利用面向AWS的Thales Sovereign解决方案保护AI之旅

news2024/12/24 10:13:46

  亚马逊网络服务(AWS)是全球最大的云服务提供商。众所周知,他们致力于提供工具、解决方案和最佳实践,使其客户能够安全地利用AWS上的生成式人工智能 (GenAI) 工作负载。组织正在迅速使用GenAI为企业带来更高的生产力和创造力。在GenAI的几乎所有用途中,AI模型都需要访问数据,并且这些数据可以是非公共的,也可以是组织的私有数据。私有和非公开数据可以包括商业秘密、个人身份信息和合规数据。

  Thales和AWS建立了牢固的合作伙伴关系,共同为AWS客户提供主权解决方案。2022年,Thales和AWS联合亮相外部密钥管理作为AWS中的保留您自己的密钥 (HYOK) 策略。AWS和Thales继续联合设计和开发增强的数据保护功能,专注于高级加密解决方案和安全密钥管理,以支持致力于保护其混合型企业的组织。

  GenAI面临的安全挑战是什么?

  GenAI现在正在通过各种不同的用例在许多垂直领域中快速部署。许多行业的大大小小的组织都希望从GenAI中获益。已确定的部分好处列表包括:

  l 改善客户体验(聊天机器人和虚拟助手)

  l 提高员工生产力(员工助理)

  l 增强创造力和内容创作(营销)

  l 加速流程优化(文档处理)

  l 将行业从响应式转变为主动式(医疗保健)

  大多数GenAI选项由大型语言模型(LLM)提供支持,这些模型使用源输入数据进行预训练,以执行所需的任务,例如内容生成和代码生成。

  AI生命周期通常包括三个阶段:

  l 采购(数据和模型)

  l 训练

  l 推理

  AI生命周期的每个阶段都是威胁行为者进行网络攻击的潜在暴露点。对于在GenAI中培训LLM的组织来说,限制数据暴露和降低网络攻击风险的两种方法包括:

  l 限制将用于训练AI模型的源数据。在处理非公开(组织机密)数据集时,需要密切监控。

  l 确保仅以授权方式和根据需要使用数据。

  在组织将非公开数据暴露给AI模型之前,他们应该验证GenAI可以访问的数据的敏感性是否得到验证。泰雷兹数据发现和分类等工具确保只有正确分类和识别的数据才能提供给AI模型,并且是确保敏感数据不暴露给AI模型或被AI模型查询不可或缺的一部分。

  每年,泰雷兹都会共同撰写《全球数据威胁报告》,全球3,000多名安全专业人员和高管分享他们的安全问题。在2023年的研究中,一个突出的主要问题是有关人工智能创建代码、监管合规性、数据隐私和缺乏控制的数据泄露。报告发现,68%的受访者表示担心人工智能的快速变化正在挑战现有的组织计划。

  下图总结了组织对数据泄露、隐私问题以及对AI快速实施缺乏控制的其他担忧。

  

  AWS如何保护GenAI?

  Amazon Q、Bedrock和SageMaker是一些主要的AWS产品,它们允许AWS客户快速开发GenAI解决方案,包括AWS AI驱动的助手。Amazon Q主要旨在支持业务使用案例,并提供解决方案,使组织有机会集成和利用其内部数据。无论这些数据包括商业知识产权、商业秘密、供应商还是客户非公开数据,组织都必须了解如何限制Amazon Q可见的敏感数据。必须采取预防措施,以确保未经授权的应用程序、进程或个人(如机器人或威胁参与者)无法访问非公开数据。

  AWS使用Nitro Systems和Nitro Enclaves作为他们的计算主力,具有无与伦比的安全性和性能。AWS宣布扩展对Nitro Systems的支持,该系统将针对GenAI和AI工作负载进行优化,尤其是GPU密集型流程。AWS Nitro Enclaves提供与AWS Key Management System (KMS)的集成解决方案,使AWS客户能够使用组织拥有和控制的加密密钥管理和加密敏感数据。密钥的所有权使用Thales CipherTrust Manager进行管理,该管理器提供企业密钥管理并使数字主权对于AWS客户。在最近的一篇博客中,AWS概述了他们的保护用于生成式AI的数据的方法.

  AWS Nitro Enclaves如何与密钥管理集成?

  AWS开发了Nitro Systems,以实现安全AI基础设施的原则。第一个原则是将您的AI数据与AWS运营商隔离开来,确保其安全性。第二个原则允许您删除管理访问权限,从而增强对AI数据的控制。借助Nitro Enclaves和AWS KMS,您可以使用密钥加密敏感的AI数据,安全地存储这些数据,并将其传输到隔离的计算环境进行推理。在整个过程中,您的数据将保持加密状态,并与用户、软件和AWS运营商隔离。

  Thales如何在AWS上保护Generative AI工作负载?

