作为亚马逊云科技 (AWS) 的首席信息安全官 (CISO),Chris Betz 确保 AWS 运营的云基础设施对每个人来说都尽可能安全可靠。这意味着确保 AWS 客户数据的安全,同时保护使用 AWS 的公司客户的数据。那么,Betz(本人也是前 AWS 客户)如何处理这项庞大且非常重要的工作呢?我们在 AWS re:Inforce 之前与 Betz 进行了交谈,这是该公司的年度云安全会议,与会者将与专家、合作伙伴和构建者合作,他们正在推动生成式 AI 时代安全的未来。用他自己的话说,以下是为什么安全从第一天起就一直是全公司的优先事项,并将永远是 Amazon 的重中之重的七个原因。AWS 设计基础设施以支持生成式 AI 的 4 种方式从网络创新到数据中心设计的变化,AWS 继续优化其基础设施以大规模支持生成式 AI。良好的安全性是试验新技术的关键,包括生成式人工智能生成式人工智能可以通过每个人都可以使用的强大工具改变几乎每一种客户体验。然而,如果没有明确的治理,生成式人工智能正在引发安全和隐私问题。因此,热衷于生成式 AI 的组织的员工将安全视为看门人或“不部门”的情况并不少见。这不仅是错误的,而且对企业不利。在 AWS,我们一直相信安全是业务的推动因素。安全性可降低风险,增强弹性,并使客户能够更快、更有信心地进行创新,尤其是在快速发展的生成式 AI 时代。我们希望让客户的安全团队达到被视为“是部门”的地方,并与员工合作以支持他们的业务目标,了解风险,并帮助他们实施必要的缓解措施。面向企业和开发人员的生成式 AI 助手 Amazon Q 现已全面上市所有行业和各种规模的客户和合作伙伴都在使用 Amazon Q 来改变员工完成工作的方式。安全是每个人的工作——从 CEO 到开发人员美国政府咨询委员会最近的一份报告清楚地表明,安全文化的缺陷可能是导致可避免错误的根本原因,这些错误使入侵得逞并未被发现。在 AWS,我们有意选择让安全团队直接向首席执行官汇报。目标是在 AWS 的结构结构中构建安全性。安全从高层开始,但责任自下而上也同样重要。安全不仅仅是安全团队的工作,而是一项分散的责任。每个产品团队都负责他们提供的服务或功能的安全性。安全性内置于每个产品路线图、工程计划和每周站立会议中,就像功能、性能和成本一样。最好的安全性不是可以在流程结束时或系统外部“附加”的东西;相反,安全是不可或缺的和基础的。生成式 AI 的安全方法意味着让客户控制他们的数据在客户探索如何采用生成式 AI 时,我从他们那里听到的最大担忧是如何保护他们的数据以及最终客户的数据。从第一天起,AWS AI 基础设施和服务就具有内置的安全和隐私功能,让客户能够控制自己的数据。我们的 AWS Nitro 系统在这方面发挥着关键作用。Nitro 的专用硬件和相关固件强制实施限制,因此任何人(包括 AWS 的任何人)都无法对客户的 Amazon Elastic Compute Cloud (Amazon EC2) 虚拟服务器上运行的底层基础设施、工作负载或数据进行逻辑访问。在安全地构建生成式 AI 应用程序方面,我们的 Amazon Bedrock 服务使客户能够完全控制他们用于自定义应用程序背后的基础模型的数据。借助 Bedrock,他们的数据在传输过程中和静态时都经过加密,确保他们的数据保持私密和机密。AWS 帮助提高互联网安全性的 3 种方式Amazon Web Services 如何帮助保护客户免受新型网络攻击,以及您可以采取哪些措施来确保业务的在线安全性4。生成式人工智能具有提高客户安全性的能力生成式人工智能对客户极具吸引力的强大功能和易用性也使其成为 IT 和安全管理员不可或缺的工具,帮助他们更有效地识别和解决问题。