9月4日,2018 ABC SUMMIT百度云智峰會(huì)“AI安全與安全生態(tài)”分論壇于上海舉辦,本次論壇圍繞AI時(shí)代所面臨的全新的安全挑戰(zhàn),細(xì)分行業(yè)的安全現(xiàn)狀及未來(lái)發(fā)展趨勢(shì),AI時(shí)代的生態(tài)建設(shè)等多維度的話題進(jìn)行分享和探討。峰會(huì)現(xiàn)場(chǎng),百度安全聯(lián)手Intel重磅發(fā)布了全球首個(gè)內(nèi)存安全的可信安全計(jì)算服務(wù)框架——MesaTEE。
MesaTEE,全球首個(gè)內(nèi)存安全的可信計(jì)算架構(gòu)
據(jù)介紹,MesaTEE項(xiàng)目作為全球首個(gè)內(nèi)存安全的可信安全計(jì)算服務(wù)框架,為大勢(shì)所趨的“函數(shù)即服務(wù)”(Function-as-a-Service,縮寫FaaS)云計(jì)算模式提供革命性安全方案。除具有FaaS的靈活、經(jīng)濟(jì)等優(yōu)點(diǎn)外,通過(guò)利用Intel SGX技術(shù),云上數(shù)據(jù)代碼的完整性和保密性得到了芯片級(jí)的安全保障,且允許用戶遠(yuǎn)程對(duì)這些安全保護(hù)進(jìn)行驗(yàn)證。更重要的是,MesaTEE還應(yīng)用了百度安全實(shí)驗(yàn)室的HMS內(nèi)存安全技術(shù),兼具內(nèi)存安全帶來(lái)的不可繞過(guò)性,這一世界首創(chuàng)的獨(dú)特優(yōu)勢(shì)讓攻擊者難以突破,提供了無(wú)可比擬的安全保障。據(jù)悉,這是目前唯一可遠(yuǎn)程驗(yàn)證且內(nèi)存安全的可信安全計(jì)算服務(wù)框架。
百度首席安全科學(xué)家韋韜表示,“Intel SGX是自通用計(jì)算機(jī)出現(xiàn)以來(lái)系統(tǒng)安全領(lǐng)域最重要的硬件技術(shù)架構(gòu)變革之一,通過(guò)極大的縮短信任鏈?zhǔn)沟镁W(wǎng)絡(luò)空間的信任依賴變得安全可靠;而百度首創(chuàng)的HybridMemorySafety技術(shù)則是第一次在軟件架構(gòu)上保障了實(shí)用系統(tǒng)的內(nèi)存安全。MesaTEE SGX是兩者的結(jié)合,將大大延展互聯(lián)網(wǎng)信任的技術(shù)邊界,孵化出下一代區(qū)塊鏈、云隱私計(jì)算等多種新型互聯(lián)網(wǎng)業(yè)務(wù)。”
左起:英特爾軟件和服務(wù)集團(tuán)副總裁Lorie Wigle
百度首席安全科學(xué)家韋韜
安全為基,讓開(kāi)發(fā)者更專注于開(kāi)發(fā)本身
云計(jì)算時(shí)代出現(xiàn)了大量XaaS形式的概念,從IaaS、PaaS、SaaS再到大勢(shì)所趨的“函數(shù)即服務(wù)” FaaS (Function-as-a-Service)。它們都在試著將各種軟、硬件資源等抽象為一種服務(wù)提供給開(kāi)發(fā)者使用,讓開(kāi)發(fā)者不再擔(dān)心基礎(chǔ)設(shè)施、資源需求、中間件等,更好地專注于業(yè)務(wù),專注于開(kāi)發(fā)本身。
MesaTEE是百度和Intel長(zhǎng)期以來(lái)深入合作的產(chǎn)物之一,它的誕生將徹底影響云計(jì)算的發(fā)展方向,對(duì)于推動(dòng)可信安全計(jì)算有著重要意義,具體表現(xiàn)在三個(gè)方面。