  AWS KMS外部密钥存储(XKS)与Thales CipherTrust云密钥管理(CCKM)解决方案,以便组织可以将其加密密钥保存在AWS KMS之外。此方法也称为“保留自己的密钥(HYOK)”,它提供主权控制。在部署GenAI解决方案时,AWS客户可以使用AWS XKS和Thales CCKM管理其非公开数据的加密。

  Thales和AWS之间的XKS合作促成了服务的发展,这些服务可帮助组织保持对其加密密钥的控制并安全地管理对敏感数据的访问。这些技术使组织能够应对与云迁移、数字主权以及跨各种云平台安全处理敏感信息相关的挑战。了解何时以及如何在Thales 中使用AWS外部密钥管理是组织开发内部AI功能并在不同监管环境中维护数据安全性和合规性的关键使用案例。

  Thales和AWS如何确保主权控制?

  AWS XKS自成立以来一直与Thales一起开发,与CCKM相结合,为希望在AI中使用关键工作负载的组织提供了一种维护方式对敏感数据的主权控制在他们的AI之旅中。Thales支持外部密钥管理,并且是利用AWS XKS增强数据安全性的组织数字主权战略不可或缺的一部分。

  如何利用外部密钥管理

  通过将Thales外部密钥管理器与AWS XKS结合使用来安全地管理加密密钥,组织可以完全相信数据加密密钥得到安全处理和存储,可以在云提供商外部进行备份和管理,并且使用策略可以防止对加密数据进行未经授权的访问。通过管理云提供商KMS外部的密钥,组织可以根据组织策略和企业密钥生命周期管理有选择地应用加密。此组织企业外部密钥管理允许组织隔离数据保护,包括存储云提供商外部加密密钥的选项。这种隔离是一种关键的风险缓解策略。在AWS支持的平台中使用Thales进行外部密钥管理,可能担心数据丢失或泄漏的组织可以禁用对加密密钥的访问,从而提供额外的安全性和保证层。由于受保护密钥无法访问,组织可以确保加密数据保持加密状态,即使其他在线防御措施受到威胁。

  如何遵守审计和监控要求

  泰雷兹外部密钥管理器实现了强大的审计和监控功能。监控对于检测未经授权的访问或数据使用中的异常情况至关重要,这通常是安全漏洞或异常行为检测的早期或第一个指标。Thales CipherTrust Manager提供审计日志记录,使组织能够跟踪数据的访问方式和时间以及访问对象。

  作为网络安全解决方案,泰雷兹加强了对组织数据的保护,而组织数据是人工智能研究和模型的重要基础构建块。Thales和AWS携手合作,提供一个强大的框架,用于保护AI系统使用的敏感数据,确保遵守数据保护法规,并维护数据的完整性和机密性。

  如何保护混合工作负载

  对于希望保护其机密数据的组织,无论是在本地、云提供商还是在混合企业中,泰雷兹都能提供CipherTrust透明加密(CTE)。CTE通过将非公开数据保持在加密状态,直到授权服务或实体使用为止,为组织提供自带加密(BYOE)的便利。泰雷兹透明数据加密解决方案在数据被读取和写入存储时自动加密和解密数据,对应用程序和业务流程进行无形操作。泰雷兹CTE使组织能够在不改变现有工作流程的情况下保护其数据。

  网络安全最佳实践要求组织采用企业密钥生命周期管理,包括发布、轮换和备份用于保护非公开数据的加密密钥。Thales CTE解决方案和CipherTrust Manager允许组织拥有、实例化和使用其密钥,这些密钥由他们独立管理和存储,这对于在BYOE场景中保持控制至关重要。泰雷兹透明加密提供精细的访问控制,通过确保数据在没有适当权限的情况下无法解密来增强安全性。泰雷兹BYOE解决方案提供全面的审计功能,通过监控加密数据访问和密钥使用情况来支持合规性。通过支持各种环境(包括云、混合和本地),泰雷兹CTE确保组织可以在所有受支持的平台和位置一致地应用BYOE。

