订阅以接收新文章的通知:

完整 Zero Trust 安全工具套件,助您最大限度利用 AI

2023-05-15

6 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語PortuguêsEspañol繁體中文版本。

Cloudflare One 提供的一系列工具帮助您的团队安全使用人工智能服务

Cloudflare One 让任何规模的团队能够安全地使用互联网上最好的工具,无需担忧管理麻烦或性能问题。我们隆重推出 Cloudflare One for AI,一个全新功能集合,可以帮助您的团队在维持 Zero Trust 安全态势的同时,使用最新的人工智能服务进行构建。

A complete suite of Zero Trust security tools to get the most from AI

大型语言模型,更大的安全挑战

大型语言模型(LLM),例如 OpenAI 的 GPT 或 Google 的 Bard,包含一个神经网络,使用一组数据进行训练,可根据提示预测和生成文本。用户可提出问题,征求反馈,并依赖该服务创建从诗歌到 Cloudflare Workers 应用的各种输出

这些工具也与真人有着惊人的相似之处。与一些真实的个人对话一样,过度分享可能成为这些人工智能服务的一个严重问题。在 LLM 模型擅长的用例中,这种风险会成倍增加。这些工具可以帮助开发人员解决困难的编码挑战,或让信息工作者从杂乱的笔记中创建简洁的报告。虽然有帮助,但进入提示词的每一项输入都成为离开组织控制的一段数据。

对于像 ChatGPT 这样的工具,一些反应是试图彻底禁止;在公司层面或甚至全国范围内。我们认为您不应该这样做。Cloudflare One 的目标是允许您安全地使用需要的工具,无论它们位于何处,而不会影响性能。这些功能类似于 Cloudflare One Zero Trust 产品的现有用法,但我们希望详细介绍一些用例,以便您的团队能够利用最新的 LLM 功能。

衡量使用情况

SaaS 应用程序使任何用户都能够轻松注册并开始测试。然而,这种便利也使得这些工具成为 IT 预算和安全策略的负担。团队将这个问题称为“影子 IT” —— 即在组织内部采用未经批准的应用程序和服务。

在预算方面,根据早期采用客户的反馈,这些客户知道团队成员开始尝试使用 LLM,但他们不确定如何做出商业许可决策。他们需要什么服务和功能?他们需要购买多少个席位?

在安全性方面,AI 工具对完成工作来说可能是革命性的,但在数据控制策略方面则令人恐惧。团队成员将 AI 工具视为痛苦问题的倾诉对象。这些服务邀请用户带着他们的问题或挑战前来。有时,那些提示词中的上下文会包含绝不应该离开组织的敏感信息。即使团队选择并批准了某一家供应商,组织的成员可能仍然更喜欢另一个 AI,并继续在其工作流程中使用它。

订阅任何计划的 Cloudflare One 客户现在都可以查看 AI 工具的使用情况。您的 IT 部门可以部署 Cloudflare Gateway 并被动观察多少用户选择哪些服务,作为开始确定企业许可计划范围的一种方式。

管理员也可以通过一键禁用这些服务,但这不是我们今天的目标。如果您选择 ChatGPT 作为批准的模型,并且希望确保团队成员不继续使用其他替代方案,则可能希望使用此功能。但是我们并不希望您完全禁用所有这些服务。Cloudflare 的首要任务是让您能够安全地使用这些工具。

控制 API 访问

当我们的团队开始尝试使用 OpenAI 的 ChatGPT 服务时,它对 Cloudflare 的了解程度让我们感到惊讶。我们要求 ChatGPT 使用 Cloudflare Workers 创建应用程序,或指导我们配置一项 Cloudflare Access 策略,大部分情况下,结果是准确和有帮助的。

但在某些情况下,结果可能差强人意。AI 可能使用了过时的信息,或者我们询问了最近才推出的功能。幸运的是,这些人工智能可以学习,而且我们可以提供帮助。我们可以使用限定输入训练这些模型,并连接插件, 以便在客户使用 Cloudflare 服务时提供更好的 AI 指引体验。

根据客户反馈,他们也希望做同样的事情。像我们一样,他们需要安全地分享训练数据,并授权 AI 服务的插件访问权限。Cloudflare One 的安全套件不局限于人类用户,让团队能够通过 API 安全地共享敏感数据的 Zero Trust 访问权限。

