正确分类和识别的数据才能提供给AI模型,并且是确保敏感数据不暴露给AI模型或被AI模型查询不可或缺的一部分。

  每年,泰雷兹都会共同撰写《全球数据威胁报告》,全球3,000多名安全专业人员和高管分享他们的安全问题。在2023年的研究中,一个突出的主要问题是有关人工智能创建代码、监管合规性、数据隐私和缺乏控制的数据泄露。报告发现,68%的受访者表示担心人工智能的快速变化正在挑战现有的组织计划。

  下图总结了组织对数据泄露、隐私问题以及对AI快速实施缺乏控制的其他担忧。

  

  AWS如何保护GenAI?

  Amazon Q、Bedrock和SageMaker是一些主要的AWS产品,它们允许AWS客户快速开发GenAI解决方案,包括AWS AI驱动的助手。Amazon Q主要旨在支持业务使用案例,并提供解决方案,使组织有机会集成和利用其内部数据。无论这些数据包括商业知识产权、商业秘密、供应商还是客户非公开数据,组织都必须了解如何限制Amazon Q可见的敏感数据。必须采取预防措施,以确保未经授权的应用程序、进程或个人(如机器人或威胁参与者)无法访问非公开数据。

  AWS使用Nitro Systems和Nitro Enclaves作为他们的计算主力,具有无与伦比的安全性和性能。AWS宣布扩展对Nitro Systems的支持,该系统将针对GenAI和AI工作负载进行优化,尤其是GPU密集型流程。AWS Nitro Enclaves提供与AWS Key Management System (KMS)的集成解决方案,使AWS客户能够使用组织拥有和控制的加密密钥管理和加密敏感数据。密钥的所有权使用Thales CipherTrust Manager进行管理,该管理器提供企业密钥管理并使数字主权对于AWS客户。在最近的一篇博客中,AWS概述了他们的保护用于生成式AI的数据的方法.

  AWS Nitro Enclaves如何与密钥管理集成?

  AWS开发了Nitro Systems,以实现安全AI基础设施的原则。第一个原则是将您的AI数据与AWS运营商隔离开来,确保其安全性。第二个原则允许您删除管理访问权限,从而增强对AI数据的控制。借助Nitro Enclaves和AWS KMS,您可以使用密钥加密敏感的AI数据,安全地存储这些数据,并将其传输到隔离的计算环境进行推理。在整个过程中,您的数据将保持加密状态,并与用户、软件和AWS运营商隔离。

  Thales如何在AWS上保护Generative AI工作负载?

  AWS KMS外部密钥存储(XKS)与Thales CipherTrust云密钥管理(CCKM)解决方案,以便组织可以将其加密密钥保存在AWS KMS之外。此方法也称为“保留自己的密钥(HYOK)”,它提供主权控制。在部署GenAI解决方案时,AWS客户可以使用AWS XKS和Thales CCKM管理其非公开数据的加密。

  Thales和AWS之间的XKS合作促成了服务的发展,这些服务可帮助组织保持对其加密密钥的控制并安全地管理对敏感数据的访问。这些技术使组织能够应对与云迁移、数字主权以及跨各种云平台安全处理敏感信息相关的挑战。了解何时以及如何在Thales 中使用AWS外部密钥管理是组织开发内部AI功能并在不同监管环境中维护数据安全性和合规性的关键使用案例。

  Thales和AWS如何确保主权控制?

  AWS XKS自成立以来一直与Thales一起开发,与CCKM相结合,为希望在AI中使用关键工作负载的组织提供了一种维护方式对敏感数据的主权控制在他们的AI之旅中。Thales支持外部密钥管理,并且是利用AWS XKS增强数据安全性的组织数字主权战略不可或缺的一部分。