  如何审计AI服务访问非公开数据的授权

  管理GenAI如何访问非公开数据至关重要。组织需要确保只有经过授权的进程才能访问和监视正在访问或试图访问非公开数据的进程。最佳做法和风险缓解方法是使用动态凭据轮换来确保无法获取和不当使用人或机器凭据。使用动态凭证轮换的组织的优势包括:

  l 增强的安全性:通过频繁更改凭据,动态轮换可以最大程度地减少攻击者设法窃取凭据时的损害,从而降低被盗凭据对攻击者的价值。

  l 减少攻击面:动态凭据限制了漏洞的窗口。由于它们仅在很短的时间内有效,因此它们因泄漏或配置错误而暴露的可能性较小。

  l 自动化管理:动态凭证轮换可以自动化,无需人工干预并降低人为错误的风险。

  l 改进的审计和合规性:由于动态凭据是按需生成的,因此可以轻松跟踪访问者,有助于进行审核,还可以帮助组织满足合规性要求。

  l 可扩展性:与手动系统相比,动态凭证管理系统使用复杂的规则集管理大量凭证。这使它们成为具有复杂 IT 环境的组织的可行选择。

  Thales CipherTrust密钥管理提供支持自动化动态凭据管理的解决方案。采用实时或动态凭据轮换可以显著改善组织的安全状况,并通过使攻击者更难利用被盗凭据来提高AI计划的整体安全性。它还改进了审计结果,以确保只有授权服务才能访问非公开数据。

  不要让安全问题阻止您的AI转型

  我们明白GenAI对我们的客户很重要。在安全性和合规性方面,Thales泰雷兹和AWS随时为您服务。泰雷兹拥有50多项与企业AI相关的计划,我们遵循安全的AI开发方法,以确保我们在不损害数据完整性或隐私的情况下从AI中受益。

  泰雷兹加密和密钥管理解决方案用于保护组织数据,因为组织开始进行内部人工智能开发工作。泰雷兹提供广泛的安全解决方案。泰雷兹安全解决方案范围广泛,包括Imperva提供的解决方案,使企业能够在任何地方大规模保护其应用程序和API。

  泰雷兹数据安全解决方案可为应用程序和凭据提供精细保护,保护人类和机器身份,以及静态、使用中和动态数据。

  关于Thales泰雷兹

  你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。

  决定决定性时刻的决定性技术。

  关于Safeploy安策

  SafePloy安策从事信息安全业务超过20年,是泰雷兹Thales (原lmperva,Gemalto,Vormetric,SafeNet,Aladdin,Rainbow) 等公司在中国区的战略合作伙伴,为云、应用、数据、身份等提供安全保护的能力和技术支持能力,为在中国地区经营和出海开拓业务的企业,提供本地化的可信、可控、又合规的数据安全策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1905962.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python实战项目:外星人入侵(源码分享)(文章较短,直接上代码)

✌ 作者名字:高峰君主 💂 作者个人网站:高峰君主 - 一个数码科技爱好者 📫 如果文章知识点有错误的地方,请指正!和大家一起学习,一起进步👀 💬 人生格言:没有…

vb.netcad二开自学笔记7:绘图命令的改进与扩展

1、在笔记6中创建了一个绘制直线的命令,若其他基本绘图命令都按那个写法会麻烦得要死,所以要总结其中的公共复用部分包封到一个统一的类中,这样在以后使用起来,特别是移植VBA代码时更方便,代码如下: Publi…

通过SimU-Net进行同时深度学习体素分类的纵向CECT扫描肝病灶变化分析| 文献速递-深度学习自动化疾病检查

Title 题目 Liver lesion changes analysis in longitudinal CECT scans by simultaneous deep learning voxel classification with SimU-Net 通过SimU-Net进行同时深度学习体素分类的纵向CECT扫描肝病灶变化分析 01 文献速递介绍 影像学随访是对影像学研究的解读&#x…

【C++高阶】深入理解红黑树:数据结构与算法之美

📝个人主页🌹:Eternity._ ⏩收录专栏⏪:C “ 登神长阶 ” 🤡往期回顾🤡:了解 AVL 树 🌹🌹期待您的关注 🌹🌹 ❀红黑树 📒1. 红黑树的概…

加油站税控云平台:税务合规新标杆,引领油站高效运营

在当今数字化快速发展的时代,加油站行业也面临着前所未有的变革。税务管理的合规性与运营的高效性成为了加油站发展的两大核心要素。 而加油站税控云平台的出现,无疑为这一传统行业注入了新的活力,它不仅是税务合规的新标杆,更是…

图形编辑器基于Paper.js教程07:鼠标画直线或移动路径

探索Paper.js: 使用鼠标绘制直线和轨迹 在数字图形设计和Web应用开发中,提供一个直观和互动的界面供用户绘制图形是极为重要的。Paper.js是一款功能强大的JavaScript库,它使得在HTML5 Canvas上绘制矢量图形变得简单快捷。本文将介绍如何使用Paper.js实现…

昇思MindSpore25天学习Day19:CycleGAN图像风格迁移互换

(TOC)[CycleGAN图像风格迁移呼唤] 模型介绍 模型简介 CycleGAN(Cycle Generative Adversaial Network)即循环对抗生成网络,来自论文Link:Unpaired lmage-to-mage Translation using Cycle-Consistent AdvesairalNetworks该模型实现了—种在没有配对示例的情况下学…

