訂閱以接收新文章的通知:

適用於 AI 的 Zero Trust 安全性

2023-05-15

閱讀時間:6 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語PortuguêsEspañol简体中文

Cloudflare One 的一系列工具可幫助您的團隊安全地使用 AI 服務

Cloudflare One 使任何規模的團隊都能夠安全地使用網際網路上的最佳工具,而不會遇到管理難題或效能挑戰。我們很高興宣布推出 Cloudflare One for AI,這是一組新功能,可幫助您的團隊使用最新的 AI 服務進行構建,同時仍保持 Zero Trust 安全狀態。

A complete suite of Zero Trust security tools to get the most from AI

大型語言模型,更大的安全挑戰

和 OpenAI 的 GPT 或 Google 的 Bard 一樣,大型語言模型 (LLM) 包含一個神經網路,該神經網路針對一組資料進行訓練,以根據提示預測和產生文字。使用者可以提出問題、徵求反饋,並依靠該服務來創作從詩歌到 Cloudflare Workers 應用程式等輸出。

這些工具也與真實的人類有著不可思議的相似之處。就像現實生活中的一些個人對話一樣,過度分享可能會成為這些 AI 服務的嚴重問題。隨著 LLM 模型的使用案例類型蓬勃發展,這種風險也會成倍增加。這些工具可以幫助開發人員解決困難的編碼挑戰,或幫助資訊工作者從一團糟的筆記中建立簡潔的報告。雖然很有幫助,但輸入提示的每個輸入都會成為不受組織控制的一段資料。

對於 ChatGPT 等工具的出現,一些回應是嘗試徹底禁止該服務,無論是在企業層面還是在整個國家。我們認為您不必這樣做。Cloudflare One 的目標是,無論工具位於何處,都讓您能夠安全地使用所需的工具,而不會影響效能。對於 Cloudflare One 中的 Zero Trust 產品的現有使用者來說,這些功能會讓人感覺很熟悉。但我們很樂意向您介紹一些可以使用現在可用的工具來讓團隊利用最新 LLM 功能的案例。

衡量使用情況

Saas 應用程式讓任何使用者都可以輕鬆註冊並開始測試。但這種便利性也使這些工具成為 IT 預算和安全行原則的負擔。團隊將此問題稱為「影子 IT」,即在組織核准的渠道之外採用應用程式和服務。

在預算方面,我們從作為早期採用者的客戶處得知,他們知道自己的團隊成員已經開始嘗試 LLM,但他們不確定如何做出商業授權決定。他們的使用者需要哪些服務和功能,以及他們應該購買多少席位?

在安全方面,AI 在完成工作方面可能是革命性的,但對於資料控制原則而言卻令人恐懼。團隊成員將這些 AI 視為解決棘手問題的共鳴板。該服務邀請使用者提出他們的問題或挑戰。有時候,這些提示內的內容可能包含不應離開組織的敏感性資訊。即使團隊選擇並核准單一廠商,您組織的成員也可能偏好其他 AI,並繼續在工作流程中使用它。

使用任何方案的 Cloudflare One 客戶現在都可以查看 AI 的使用情況。您的 IT 部門可以部署 Cloudflare Gateway 並被動觀察有多少使用者正在選擇哪些服務,以此開始確定企業授權計畫的範圍。

管理員也可以一鍵封鎖對這些服務的使用,但這並不是我們目前的目標。如果您選擇 ChatGPT 作為核准的模型,並且想要確保團隊成員不會繼續使用替代工具,您可能會想要使用此功能,但我們希望您不要直接封鎖所有這些服務。Cloudflare 的首要任務是讓您能夠安全地使用這些工具。

控制 API 存取

當我們的團隊開始嘗試 OpenAI 的 ChatGPT 服務時,我們對它對 Cloudflare 的瞭解感到驚訝。我們要求 ChatGPT 使用 Cloudflare Workers 建立應用程式或指導我們設定 Cloudflare Access 原則,在大多數情況下,結果是準確且有用的。

在某些情況下,結果並不盡如人意。比如 AI 使用了過時的資訊,或者我們對最近才推出的功能提出問題。但值得慶幸的是,這些 AI 可以學習,而我們可以提供幫助。我們可以使用限定範圍的輸入來訓練這些模型,並連接外掛程式,以便在使用 Cloudflare 服務時為我們的客戶提供更好的 AI 引導體驗。

我們瞭解到有一些客戶想要執行相同的操作,像我們一樣,他們需要安全地分享訓練資料,並授予 AI 服務外掛程式存取權。Cloudflare One 的安全套件超越了人類使用者的範圍,使團隊能透過 API 安全地分享對敏感性資料的 Zero Trust 存取。