  如何利用外部密钥管理

  通过将Thales外部密钥管理器与AWS XKS结合使用来安全地管理加密密钥,组织可以完全相信数据加密密钥得到安全处理和存储,可以在云提供商外部进行备份和管理,并且使用策略可以防止对加密数据进行未经授权的访问。通过管理云提供商KMS外部的密钥,组织可以根据组织策略和企业密钥生命周期管理有选择地应用加密。此组织企业外部密钥管理允许组织隔离数据保护,包括存储云提供商外部加密密钥的选项。这种隔离是一种关键的风险缓解策略。在AWS支持的平台中使用Thales进行外部密钥管理,可能担心数据丢失或泄漏的组织可以禁用对加密密钥的访问,从而提供额外的安全性和保证层。由于受保护密钥无法访问,组织可以确保加密数据保持加密状态,即使其他在线防御措施受到威胁。

  如何遵守审计和监控要求

  泰雷兹外部密钥管理器实现了强大的审计和监控功能。监控对于检测未经授权的访问或数据使用中的异常情况至关重要,这通常是安全漏洞或异常行为检测的早期或第一个指标。Thales CipherTrust Manager提供审计日志记录,使组织能够跟踪数据的访问方式和时间以及访问对象。

  作为网络安全解决方案,泰雷兹加强了对组织数据的保护,而组织数据是人工智能研究和模型的重要基础构建块。Thales和AWS携手合作,提供一个强大的框架,用于保护AI系统使用的敏感数据,确保遵守数据保护法规,并维护数据的完整性和机密性。

  如何保护混合工作负载

  对于希望保护其机密数据的组织,无论是在本地、云提供商还是在混合企业中,泰雷兹都能提供CipherTrust透明加密(CTE)。CTE通过将非公开数据保持在加密状态,直到授权服务或实体使用为止,为组织提供自带加密(BYOE)的便利。泰雷兹透明数据加密解决方案在数据被读取和写入存储时自动加密和解密数据,对应用程序和业务流程进行无形操作。泰雷兹CTE使组织能够在不改变现有工作流程的情况下保护其数据。

  网络安全最佳实践要求组织采用企业密钥生命周期管理,包括发布、轮换和备份用于保护非公开数据的加密密钥。Thales CTE解决方案和CipherTrust Manager允许组织拥有、实例化和使用其密钥,这些密钥由他们独立管理和存储,这对于在BYOE场景中保持控制至关重要。泰雷兹透明加密提供精细的访问控制,通过确保数据在没有适当权限的情况下无法解密来增强安全性。泰雷兹BYOE解决方案提供全面的审计功能,通过监控加密数据访问和密钥使用情况来支持合规性。通过支持各种环境(包括云、混合和本地),泰雷兹CTE确保组织可以在所有受支持的平台和位置一致地应用BYOE。

  如何审计AI服务访问非公开数据的授权

  管理GenAI如何访问非公开数据至关重要。组织需要确保只有经过授权的进程才能访问和监视正在访问或试图访问非公开数据的进程。最佳做法和风险缓解方法是使用动态凭据轮换来确保无法获取和不当使用人或机器凭据。使用动态凭证轮换的组织的优势包括:

  l 增强的安全性:通过频繁更改凭据,动态轮换可以最大程度地减少攻击者设法窃取凭据时的损害,从而降低被盗凭据对攻击者的价值。

  l 减少攻击面:动态凭据限制了漏洞的窗口。由于它们仅在很短的时间内有效,因此它们因泄漏或配置错误而暴露的可能性较小。

  l 自动化管理:动态凭证轮换可以自动化,无需人工干预并降低人为错误的风险。

  l 改进的审计和合规性:由于动态凭据是按需生成的,因此可以轻松跟踪访问者,有助于进行审核,还可以帮助组织满足合规性要求。

  l 可扩展性:与手动系统相比,动态凭证管理系统使用复杂的规则集管理大量凭证。这使它们成为具有复杂 IT 环境的组织的可行选择。

  Thales CipherTrust密钥管理提供支持自动化动态凭据管理的解决方案。采用实时或动态凭据轮换可以显著改善组织的安全状况,并通过使攻击者更难利用被盗凭据来提高AI计划的整体安全性。它还改进了审计结果,以确保只有授权服务才能访问非公开数据。

  不要让安全问题阻止您的AI转型

  我们明白GenAI对我们的客户很重要。在安全性和合规性方面,Thales泰雷兹和AWS随时为您服务。泰雷兹拥有50多项与企业AI相关的计划,我们遵循安全的AI开发方法,以确保我们在不损害数据完整性或隐私的情况下从AI中受益。