1、保障平臺(tái)資源管理,專注云端邏輯
?先,MesaTEE對(duì) FaaS有獨(dú)到的支持,讓云用戶不必再為平臺(tái)資源管理費(fèi)?,只需專注于無(wú)狀態(tài)的簡(jiǎn)單事件處理邏輯的開(kāi)發(fā)即可。這樣一來(lái),云端邏輯變得?常容易規(guī)模化、維護(hù)簡(jiǎn)化、事件響應(yīng)迅捷、開(kāi)銷更低。
2、隔離代碼執(zhí)行,保障數(shù)據(jù)安全
傳統(tǒng) FaaS無(wú)法保證云端數(shù)據(jù)和代碼的完整性和保密性,這也成為了不少用戶應(yīng)用采納 FaaS甚?云計(jì)算的阻礙。MesaTEE的第二個(gè)創(chuàng)新很好地解決了這一難題。通過(guò)利用Intel SGX芯片級(jí)硬件可信計(jì)算技術(shù),MesaTEE能安全地將云用戶的數(shù)據(jù)和代碼執(zhí)行隔離起來(lái),即使云計(jì)算環(huán)境里的操作系統(tǒng)、虛擬機(jī)管理器(VMM)、或相鄰的其他虛擬機(jī)被攻破或作惡,這些數(shù)據(jù)代碼的完整性和保密性都能得到保障。用戶也可以通過(guò)遠(yuǎn)程地驗(yàn)證執(zhí)行環(huán)境,確保遠(yuǎn)程執(zhí)行的代碼是否符合預(yù)期。除了遠(yuǎn)程可驗(yàn)證的隔離手段,MesaTEE還全球首次在SGX TEE里使用內(nèi)存安全語(yǔ)言和不可繞過(guò)編程范式,確保SGX TEE里的代碼不會(huì)因?yàn)閮?nèi)存問(wèn)題被攻破,從內(nèi)外兩個(gè)維度封殺了攻擊者突防的可能性。
3、兼容靈活,實(shí)力碾壓同級(jí)
MesaTEE的第三個(gè)獨(dú)特優(yōu)勢(shì)便是極高的兼容和靈活性。它將WASM和Python執(zhí)行環(huán)境革命性地移植到了SGX TEE里,使得絕大多數(shù)既有云計(jì)算場(chǎng)景能毫不費(fèi)力地運(yùn)行在MesaTEE里。這一點(diǎn)讓MesaTEE完全碾壓了其他可信計(jì)算服務(wù)框架。
開(kāi)創(chuàng)云上數(shù)據(jù)可信流動(dòng)先河,MesaTEE賦能多場(chǎng)景應(yīng)用
MesaTEE的出現(xiàn)讓Intel SGX和FaaS云計(jì)算模型雙方的優(yōu)點(diǎn)有機(jī)結(jié)合,并在其上增加了內(nèi)存安全保障和高兼容性支持,這讓絕大多數(shù)人工智能、無(wú)人駕駛、醫(yī)療、工業(yè)控制、大數(shù)據(jù)分析、網(wǎng)絡(luò)服務(wù)、分布式計(jì)算等場(chǎng)景能很容易地享受到前所未有的FaaS便利和高安全性保障。值得一提的是,MesaTEE的遠(yuǎn)程驗(yàn)證功能還能為用戶自動(dòng)建立客戶端到云端、以及云端服務(wù)器之間的端對(duì)端加密信道,開(kāi)創(chuàng)了云上數(shù)據(jù)可信流動(dòng)通道的先河。