在今年的 re:Inforce 上,我们宣布了两项新的生成式 AI 驱动的安全功能:新的自然语言查询生成功能使安全管理员能够轻松快速地分析 AWS CloudTrail Lake 中的活动事件,该服务允许组织存储和查询事件以进行安全调查。现在,安全管理员可以提出问题,例如“过去一周为每项服务记录了多少个错误以及导致每个错误的原因是什么?AWS Audit Manager 客户现在可以访问预构建的框架,以了解他们在 Amazon SageMaker 上的生成式 AI 实施如何与 AWS 推荐的最佳实践相匹配。SageMaker 客户现在可以开始审核其生成式 AI 使用情况并自动收集证据,从而提供一致的方法来跟踪 AI 模型的使用情况和权限、标记敏感数据以及向任何问题发出警报。最好的安全防御是良好的进攻我们每天都在 AWS 基础设施中扫描、检测和阻止网络攻击。AWS 拥有所有云提供商中最大的公共网络足迹,对互联网上的某些活动具有无与伦比的实时洞察力。去年秋天,我们分享了有关 MadPot 的详细信息,这是我们全球分布的威胁传感器网络(又名蜜罐),可帮助我们的团队了解攻击者的策略和技术。每当攻击者试图以我们的威胁传感器为目标时,我们都会使用该威胁情报来帮助保护客户。此外,在今年的 re:Inforce 上,我们首次公开讨论了 Sonaris,这是一种内部工具,我们用它来分析网络流量,以识别和阻止恶意尝试连接到大量客户帐户以查找漏洞。在 2023 年 5 月至 2024 年 4 月期间,Sonaris 拒绝了超过 240 亿次扫描存储在 Amazon Simple Storage Service (Amazon S3) 中的客户数据的尝试,并阻止了近 2.6 万亿次尝试发现客户 Amazon EC2 虚拟服务器上运行的易受攻击的服务。这是在幕后进行的惊人工作量,以确保客户的业务不间断地继续进行。一位亚马逊工程师如何让互联网成为我们所有人(以及猫)更安全的地方AWS 副总裁兼杰出工程师 Tom Scholl 与全球网络合作,通过从源头跟踪来自不良行为者的流量来阻止网络攻击。良好的安全性包括掌握正确的基础知识虽然密码有助于保护数字资产,但还不够。多重身份验证 (MFA) 要求用户提供的不仅仅是密码才能访问网站或应用程序,它充当了额外的安全层。它已经存在了 20 多年,但仍未被普遍采用。为了帮助 AWS 客户保护他们的账户,今年早些时候,我们启动了一项新计划,该计划将对 AWS Organizations 的根用户账户(一种管理具有多个账户的 AWS 环境的工具)强制实施 MFA,以进一步降低账户接管的风险,并为客户提供免费的 MFA 安全密钥。为了使 MFA 更易于采用,在今年的 re:Inforce 上,我们宣布 AWS Identity and Access Management (IAM)(一种用于安全管理身份以及对 AWS 服务和资源的访问的工具)现在支持将密钥作为第二种身份验证方法。通行密钥使用公钥加密技术,可实现比密码更安全的强大、防网络钓鱼的身份验证7。安全需要不断致力于创新每天,世界上发展最快的初创公司、最大的企业和最值得信赖的政府组织都在使用 AWS 来运行其技术基础设施。他们选择我们是因为从第一天起,安全就是我们的首要任务。我们将 AWS 设计为客户运行工作负载的最安全方式,并且我们围绕安全作为业务当务之急建立了内部文化。我们继续代表客户进行创新,以便他们能够快速、安全、充满信心地开展业务,我们在云安全领域的业绩记录是首屈一指的。网络安全挑战将继续发展,虽然我们为迄今为止取得的成就感到自豪,但我们致力于在创新和推进我们的技术和安全文化的同时不断改进。
 与 CNBC 的吉姆·克莱默 (Jim Cramer) 的对话.jpg)