  泰雷兹加密和密钥管理解决方案用于保护组织数据,因为组织开始进行内部人工智能开发工作。泰雷兹提供广泛的安全解决方案。泰雷兹安全解决方案范围广泛,包括Imperva提供的解决方案,使企业能够在任何地方大规模保护其应用程序和API。

  泰雷兹数据安全解决方案可为应用程序和凭据提供精细保护,保护人类和机器身份,以及静态、使用中和动态数据。

  关于Thales泰雷兹

  你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。

  决定决定性时刻的决定性技术。

  关于Safeploy安策

  SafePloy安策从事信息安全业务超过20年,是泰雷兹Thales (原lmperva,Gemalto,Vormetric,SafeNet,Aladdin,Rainbow) 等公司在中国区的战略合作伙伴,为云、应用、数据、身份等提供安全保护的能力和技术支持能力,为在中国地区经营和出海开拓业务的企业,提供本地化的可信、可控、又合规的数据安全策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/782580.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

昇思MindSpore 25天学习打卡营|day18

DCGAN生成漫画头像 在下面的教程中,我们将通过示例代码说明DCGAN网络如何设置网络、优化器、如何计算损失函数以及如何初始化模型权重。在本教程中,使用的动漫头像数据集共有70,171张动漫头像图片,图片大小均为96*96。 GAN基础原理 这部分原…

C#——多态详情

多态 多态: 是同一个行为,具有多个不同表现形式或形态的能力 多态分为两种 : 静态性多态: 函数重载,符号重载动态性多态: 虚方法,抽象类,接口 静态多态 在编译时,函数和对象的连接机制被称为早期绑定,…

如何恢复已删除的音频文件

设备中文件被意外删除并不是什么新鲜事。但是,如果文件是你最喜欢的 MP3 歌曲,那就太令人沮丧了。但你知道吗,有一种方法可以从 Windows 机器中恢复已删除的音乐文件。尝试奇客数据恢复并检索已删除的音频文件。虽然产品名称听起来不像可以帮…

【C语言】C语言编译链接和Win32API简单介绍

目录 翻译环境和运行环境翻译环境编译器预处理(预编译)编译链接 执行环境 Win32API是什么控制台程序控制台获取坐标COORDGetStdHandle函数GetConsoleCursorinfo函数CONSOLE_CURSOR_INFOSetConsoleCursorInfo函数SetConsoleCursorPostion函数GetAsyncKeyS…

如何在Spring Boot中实现分布式任务调度?

文章目录 引言一、分布式任务调度的基本原理二、Spring Boot与分布式任务调度1. 使用Quartz实现分布式任务调度2. 使用Elastic-Job实现分布式任务调度 三、常见问题与解决方案结论 🎉欢迎来到SpringBoot框架学习专栏~ ☆* o(≧▽≦)o *☆嗨~我是IT陈寒🍹…

世优科技获新锐商业价值奖,数字人阿央入选北京市元宇宙“名人”

2024全球经济大会元宇宙创新发展论坛暨2024第九届“创客中国”元宇宙中小企业创新创业大赛,由工业和信息化部网络安全产业发展中心、北京市经济和信息化局、石景山区人民政府、首钢集团有限公司主办,围绕元宇宙底层技术端和产业应用端两个方向&#xff0…

Polar Si9000软件详细使用教程

Polar Si9000软件是一款简单易用的阻抗计算神器,文本详细介绍该软件的使用。 一、安装 网上很多安装包,这里不赘述,需要注意的是,如果要希望使用中文版,需要在如下路径中放入简体中文配置文件(PJ包一般会有…

C++和Python蚂蚁搬食和蚊虫趋光性和浮标机群行为算法神经网络

🎯要点 🎯机器人群行为配置和C行为实现:🖊脚底机器人狭隘空间导航避让障碍物行为 | 🖊脚底机器人使用摄像头耦合共振,实现同步动作 | 🖊脚底机器群使用相机,计算彼此间“分子间势能…

数据库性能优化系统设计

设计一个数据库性能优化系统,目标是监测、诊断并改善数据库的运行效率,确保系统能够高效稳定地处理大量数据请求。以下是一个概要设计,包括关键模块、功能和实现思路: 1. 系统架构 分布式监控中心:采用分布式架构收集…

码云远程仓库, 回滚到指定版本号

1. 打开项目路径, 右击Git Bash Here 2. 查找历史版本 git reflog 3. 回退到指定版本 git reset --hard 版本号 4. 强制推送到远程 git push -f

如何在 PostgreSQL 中实现数据的增量备份和恢复?