首先,團隊可以建立服務權杖,外部服務必須提供該服務權杖才能存取透過 Cloudflare One 提供的資料。管理員可以向進行 API 請求的系統提供這些權杖,並記錄每個請求。如有需要,團隊只需按一下即可撤銷這些權杖。

建立並簽發服務權杖後,管理員可以建立原則以允許特定服務存取其訓練資料。這些原則將驗證服務權杖,並可以擴展以驗證國家/地區、IP 位址或 mTLS 憑證。您也可以建立原則,要求人類使用者向識別提供者進行驗證,並在存取敏感訓練資料或服務之前完成 MFA 提示。

當團隊準備好允許 AI 服務連接到其基礎結構時,他們可以使用 Cloudflare Tunnel 來實現這一點,而無需在防火牆中造成漏洞。Cloudflare Tunnel 將建立與 Cloudflare 網路的加密、僅限輸出連線,並將根據為 Cloudflare One 保護的一項或多項服務設定的存取規則檢查每個請求。

利用 Cloudflare 的 Zero Trust 存取控制,您能夠對組織決定向這些工具提供的資料發出的每個請求強制進行驗證。這仍然留下了一個漏洞,您的團隊成員可能會自己過度分享資料。

限制資料上傳

管理員可以選擇 AI 服務、封鎖影子 IT 替代工具,並小心地控制對其訓練材料的存取,但人類仍然參與這些 AI 實驗。我們任何人都可能會在使用 AI 服務(甚至是經核准的服務)的過程中過度分享資訊而意外導致安全事件。

我們預計 AI 領域將繼續發展,以提供更多資料管理功能,但我們認為您不必等到那個時候才開始採用這些服務作為工作流程的一部分。Cloudflare 的 Data Loss Prevention (DLP) 服務可以提供保護措施,阻止過度分享,避免其成為需要安全團隊處理的事件。

首先,告訴我們您關心哪些資料。我們提供簡單、預先設定的選項,讓您能夠檢查看起來像社會安全號碼或信用卡號碼的內容。Cloudflare DLP 還可以根據您的團隊設定的規則運算式掃描模式。

在定義不得離開組織的資料後,您就可以建立詳細規則,規定可以如何與 AI 服務分享資料,以及不能如何與 AI 服務分享資料。也許某些使用者被核准嘗試包含敏感性資料的專案,在這種情況下,您可以構建一條規則,僅允許 Active Directory 或 Okta 群組上傳此類資訊,而其他人則被封鎖。

無需代理即可控制使用

今日部落格文章中的工具著重於適用於動態資料的功能。我們還希望確保應用程式中的錯誤設定不會導致安全違規。例如,ChatGPT 中的新外掛程式功能將外部服務的知識和工作流程帶入 AI 互動流程中。但是,這也可能導致外掛程式背後的服務具有的存取權限超出您想要授予的權限。

Cloudflare 的雲端存取安全性代理程式 (CASB) 會掃描您的 SaaS 應用程式,以查找使用者進行變更時可能出現的潛在問題。無論是就有人意外在網際網路上公開檔案而向您發出提示,還是檢查您的 GitHub 存放庫是否具有正確的成員資格控制,Cloudflare 的 CASB 都消除了檢查 SaaS 應用程式中每項設定是否存在潛在問題所需的手動工作。

我們正在努力與熱門的 AI 服務進行新的整合,以檢查錯誤設定,這些整合即將推出。就像這些服務的大多數使用者一樣,我們仍在深入瞭解哪些地方有可能發生安全事件,我們很高興能為使用 CASB 的管理員提供第一波 AI 服務控制。

接下來是什麼?

這些工具的實用性只會加快。AI 服務指導和產生輸出的能力將繼續使任何背景的構建者更容易創造出下一個偉大的作品。

我們有著相似的目標。Cloudflare 產品專注於幫助使用者構建應用程式和服務,我們的 Workers 平台讓使用者無需擔心在哪裡部署應用程式或如何擴展服務。Cloudflare 解決了這些令人頭疼的問題,讓使用者可以專注於創作。與 AI 服務相結合,我們預計將有數千名新構建者推出基於 Cloudflare 並受到 AI 指導和產生啟發的下一波產品。

我們已經看到使用 ChatGPT 等工具的指導在 Cloudflare Workers 上構建的數十個專案蓬勃發展。我們計劃推出與這些模型的新整合,使之更加順暢,為聊天體驗帶來更好的 Cloudflare 特定指導。

我們也知道,這些工具的安全風險將增加。我們將繼續在 Cloudflare One 中引入功能,在這些服務發展的同時始終領先於風險一步。準備好開始了嗎?在此處註冊即可開始為最多 50 名使用者的團隊免費使用 Cloudflare One。

在 Cloudflare TV 上觀看

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Developer WeekZero TrustAIAI GatewayCloudflare One

在 X 上進行關注

Cloudflare|@cloudflare

相關貼文

2024年10月23日 下午1:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...