首先,团队可以创建服务令牌,外部服务必须提供这些令牌才能访问通过 Cloudflare One 提供的数据。管理员可以向发出 API 请求的系统提供这些令牌,并记录每个请求。如有需要,团队可以一键撤销这些令牌。

创建和发行服务令牌后,管理员可以创建策略,允许特定服务访问它们的训练数据。这些策略将验证服务令牌,并可以扩展到验证国家、IP 地址或 mTLS 证书。管理员还可以创建策略,要求人类用户在访问敏感训练数据或服务之前,通过身份提供商进行身份验证,并完成 MFA 提示。

当团队准备好允许 AI 服务连接到其基础设施时,他们可以使用 Cloudflare Tunnel,而不用在防火墙上开洞。 Cloudflare Tunnel 将创建一个到Cloudflare 的网络的加密、仅出站的连接,其中每个请求将根据为一个或多个由 Cloudflare One 保护的服务配置的访问规则进行检查。

通过 Cloudflare 的 Zero Trust 访问控制,向组织决定提供给这些工具的数据发出的每个请求,都可以要求进行身份验证。这仍然留下一个漏洞,就是团队成员自己可能会过度共享数据。

限制数据上传

管理员可以选择一项 AI 服务,阻止影子 IT 替代方案,并仔细地管理其训练材料的访问权限,但人类仍然参与到这些 AI 实验中。即使使用经批准的 AI 服务,我们中的任何一个人也可能在使用过程中不小心过度共享信息,从而意外造成安全事件。

我们预计 AI 领域将继续发展,提供更多的数据管理功能,但我们认为您不应该等到那个时候才开始将这些服务纳入工作流程。 Cloudflare 数据丢失防护(DLP) 服务可以提供保障,阻止过度共享,以防其变成安全事件。

首先,告诉我们您关心的数据是什么。我们提供简单、预配置的选项,让您能够检查类似社会保险号码或信用卡号码的内容。Cloudflare DLP 还可以根据团队配置的正则表达式进行扫描。

一旦定义了绝不应该离开组织的数据,即可构建关于如何与 AI 服务共享和不共享的细粒度规则。也许一些用户获准试验包含敏感数据的项目,在这种情况下,您可以构建一个规则,只允许某个 Active Directory 或 Okta 组上传这种类型的信息,并阻止所有其他人这样做。

在无需代理的情况下控制使用

本文介绍的工具主要关注应用于传输中数据的功能。我们还希望确保应用程序中的配置错误不会导致安全违规行为。例如,ChatGPT 的新增插件功能将外部服务的知识和工作流程引入到 AI 交互流程中。然而,这也可能会导致插件背后的服务获得超过您想提供的访问权限。

Cloudflare 的云访问安全代理 (CASB) 扫描您的 SaaS 应用程序,以检测用户进行更改时可能出现的潜在问题。无论是就某人刚意外地公开到互联网上的文件发出警告,还是检查 GitHub 存储库是否具备正确的成员控制,Cloudflare CASB 可消除检查 SaaS 应用程序每一项设置潜在问题所需的手动工作。

我们正在开发与流行 AI 服务之间的新集成,用于检查错误配置,将在不久后推出。和这些服务的大多数用户一样,我们仍在进一步了解潜在意外可能发生的地方。我们很高兴能为使用 Cloudflare CASB 的管理员提供我们的第一批 AI 服务控制功能。

接下来?

这些工具的实用性将会不断增加。借助 AI 服务指导和生成输出的能力,来自任何背景的创作者将更容易创建下一个重大项目。

我们有着类似的目标。Cloudflare 的产品旨在帮助用户构建应用程序和服务,我们的 Workers 平台消除了诸如担心在何处部署应用程序或如何扩展服务的烦恼。Cloudflare 解决了这些问题,以便用户专注于创作。结合 AI 服务,我们期望看到成千上万的新构建者推出下一波基于 Cloudflare 平台并受到 AI 指导和生成启发的产品。

我们已经看到数十个使用 ChatGPT 之类的工具指导在 Cloudflare Workers 平台上构建的项目蓬勃发展。我们计划推出与这些模型的新集成,使这一过程更加无缝、流畅,并为聊天体验带来更好的 Cloudflare 特定指导。

我们也知道这些工具的安全风险将随之增加。我们将继续为 Cloudflare One 引入新功能,在这些服务发展的同时始终领先于风险。准备好开始了吗?在此注册即可开始免费使用 Cloudflare One,适用于最多 50 个用户的团队。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Developer WeekZero TrustAIAI GatewayCloudflare One

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...