云端AI战略构建指南:安全架构与风险管理

本文深入探讨了构建云端AI战略的关键步骤,包括业务需求分析、安全评估框架和迁移规划,同时涵盖了物联网安全挑战及应对策略,为企业在云环境中实施人工智能提供全面技术指导。

如何为云端创建AI战略

在本篇独家专访中,亚太地区云安全架构师兼网络安全顾问Mayank Sharma分享了关于云迁移的关键见解,以及如何管理物联网网络安全战略。

Mayank Sharma,云安全架构师兼网络安全顾问

云迁移关键步骤

Cyber Security Hub:将关键基础设施迁移到云端时应考虑哪些步骤?

Mayank Sharma: 首先,要明确您希望通过云实现什么目标,可能是增加更多自动化、智能决策或引入预测分析。找到这个业务需求或许是过程中最重要的步骤。在此步骤中,需要让业务利益相关者、IT经理和企业架构师参与进来。当您知道要创建什么时,研究云可以提供的服务来支持您实现这一目标。这个"愿景"是驱动所有未来工作的关键文档。

其次,根据业务需求为云端的关键基础设施创建战略。这应包括诸如将在云端为关键基础设施存在的能力等项目。您的战略制定应包括:

  • 监管评估(例如,隐私或任何其他适用的法规)
  • 安全评估
  • 安全运营模型
  • 治理框架

在制定战略时,研究您的云安全解决方案是否将具有与当前本地环境相同的安全能力。还应考虑作为迁移到云端的一部分引入了哪些新威胁,对其进行威胁建模,并查看缓解的威胁是否在业务的风险承受范围内。如果超出风险承受范围,则考虑需要哪些额外努力将其纳入风险承受范围内。

第三,创建迁移计划。这是迁移活动中涉及的各种元素的更详细版本。迭代方法总是比"大爆炸"方法更好,因此尽量不要过于雄心勃勃,一次性移动所有基础设施。从不太关键的资产开始的分阶段迁移总是更可取的。还要评估此迁移计划的整体安全性。

最后,持续审查云环境,确保其保持安全、可靠和成本效益。定期进行安全和合规性审计,确保基础设施符合监管要求和行业最佳实践。云比传统的本地基础设施动态得多,因此继续评估新服务并开发强大的服务启用流程以快速上线任何新服务。

物联网安全挑战

CSH:网络安全专业人员可能面临物联网4.0带来的哪些挑战?

MS: 简而言之,物联网已经改写了规则书。挑战是双重的;首先是正在收集的数据量。这些设备在人们的家中或由他们佩戴,正在检查他们的运动并收集敏感数据,如私人健康数据。这些信息通常发送到云端,为最终用户提供有意义的分析或输入关键业务流程。这些信息本质上极其敏感,必须小心处理。

其次,传统上,大型组织中的设备上线是一个详尽的过程,然而对于这些范围广泛的设备(从电视到智能手机,到太阳镜,到智能手表),为所有类型的物联网设备创建一个有凝聚力的战略极具挑战性。

物联网甚至更严重地破坏了关键基础设施!历史上,普渡模型是工业控制系统和操作技术的首选模型。它将不同的过程分段到不同的网络中,并通过防火墙不同的段来确保安全维护。它还包括OT和IT系统之间非常严格的网络分离。

物联网4.0破坏了这个安全模型。普渡无法本地与云系统集成,而物联网4.0——或工业物联网——也模糊了IT和OT之间的界限。因此,通过网络分段的安全控制在物联网4.0中不再有效。使事情更加棘手的是,通常工业系统设计为非常长的使用寿命,以数十年为单位,并且可能包含在此时间内可能变得易受攻击的协议。

与IT和云的连接为威胁行为者提供了利用这些漏洞的攻击面。不用说,人们可能因受损的工业系统而遭受物理伤害,因此风险非常高。

物联网网络安全战略

CSH:网络安全专业人员如何创建和管理物联网网络安全战略?

MS: 物联网是一个快速发展的领域,正在颠覆组织运营和与环境互动的方式。随着更多设备连接,组织越来越需要清楚理解物联网的战略需求,并制定全面的安全战略以防范潜在威胁。

战略的第一个要素是创建关于物联网设备本身的战略。这应涵盖设备将如何上线,而在此步骤中应讨论它们将如何部署和维护(例如,固件升级和退役)。在此阶段应审查这些设备的物理安全。最后,在创建关于物联网设备的战略时,还应详细讨论应收集多少数据。

战略的第二个要素是分析。此步骤主要处理从物联网设备接收的信号中导出有意义信息的分析引擎的安全性。在此步骤中应审查数据安全和用户隐私。

第三个要素是集成。此要素主要处理分析引擎与其他业务系统之间集成的安全性。

在制定设备、分析引擎和集成的安全战略时,深入研究身份验证和授权的安全领域(例如,设备将如何与组织进行身份验证,并确保只有授权设备可以访问网络)。

所有传输的数据应使用弹性加密算法加密,以防止未经授权的访问和"窃听"。应实施数据保护、数据访问控制和数据删除策略,确保数据始终受到保护。随着组织的成熟,可以开发安全模式以重用内部能力,并进一步增强物联网网络的安全性。

云端AI战略

CSH:组织如何为云端创建AI战略?

MS: 人工智能领域正在迅速发展,并有可能改变各个行业的企业。然而,AI的引入也带来了重大风险,特别是如果AI模型没有得到适当管理或发生故障。

想象一下失控的AI模型对组织的后果!

为了减轻这些风险,业务领导者必须确保AI的开发遵循安全开发实践;在训练AI模型时使用高质量数据,并进行持续治理,确保模型保持可信且无偏见。

明确定义的AI战略应基于这三个原则制定。首先,重要的是确定:

  • 将使用AI的环境
  • 组织愿意承担的风险量
  • 与引入AI系统相关的风险

然后应评估这些风险并引入适当的缓解控制。最后,应开发一个矩阵以有效监控关键风险指标和关键绩效指标。

总体而言,明确定义的AI战略对于企业最大化AI潜力同时减轻风险至关重要。关于此事的一个好资源是美国国家标准与技术研究院的AI风险管理框架。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次