【单片机毕业设计选题24049】-基于STM32单片机的智能手表设计

系统功能: 显示时间,温湿度,体温信息,播放音乐及控制红外小夜灯,通过蓝牙模块连接手机APP。 系统上电后OLED显示“欢迎使用智能手表系统请稍后”,两秒后进入正常页面显示 第一行显示获取到的当前时间 第二行显示获…

汽车数据应用构想(六)

今天接着说车辆独有的数据信息,对于车辆本身的故障、损耗,原理上都会有相应的数据特征,举个例子: 刹车对于安全无比重要,但刹车性能的下降却并不会引发仪表告警。一般都是保养的时候,工人肉眼观察一下刹车…

文章解读与仿真程序复现思路——太阳能学报EI\CSCD\北大核心《考虑碳效益和运行策略的风电场储能优化配置》

本专栏栏目提供文章与程序复现思路,具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 论文与完整源程序_电网论文源程序的博客-CSDN博客https://blog.csdn.net/liang674027206/category_12531414.html 电网论文源程序-CSDN博客电网论文源…

【scau统计学】期末考试——Excel数据分析加载项

首先机房只有MicrosoftExcel没有WPS,所以需要熟悉Microsoft Excel的使用。 如果没有数据分析这块选项 如果没有数据分析这个加载项,请先下载。 左上角点击文件: 点击左下角(选项),选择加载项 点击下方&a…

【C语言】C语言编译链接和Win32API简单介绍

目录 翻译环境和运行环境翻译环境编译器预处理(预编译)编译链接 执行环境 Win32API是什么控制台程序控制台获取坐标COORDGetStdHandle函数GetConsoleCursorinfo函数CONSOLE_CURSOR_INFOSetConsoleCursorInfo函数SetConsoleCursorPostion函数GetAsyncKeyS…

完美解决ValueError: not enough values to unpack (expected 2, got 1)的正确解决方法,亲测有效!!!

完美解决ValueError: not enough values to unpack (expected 2, got 1)的正确解决方法,亲测有效!!! 亲测有效 完美解决ValueError: not enough values to unpack (expected 2, got 1)的正确解决方法,亲测有效&#xf…

算法设计与分析 实验5 并查集法求图论桥问题

目录 一、实验目的 二、问题描述 三、实验要求 四、实验内容 (一)基准算法 (二)高效算法 五、实验结论 一、实验目的 1. 掌握图的连通性。 2. 掌握并查集的基本原理和应用。 二、问题描述 在图论中,一条边被称…

Three.js机器人与星系动态场景(四):封装Threejs业务组件

实际在写业务的时候不会在每个组件里都写几十行的threejs的初始化工作。我们可以 将通用的threejs的场景、相机、render、轨道控制器等进行统一初始化。同时将非主体的函数提到组件外部,通过import导入进组件。将业务逻辑主体更清晰一些。下面的代码是基于reactthre…

(附源码)springboot共享单车管理系统-计算机毕设 65154

springboot共享单车管理系统 摘 要 随着科学技术的飞速发展,各行各业都在努力与现代先进技术接轨,通过科技手段提高自身的优势;对于共享单车管理系统当然也不能排除在外,随着网络技术的不断成熟,带动了共享单车管理系…

Leetcode3194. 最小元素和最大元素的最小平均值

Every day a Leetcode 题目来源:3194. 最小元素和最大元素的最小平均值 解法1:排序遍历 将数组 nums 排序后,利用双指针计算每一对 (minElement maxElement) / 2,最小值即为答案。 代码: /** lc appleetcode.cn …

多线程网络实战之仿qq群聊的服务器和客户端

目录 一、前言 二、设计需求 1.服务器需求 2.客户端需求 三、服务端设计 1.项目准备 2.初始化网络库 3.SOCKET创建服务器套接字 4. bind 绑定套接字 5. listen监听套接字 6. accept接受客户端连接 7.建立套接字数组 8. 建立多线程与客户端通信 9. 处理线程函数&…

iptables实现端口转发ssh

iptables实现端口转发 实现使用防火墙9898端口访问内网front主机的22端口(ssh连接) 1. 防火墙配置(lb01) # 配置iptables # 这条命令的作用是将所有目的地为192.168.100.155且目标端口为19898的TCP数据包的目标IP地址改为10.0.0.148,并将目标…

【Java】垃圾回收学习笔记(一):Root Search 根可达算法+垃圾回收的起点

文章目录 1. 引用计数法优点缺点 2. 可达性分析 Root Search2.1 那些对象是GC Roots2.2 引用的分类2.3 回收方法区 3. 实现细节3.1 GC的起点:节点枚举OopMap:帮助高效的根节点枚举 3.2 何时开始GC:安全点与安全区域如何选取安全点如何让程序进…