关键字: [ 亚马逊云科技中国峰会2024, Bedrock, 基础设施合规评估, 安全合规知识库, 云服务合规自动化, 企业合规审计工具, 负责任生成式Ai]
本文字数: 1300, 阅读完需: 6 分钟
导读
在这场演讲中, 李孝义先生分享了他们公司如何利用亚马逊云科技的服务和人工智能技术, 构建了一个企业知识库和合规审计工具, 用于自动化多个国家和地区的合规评估和修复建议。他介绍了在全球化业务中遇到的合规审计痛点, 以及如何通过云服务、大模型、数据加密等技术来满足不同合规要求, 提高合规效率, 降低成本。演讲重点阐述了该解决方案的架构设计、应用场景和获得的收益, 展示了亚马逊云科技如何助力企业实现安全合规的自动化和标准化。
演讲精华
以下是小编为您整理的本次演讲的精华,共1000 字,阅读时间大约是5 分钟。
在构建我们的安全合规负责任AI 知识库时, 我们依托了一个内部针对生成式AI 应用建立的合规框架。该框架分三个层级, 对模型本身、云上基础设施和应用层级分别制定了安全合规要求。
对于模型层级, 我们选择了经过合规认证的专业大模型, 如亚马逊云科技的Bedrock 平台上的模型。Bedrock 通过了诸如SOC 2 、PCI DSS 、ISO 等多项合规认证, 用户无需再对基础设施进行合规验证, 实现了责任分担。我们还利用Bedrock 的GuideRail 功能构建了负责任AI, 可以设置拒绝的话题范围, 限制模型只回复与业务相关的内容。另外,GuideRail 还提供了信息脱敏功能, 能够过滤掉金融卡信息、个人身份信息等敏感数据。
在保护数据隐私和主权方面,Bedrock 建立了多重安全措施。首先, 企业上传的内部数据不会被用于训练其他用户的模型, 保证了数据主权。其次, 所有对大模型的请求调用都通过内网的PrivateLink 服务进行, 避免了公网传输的风险。此外, 模型和数据在Bedrock 上均实现了全生命周期加密, 静态数据使用KMS 服务加密存储在S3, 传输过程中自动进行TLS 1.2 及以上版本的加密。
在基础设施层级, 我们首先建立了企业内部合规框架并实施监管。这一框架覆盖了软件开发、系统搭建、日志监控维护等多个方向的合规要求。我们利用亚马逊云科技的SecurityHub 服务, 内置并定制了安全准则, 实现了实时发现、报警并自动修复不安全配置的能力。
其次, 我们使用CloudWatch 服务统一收集了应用、操作系统等所有层级的审计日志, 并将其集中在单独的日志分析平台, 满足合规要求。我们还监控了服务器CPU 、内存等指标, 确保系统可用性。
第三, 我们对数据实现了全生命周期加密保护。在亚马逊云科技上, 我们使用KMS 对EBS 卷、S3 存储桶等进行加密。对于传输过程, 我们在负载均衡器上使用TLS 1.2 及以上版本的加密套件。为满足某些企业用户对密钥存储的FIPS 140-2 Level 3 要求, 我们使用了CloudHSM 服务提供的加密硬件安全模块, 实现了最小权限管理、双因素认证等 功能。
第四, 我们采取了从VPC 到子网再到EC2 的多层网络防护策略。在VPC 层使用NetworkFirewall 进行入侵检测和防护; 子网层使用网络ACL;EC2 层使用SecurityGroup 实现实例级别的防火墙; 最后在操作系统层使用IPTables 策略。
第五, 我们遵循最小权限原则, 利用IAM 服务对每个用户的权限进行了精细化管理, 只分配与职责相关的最小服务访问权限。对于多账号场景, 我们使用Amazon Web Services SSO 的IdentityCenter 服务实现了批量化的权限授权。
在应用层级, 我们执行了全生命周期的应用安全措施。在开发阶段, 我们使用AmazonCodeGuru 进行实时代码扫描; 在CI/CD 流程中, 进行静态代码、依赖项等多种安全扫描; 在部署前, 使用DAST 动态扫描发现并修复Web 应用漏洞, 确保只有高危和中危漏洞修复后才能上线。
