9月4日,2018 ABC SUMMIT百度云智峰會“AI安全與安全生態(tài)”分論壇于上海舉辦,本次論壇圍繞AI時代所面臨的全新的安全挑戰(zhàn),細分行業(yè)的安全現(xiàn)狀及未來發(fā)展趨勢,AI時代的生態(tài)建設(shè)等多維度的話題進行分享和探討。峰會現(xiàn)場,百度安全聯(lián)手Intel重磅發(fā)布了全球首個內(nèi)存安全的可信安全計算服務(wù)框架——MesaTEE。
MesaTEE,全球首個內(nèi)存安全的可信計算架構(gòu)
據(jù)介紹,MesaTEE項目作為全球首個內(nèi)存安全的可信安全計算服務(wù)框架,為大勢所趨的“函數(shù)即服務(wù)”(Function-as-a-Service,縮寫FaaS)云計算模式提供革命性安全方案。除具有FaaS的靈活、經(jīng)濟等優(yōu)點外,通過利用Intel SGX技術(shù),云上數(shù)據(jù)代碼的完整性和保密性得到了芯片級的安全保障,且允許用戶遠程對這些安全保護進行驗證。更重要的是,MesaTEE還應(yīng)用了百度安全實驗室的HMS內(nèi)存安全技術(shù),兼具內(nèi)存安全帶來的不可繞過性,這一世界首創(chuàng)的獨特優(yōu)勢讓攻擊者難以突破,提供了無可比擬的安全保障。據(jù)悉,這是目前唯一可遠程驗證且內(nèi)存安全的可信安全計算服務(wù)框架。
百度首席安全科學家韋韜表示,“Intel SGX是自通用計算機出現(xiàn)以來系統(tǒng)安全領(lǐng)域最重要的硬件技術(shù)架構(gòu)變革之一,通過極大的縮短信任鏈使得網(wǎng)絡(luò)空間的信任依賴變得安全可靠;而百度首創(chuàng)的HybridMemorySafety技術(shù)則是第一次在軟件架構(gòu)上保障了實用系統(tǒng)的內(nèi)存安全。MesaTEE SGX是兩者的結(jié)合,將大大延展互聯(lián)網(wǎng)信任的技術(shù)邊界,孵化出下一代區(qū)塊鏈、云隱私計算等多種新型互聯(lián)網(wǎng)業(yè)務(wù)。”
左起:英特爾軟件和服務(wù)集團副總裁Lorie Wigle
百度首席安全科學家韋韜
安全為基,讓開發(fā)者更專注于開發(fā)本身
云計算時代出現(xiàn)了大量XaaS形式的概念,從IaaS、PaaS、SaaS再到大勢所趨的“函數(shù)即服務(wù)” FaaS (Function-as-a-Service)。它們都在試著將各種軟、硬件資源等抽象為一種服務(wù)提供給開發(fā)者使用,讓開發(fā)者不再擔心基礎(chǔ)設(shè)施、資源需求、中間件等,更好地專注于業(yè)務(wù),專注于開發(fā)本身。
MesaTEE是百度和Intel長期以來深入合作的產(chǎn)物之一,它的誕生將徹底影響云計算的發(fā)展方向,對于推動可信安全計算有著重要意義,具體表現(xiàn)在三個方面。
1、保障平臺資源管理,專注云端邏輯
?先,MesaTEE對 FaaS有獨到的支持,讓云用戶不必再為平臺資源管理費?,只需專注于無狀態(tài)的簡單事件處理邏輯的開發(fā)即可。這樣一來,云端邏輯變得?常容易規(guī)模化、維護簡化、事件響應(yīng)迅捷、開銷更低。
2、隔離代碼執(zhí)行,保障數(shù)據(jù)安全
傳統(tǒng) FaaS無法保證云端數(shù)據(jù)和代碼的完整性和保密性,這也成為了不少用戶應(yīng)用采納 FaaS甚?云計算的阻礙。MesaTEE的第二個創(chuàng)新很好地解決了這一難題。通過利用Intel SGX芯片級硬件可信計算技術(shù),MesaTEE能安全地將云用戶的數(shù)據(jù)和代碼執(zhí)行隔離起來,即使云計算環(huán)境里的操作系統(tǒng)、虛擬機管理器(VMM)、或相鄰的其他虛擬機被攻破或作惡,這些數(shù)據(jù)代碼的完整性和保密性都能得到保障。用戶也可以通過遠程地驗證執(zhí)行環(huán)境,確保遠程執(zhí)行的代碼是否符合預(yù)期。除了遠程可驗證的隔離手段,MesaTEE還全球首次在SGX TEE里使用內(nèi)存安全語言和不可繞過編程范式,確保SGX TEE里的代碼不會因為內(nèi)存問題被攻破,從內(nèi)外兩個維度封殺了攻擊者突防的可能性。