文章目录 一、增量备份的原理二、准备工作(一)环境配置(二)创建测试数据库和表(三)插入初始数据 三、全量备份四、基于时间点的增量备份(一)开启 WAL 归档(二&#xff09…

继承(上):基类和派生类对象赋值转换,继承中的作用域,派生类的默认成员函数

1.继承的概念及定义 1.1继承的概念 继承(inheritance)机制是面向对象程序设计使代码可以复用的最重要的手段,它允许程序员在保 持原有类特性的基础上进行扩展,增加功能,这样产生新的类,称派生类。继承呈现了面向对象 程序设计的…

PostgreSQL 如何解决数据迁移过程中的数据类型不匹配问题?

文章目录 一、了解常见的数据类型不匹配情况1. 整数类型差异2. 浮点数类型差异3. 字符类型差异4. 日期和时间类型差异 二、解决数据类型不匹配的一般策略1. 数据转换2. 调整数据库表结构3. 数据清洗和预处理 三、PostgreSQL 中的数据类型转换函数1. 数值类型转换2. 字符类型转换…

数据结构(一)C语言补

数据结构 内存空间划分 一个进程启动后,会生成4G的内存空间 0~3G是用户空间(应用层) 3~4G是内核空间(底层) 0~3G 3~4G 所有的进程都会共享3G~4G的内核空间, 但是每个进程会独立拥有0~3G的用户空间。 栈区 存放数据特点 栈区存放数据的申请空间的先后…

算法:[动态规划] 斐波那契数列模型

目录 题目一:第 N 个泰波那契数 题目二:三步问题 题目三:最小花费爬楼梯 题目四:解码方法 题目一:第 N 个泰波那契数 泰波那契序列 Tn 定义如下: T0 0, T1 1, T2 1, 且在 n > 0 的条件下 Tn3 …

水冷液冷负载系统的六种基本类型

您可以选择六种基本类型的冷却系统,以满足负载的冷却需求。每个人都有其优点和缺点。本文旨在识别不同类型的冷却系统并确定它们的优缺点,以便您可以根据自己的需求做出明智的选择。 液体冷却系统有六种基本类型: 1.液对液 2.闭环干燥系统…

HackTheBox--Headless

Headless测试过程 1 信息收集 NMAP端口扫描 nmap -sSCV 10.10.11.85000端口测试 检查页面功能,请求 For questions 功能,跳转到 /support 目录 目录扫描 发现 /dashboard 目录 访问 /dashboard 目录,显示未认证,如果通过认证…

git杂记

git 安装: 在 Windows 上安装 Git 也有几种安装方法。 官方版本可以在 Git 官方网站下载。 打开 https://git-scm.com/download/win,下载会自动开始。 要注意这是一个名为 Git for Windows 的项目(也叫做 msysGit),和…

高薪程序员必修课-JVM创建对象时如何解决多线程内存抢占问题

前言 在JVM中,堆的内存分配过程涉及到线程安全性的保障,具体来说涉及到对象的内存分配时,并不是简单的抢占式分配,而是通过一些机制来保证线程安全和高效的内存管理。下面解释一下JVM是如何设计来保证线程安全的: 内存…

Go语言---接口interface、接口转换、继承、类型查询

接口(interface)概念 在 Go 语言中,接口(interface)是一个自定义类型,接口类型具体描述了一系列方法的集合。 接口又称为动态数据类型,在进行接口使用的的时候,会将接口对位置的动态类型改为所指向的类型,会将动态值改成所指向类…