我们还部署了AmazonInspector 的运行时漏洞扫描功能, 实时检测应用中的漏洞包并进行隔离修复。我们在EC2 实例上安装了防病毒软件, 进一步加强了运行时的安全防护。
在认证和授权方面, 我们使用了Cognito 为终端用户提供安全访问亚马逊云科技资源的能力。在API Gateway 上, 我们使用Usage Plan 和API Key 对API 访问进行了身份认证和权限控制。
在构建合规审计解决方案时, 我们综合使用了CloudFormation 导出的基础设施元数据、企业内部架构文档、数据流描述、合规框架文档、安全日志、变更工单, 以及亚马逊云科技最佳实践白皮书和PCI DSS 合规指南等多种数据源, 为知识库提供了丰富的信息。
在系统架构上, 我们前端使用API Gateway 与Lambda 无服务器函数集成; 向量数据存储在AuroraDB 中; 大模型处理采用CloudAI 服务; 原始文档存储在S3 。整个架构通过CDK 脚本实现一键部署, 降低了运维压力。
该解决方案显著提高了审计效率, 审计时长缩短了50%, 解决了传统审计过程中的人力成本高昂、重复审计、主观判断偏差、证据收集错误等痛点, 为企业带来了显著收益。
下面是一些演讲现场的精彩瞬间:
李孝义先生在亚马逊云科技中国峰会2024 上介绍了自己和公司的业务情况, 公司业务已覆盖全球100 多个国家和地区。
亚马逊云科技中国峰会2024: 探讨海外合规审计中的痛点和难点, 特别是保护卡信息安全的PCI 合规要求。
在确保大型语言模型的安全合规性方面, 亚马逊云科技采用了国内外公认的安全框架和基准测试, 对模型的有害内容过滤和筛选能力进行了严格评估, 选择了合规授信的专业大模型。
亚马逊云科技的Bedrock 模型托管平台通过了多项合规认证, 为用户分担合规审计压力, 大大提高了合规效率。
亚马逊云科技的 Network Firewall 可以实时检测和阻止恶意流量, 如挖矿行为和恶意软件异常流量, 为 VPC 提供全面的网络安全防护。
亚马逊云科技采用基于角色的访问控制(RBAC) 模型, 确保每个用户只能访问与其职责相关的服务和资源。
亚马逊云科技分享了安全最佳实践白皮书和PCI DSS 合规指导, 为客户提供官方标准的安全建议。
总结
在全球化业务的背景下, 企业面临着不同国家和地区合规要求的挑战, 导致重复审计和标准化困难。为解决这一难题, 我们利用企业内部数据构建了一个基于AI 的知识库, 实现了跨国多云环境的全层级合规检测和修复建议工具。
该工具首先选择了合规授信的专业大模型, 并通过亚马逊云科技的Bedrock 和GuideRail 功能构建了负责任的AI, 确保了数据全生命周期的安全保护。其次, 我们采用了多层网络安全防护措施, 如Network Firewall 、ACL 和Security Group, 并实施了基于RBAC 的权限管理。最后, 我们从多个数据源收集了企业内部资料、合规标准要求、系统日志等, 构建了知识库, 实现了自动化的差距分析、风险评估和修复建议。
该解决方案大幅提高了合规审计的效率, 降低了成本, 并持续优化监管流程, 实现了合规审计的自动化。通过与亚马逊云科技的紧密合作, 我们为企业提供了安全、合规且负责任的生成式AI 解决方案。
2024 年 5 月 29 日,亚马逊云科技中国峰会在上海召开。峰会期间,亚马逊全球副总裁、亚马逊云科技大中华区总裁储瑞松全面阐述了亚马逊云科技如何利用在算力、模型、以及应用层面丰富的产品和服务,成为企业构建和应用生成式 AI 的首选。此外,活动还详细介绍了亚马逊云科技秉承客户至尚的原则,通过与本地合作伙伴一起支持行业客户数字化转型和创新,提供安全、稳定、可信赖的服务,以及持续深耕本地、链接全球,助力客户在中国和全球化发展的道路上取得成功。