若是已經(jīng)使用過(guò)FaaS服務(wù)的用戶,對(duì)MesaTEE FaaS的服務(wù)方式會(huì)毫不陌生。MesaTEE FaaS的云服務(wù)提供者會(huì)將資源管理、規(guī)模化、監(jiān)控、資費(fèi)等封裝起來(lái),用戶不必操心,只需要提供Rust或者Python的事件處理函數(shù)即可(或者將其他語(yǔ)言的處理函數(shù)編譯成WASM提交)。這些事件處理函數(shù)會(huì)在提前注冊(cè)的事件發(fā)生時(shí)立刻被調(diào)起,并且能在大量事件發(fā)生時(shí)自動(dòng)并發(fā)足夠數(shù)量的實(shí)例進(jìn)行處理。
MesaTEE SGX的出現(xiàn)將大大延展互聯(lián)網(wǎng)信任的技術(shù)邊界,孵化出下?代區(qū)塊鏈、云隱私計(jì)算等多種新型互聯(lián)網(wǎng)業(yè)務(wù),徹底影響云計(jì)算的發(fā)展方向。未來(lái),百度和Intel兩大巨頭將保持進(jìn)一步的合作,一起推動(dòng)可信安全計(jì)算更廣泛的應(yīng)用,也呼吁更多更廣泛的社區(qū)生態(tài)合作。
百度發(fā)布BASS,下一代人工智能安全技術(shù)棧
人臉識(shí)別、語(yǔ)音識(shí)別、無(wú)人駕駛、智慧物聯(lián)……當(dāng)人工智能越來(lái)越多地滲透到我們的衣食住行,帶給人類更多未來(lái)想象的同時(shí),安全問(wèn)題就成了懸在每個(gè)普通人頭上的達(dá)摩克利斯之劍。近幾年來(lái),我們已經(jīng)看到主流的機(jī)器學(xué)習(xí)框架經(jīng)常被曝出安全漏洞,IoT領(lǐng)域也經(jīng)常產(chǎn)生影響數(shù)十億設(shè)備的嚴(yán)重漏洞。現(xiàn)有的安全技術(shù)在本質(zhì)上有著嚴(yán)重的缺陷,難以應(yīng)對(duì)新時(shí)代的挑戰(zhàn)。
為了對(duì)抗這些實(shí)際發(fā)生的、影響巨大的安全問(wèn)題,百度革命性地開(kāi)創(chuàng)了下一代人工智能安全技術(shù)棧(Baidu AI Security Stack,縮寫為BASS),支撐安全事件的高速響應(yīng)與對(duì)抗能力,支持安全防護(hù)層次化,提供軟硬件一體化的核心信任支撐,強(qiáng)調(diào)從強(qiáng)管理向強(qiáng)技術(shù)的轉(zhuǎn)變,同時(shí)確保新安全體系的生態(tài)兼容性。當(dāng)前的BASS技術(shù)棧覆蓋了人工智能產(chǎn)業(yè)鏈的各個(gè)方面,例如OASES KARMA內(nèi)核自適應(yīng)熱修復(fù)技術(shù)、內(nèi)存安全的MesaLock Linux發(fā)行版、MesaLink內(nèi)存安全的下一代TLS通信庫(kù)、OpenRASP下一代云端安全防護(hù)系統(tǒng)、HugeGraph大型圖數(shù)據(jù)庫(kù)、AdvBox機(jī)器學(xué)習(xí)對(duì)抗樣本生成工具、和MesaTEE下一代可信安全計(jì)算服務(wù)框架等等。
未來(lái),BASS還會(huì)與更多開(kāi)源技術(shù)一起形成支撐各個(gè)行業(yè)應(yīng)用的核心安全技術(shù)棧。人工智能時(shí)代,安全成為了所有0前面的1。人工智能技術(shù)的先進(jìn)性和不確定性讓人類獲益的同時(shí),又帶來(lái)一個(gè)危機(jī)四伏的未來(lái)。面對(duì)危機(jī),百度安全將繼續(xù)與生態(tài)伙伴們密切合作,共同應(yīng)對(duì)AI安全時(shí)代嚴(yán)峻的安全挑戰(zhàn)。(作者:陳蕊)
