對於 ChatGPT 等 AI 工具的出現,一些回應是嘗試徹底禁止該服務,無論是在企業層面還是在整個國家。Cloudflare認為不必這樣做。Cloudflare One 的目標是,無論工具位於何處,都讓您能夠安全地使用所需的工具,而不會影響效能。對於 Cloudflare One 中的 Zero Trust 產品的現有使用者來說,本文展示的功能會讓人感覺很熟悉。
Cloudflare One 是一個讓您團隊可以安全地使用網路上最好的工具的平台,不會遇到管理難題或效能挑戰。近期推出Cloudflare One for AI 新功能,讓您的團隊可以用最新的 AI 服務,同時保持 Zero Trust 安全狀態。
和 OpenAI 的 GPT 或 Google 的 Bard 一樣,大型語言模型 (LLM) 包含一個神經網路,該神經網路針對一組資料進行訓練,以根據提示預測和產生文字。使用者可以提出問題、徵求反饋,並依靠該服務來創作從詩歌到 Cloudflare Workers 應用程式等輸出。
這些工具就像現實生活中的一些個人對話一樣,過度分享可能會成為這些 AI 服務的嚴重問題。隨著 LLM 模型的使用案例類型蓬勃發展,這種風險也會成倍增加。這些工具可以幫助開發人員解決困難的編碼挑戰,或幫助資訊工作者從一團糟的筆記中建立簡潔的報告。雖然很有幫助,但輸入提示的每個輸入都會成為不受組織控制的一段資料。因此,AI服務勢不可檔,但卻成為資安上的隱憂。
使用任何方案的 Cloudflare One 客戶現在都可以查看 AI 的使用情況。您的 IT 部門可以部署 Cloudflare Gateway 並被動觀察有多少使用者正在選擇哪些服務,以此開始確定企業授權計畫的範圍。
管理員也可以一鍵封鎖對這些服務的使用,但這並不是我們目前的目標。如果您選擇 ChatGPT 作為核准的模型,並且想要確保團隊成員不會繼續使用替代工具,您可能會想要使用此功能,但我們希望您不要直接封鎖所有這些服務。
Cloudflare 的首要任務是讓您能夠安全地使用這些工具。
當我們的團隊開始嘗試 OpenAI 的 ChatGPT 服務時,我們對它對 Cloudflare 的瞭解感到驚訝。我們要求 ChatGPT 使用 Cloudflare Workers 建立應用程式或指導我們設定 Cloudflare Access 原則,在大多數情況下,結果是準確且有用的。
在某些情況下,結果並不盡如人意。比如 AI 使用了過時的資訊,或者我們對最近才推出的功能提出問題。但值得慶幸的是,這些 AI 可以學習,而我們可以提供幫助。我們可以使用限定範圍的輸入來訓練這些模型,並連接外掛程式,以便在使用 Cloudflare 服務時為我們的客戶提供更好的 AI 引導體驗。
我們瞭解到有一些客戶想要執行相同的操作,像我們一樣,他們需要安全地分享訓練資料,並授予 AI 服務外掛程式存取權。Cloudflare One 的安全套件超越了人類使用者的範圍,使團隊能透過 API 安全地分享對敏感性資料的 Zero Trust 存取。
首先,團隊可以建立服務權杖,外部服務必須提供該服務權杖才能存取透過 Cloudflare One 提供的資料。管理員可以向進行 API 請求的系統提供這些權杖,並記錄每個請求。如有需要,團隊只需按一下即可撤銷這些權杖。
建立並簽發服務權杖後,管理員可以建立原則以允許特定服務存取其訓練資料。這些原則將驗證服務權杖,並可以擴展以驗證國家/地區、IP 位址或 mTLS 憑證。您也可以建立原則,要求人類使用者向識別提供者進行驗證,並在存取敏感訓練資料或服務之前完成 MFA 提示。
當團隊準備好允許 AI 服務連接到其基礎結構時,他們可以使用 Cloudflare Tunnel 來實現這一點,而無需在防火牆中造成漏洞。Cloudflare Tunnel 將建立與 Cloudflare 網路的加密、僅限輸出連線,並將根據為 Cloudflare One 保護的一項或多項服務設定的存取規則檢查每個請求。
利用 Cloudflare 的 Zero Trust 存取控制,您能夠對組織決定向這些工具提供的資料發出的每個請求強制進行驗證。這仍然留下了一個漏洞,您的團隊成員可能會自己過度分享資料。
管理員可以選擇 AI 服務、封鎖影子 IT 替代工具,並小心地控制對其訓練材料的存取,但人類仍然參與這些 AI 實驗。我們任何人都可能會在使用 AI 服務(甚至是經核准的服務)的過程中過度分享資訊而意外導致安全事件。
我們預計 AI 領域將繼續發展,以提供更多資料管理功能,但我們認為您不必等到那個時候才開始採用這些服務作為工作流程的一部分。Cloudflare 的 Data Loss Prevention (DLP) 服務可以提供保護措施,阻止過度分享,避免其成為需要安全團隊處理的事件。
首先,告訴 Cloudflare 您關心哪些資料。Cloudflare 提供簡單、預先設定的選項,讓您能夠檢查看起來像身分證號碼或信用卡號碼的內容。Cloudflare DLP 還可以根據您的團隊設定的規則運算式掃描模式。
在定義不得離開組織的資料後,您就可以建立詳細規則,規定可以如何與 AI 服務分享資料,以及不能如何與 AI 服務分享資料。也許某些使用者被核准嘗試包含敏感性資料的專案,在這種情況下,您可以構建一條規則,僅允許 Active Directory 或 Okta 群組上傳此類資訊,而其他人則被封鎖。
這篇文章中的工具著重於適用於動態資料的功能。我們還希望確保應用程式中的錯誤設定不會導致安全違規。例如,ChatGPT 中的新外掛程式功能將外部服務的知識和工作流程帶入 AI 互動流程中。但是,這也可能導致外掛程式背後的服務具有的存取權限超出您想要授予的權限。
Cloudflare 的雲端存取安全性代理程式 (CASB) 會掃描您的 SaaS 應用程式,以查找使用者進行變更時可能出現的潛在問題。無論是就有人意外在網際網路上公開檔案而向您發出提示,還是檢查您的 GitHub 存放庫是否具有正確的成員資格控制,Cloudflare 的 CASB 都消除了檢查 SaaS 應用程式中每項設定是否存在潛在問題所需的手動工作。
Cloudflare正在努力與熱門的 AI 服務進行新的整合,以檢查錯誤設定,這些整合即將推出。
這些工具的實用性只會加快。AI 服務和產生輸出的能力將繼續使任何背景的構建者更容易創造出下一個偉大的作品。Cloudflare 產品專注於幫助使用者構建應用程式和服務, 讓使用者無需擔心在哪裡部署應用程式或如何擴展服務。Cloudflare 解決了這些令人頭疼的問題,讓使用者可以專注於創作。與 AI 服務相結合,Cloudflare 預計將有數千名新構建者推出基於 Cloudflare 並受到 AI 指導和產生啟發的下一波產品。
目前已經看到使用 ChatGPT 等工具在 Cloudflare Workers 上構建的數十個專案蓬勃發展。Cloudflare 計劃推出與這些模型的新整合,使之更加順暢,為對話體驗帶來更好的 Cloudflare 特定指引。
如果您對於以上資訊,Zero Trust 零信任等,有更多想要了解的地方,歡迎與我們樂雲洽詢!