3、兼容靈活,實力碾壓同級
MesaTEE的第三個獨特優(yōu)勢便是極高的兼容和靈活性。它將WASM和Python執(zhí)行環(huán)境革命性地移植到了SGX TEE里,使得絕大多數(shù)既有云計算場景能毫不費力地運行在MesaTEE里。這一點讓MesaTEE完全碾壓了其他可信計算服務(wù)框架。
開創(chuàng)云上數(shù)據(jù)可信流動先河,MesaTEE賦能多場景應(yīng)用
MesaTEE的出現(xiàn)讓Intel SGX和FaaS云計算模型雙方的優(yōu)點有機結(jié)合,并在其上增加了內(nèi)存安全保障和高兼容性支持,這讓絕大多數(shù)人工智能、無人駕駛、醫(yī)療、工業(yè)控制、大數(shù)據(jù)分析、網(wǎng)絡(luò)服務(wù)、分布式計算等場景能很容易地享受到前所未有的FaaS便利和高安全性保障。值得一提的是,MesaTEE的遠程驗證功能還能為用戶自動建立客戶端到云端、以及云端服務(wù)器之間的端對端加密信道,開創(chuàng)了云上數(shù)據(jù)可信流動通道的先河。
若是已經(jīng)使用過FaaS服務(wù)的用戶,對MesaTEE FaaS的服務(wù)方式會毫不陌生。MesaTEE FaaS的云服務(wù)提供者會將資源管理、規(guī)模化、監(jiān)控、資費等封裝起來,用戶不必操心,只需要提供Rust或者Python的事件處理函數(shù)即可(或者將其他語言的處理函數(shù)編譯成WASM提交)。這些事件處理函數(shù)會在提前注冊的事件發(fā)生時立刻被調(diào)起,并且能在大量事件發(fā)生時自動并發(fā)足夠數(shù)量的實例進行處理。
MesaTEE SGX的出現(xiàn)將大大延展互聯(lián)網(wǎng)信任的技術(shù)邊界,孵化出下?代區(qū)塊鏈、云隱私計算等多種新型互聯(lián)網(wǎng)業(yè)務(wù),徹底影響云計算的發(fā)展方向。未來,百度和Intel兩大巨頭將保持進一步的合作,一起推動可信安全計算更廣泛的應(yīng)用,也呼吁更多更廣泛的社區(qū)生態(tài)合作。
百度發(fā)布BASS,下一代人工智能安全技術(shù)棧
人臉識別、語音識別、無人駕駛、智慧物聯(lián)……當人工智能越來越多地滲透到我們的衣食住行,帶給人類更多未來想象的同時,安全問題就成了懸在每個普通人頭上的達摩克利斯之劍。近幾年來,我們已經(jīng)看到主流的機器學習框架經(jīng)常被曝出安全漏洞,IoT領(lǐng)域也經(jīng)常產(chǎn)生影響數(shù)十億設(shè)備的嚴重漏洞。現(xiàn)有的安全技術(shù)在本質(zhì)上有著嚴重的缺陷,難以應(yīng)對新時代的挑戰(zhàn)。
為了對抗這些實際發(fā)生的、影響巨大的安全問題,百度革命性地開創(chuàng)了下一代人工智能安全技術(shù)棧(Baidu AI Security Stack,縮寫為BASS),支撐安全事件的高速響應(yīng)與對抗能力,支持安全防護層次化,提供軟硬件一體化的核心信任支撐,強調(diào)從強管理向強技術(shù)的轉(zhuǎn)變,同時確保新安全體系的生態(tài)兼容性。當前的BASS技術(shù)棧覆蓋了人工智能產(chǎn)業(yè)鏈的各個方面,例如OASES KARMA內(nèi)核自適應(yīng)熱修復技術(shù)、內(nèi)存安全的MesaLock Linux發(fā)行版、MesaLink內(nèi)存安全的下一代TLS通信庫、OpenRASP下一代云端安全防護系統(tǒng)、HugeGraph大型圖數(shù)據(jù)庫、AdvBox機器學習對抗樣本生成工具、和MesaTEE下一代可信安全計算服務(wù)框架等等。
未來,BASS還會與更多開源技術(shù)一起形成支撐各個行業(yè)應(yīng)用的核心安全技術(shù)棧。人工智能時代,安全成為了所有0前面的1。人工智能技術(shù)的先進性和不確定性讓人類獲益的同時,又帶來一個危機四伏的未來。面對危機,百度安全將繼續(xù)與生態(tài)伙伴們密切合作,共同應(yīng)對AI安全時代嚴峻的安全挑戰(zhàn)。(作者:陳蕊)
