9月4日,2018 ABC SUMMIT百度雲智峰會 “AI安全與安全生態”分論壇於上海舉辦,本次論壇圍繞AI時代所面臨的全新的安全挑戰,細分行業的安全現狀及未來發展趨勢,AI時代的生態建設等多維度的話題進行分享和探討。峰會現場,百度安全聯手Intel重磅發佈了全球首個內存安全的可信安全計算服務框架——MesaTEE。
MesaTEE,全球首個內存安全的可信計算架構
據介紹,MesaTEE項目作為全球首個內存安全的可信安全計算服務框架,為大勢所趨的“函數即服務”(Function-as-a-Service,縮寫FaaS)雲計算模式提供革命性安全方案。除具有FaaS的靈活、經濟等優點外,通過利用Intel SGX技術,雲上數據代碼的完整性和保密性得到了芯片級的安全保障,且允許用戶遠程對這些安全保護進行驗證。更重要的是,MesaTEE還應用了百度安全實驗室的HMS內存安全技術,兼具內存安全帶來的不可繞過性,這一世界首創的獨特優勢讓攻擊者難以突破,提供了無可比擬的安全保障。據悉,這是目前唯一可遠程驗證且內存安全的可信安全計算服務框架。
百度首席安全科學家韋韜表示,“Intel SGX是自通用計算機出現以來系統安全領域最重要的硬件技術架構變革之一,通過極大的縮短信任鏈使得網絡空間的信任依賴變得安全可靠;而百度首創的Hybrid Memory Safety技術則是第一次在軟件架構上保障了實用系統的內存安全。MesaTEE SGX是兩者的結合,將大大延展互聯網信任的技術邊界,孵化出下一代區塊鏈、雲隱私計算等多種新型互聯網業務。”
安全為基,讓開發者更專注於開發本身
雲計算時代出現了大量XaaS形式的概念,從IaaS、PaaS、SaaS再到大勢所趨的“函數即服務” FaaS (Function-as-a-Service)。它們都在試著將各種軟、硬件資源等抽象為一種服務提供給開發者使用,讓開發者不再擔心基礎設施、資源需求、中間件等,更好地專注於業務,專注於開發本身。
MesaTEE是百度和Intel長期以來深入合作的產物之一,它的誕生將徹底影響雲計算的發展方向,對於推動可信安全計算有著重要意義,具體表現在三個方面。
1、保障平臺資源管理,專注雲端邏輯
⾸先,MesaTEE 對 FaaS 有獨到的支持,讓雲用戶不必再為平臺資源管理費⼼,只需專注於無狀態的簡單事件處理邏輯的開發即可。這樣一來,雲端邏輯變得⾮常容易規模化、維護簡化、事件響應迅捷、開銷更低。
2、隔離代碼執行,保障數據安全
傳統 FaaS 無法保證雲端數據和代碼的完整性和保密性,這也成為了不少用戶應用採納 FaaS 甚⾄雲計算的阻礙。MesaTEE 的第二個創新很好地解決了這一難題。通過利用Intel SGX芯片級硬件可信計算技術,MesaTEE能安全地將雲用戶的數據和代碼執行隔離起來,即使雲計算環境裡的操作系統、虛擬機管理器(VMM)、或相鄰的其他虛擬機被攻破或作惡,這些數據代碼的完整性和保密性都能得到保障。用戶也可以通過遠程地驗證執行環境,確保遠程執行的代碼是否符合預期。除了遠程可驗證的隔離手段,MesaTEE還全球首次在SGX TEE裡使用內存安全語言和不可繞過編程範式,確保SGX TEE裡的代碼不會因為內存問題被攻破,從內外兩個維度封殺了攻擊者突防的可能性。
3、兼容靈活,實力碾壓同級
MesaTEE的第三個獨特優勢便是極高的兼容和靈活性。它將WASM和Python執行環境革命性地移植到了SGX TEE裡,使得絕大多數既有云計算場景能毫不費力地運行在MesaTEE裡。這一點讓MesaTEE完全碾壓了其他可信計算服務框架。
開創雲上數據可信流動先河,MesaTEE賦能多場景應用
MesaTEE的出現讓Intel SGX和FaaS雲計算模型雙方的優點有機結合,並在其上增加了內存安全保障和高兼容性支持,這讓絕大多數人工智能、無人駕駛、醫療、工業控制、大數據分析、網絡服務、分佈式計算等場景能很容易地享受到前所未有的FaaS便利和高安全性保障。值得一提的是,MesaTEE的遠程驗證功能還能為用戶自動建立客戶端到雲端、以及雲端服務器之間的端對端加密信道,開創了雲上數據可信流動通道的先河。
若是已經使用過FaaS服務的用戶,對MesaTEE FaaS的服務方式會毫不陌生。MesaTEE FaaS的雲服務提供者會將資源管理、規模化、監控、資費等封裝起來,用戶不必操心,只需要提供Rust或者Python的事件處理函數即可(或者將其他語言的處理函數編譯成WASM提交)。這些事件處理函數會在提前註冊的事件發生時立刻被調起,並且能在大量事件發生時自動併發足夠數量的實例進行處理。
MesaTEE SGX的出現將大大延展互聯網信任的技術邊界,孵化出下⼀代區塊鏈、雲隱私計算等多種新型互聯網業務,徹底影響雲計算的發展方向。未來,百度和Intel兩大巨頭將保持進一步的合作,一起推動可信安全計算更廣泛的應⽤,也呼籲更多更廣泛的社區生態合作。
百度發佈BASS,下一代人工智能安全技術棧
人臉識別、語音識別、無人駕駛、智慧物聯……當人工智能越來越多地滲透到我們的衣食住行,帶給人類更多未來想象的同時,安全問題就成了懸在每個普通人頭上的達摩克利斯之劍。近幾年來,我們已經看到主流的機器學習框架經常被曝出安全漏洞,IoT領域也經常產生影響數十億設備的嚴重漏洞。現有的安全技術在本質上有著嚴重的缺陷,難以應對新時代的挑戰。
為了對抗這些實際發生的、影響巨大的安全問題,百度革命性地開創了下一代人工智能安全技術棧(Baidu AI Security Stack,縮寫為BASS),支撐安全事件的高速響應與對抗能力,支持安全防護層次化,提供軟硬件一體化的核心信任支撐,強調從強管理向強技術的轉變,同時確保新安全體系的生態兼容性。當前的BASS技術棧覆蓋了人工智能產業鏈的各個方面,例如OASES KARMA內核自適應熱修復技術、內存安全的MesaLock Linux發行版、MesaLink內存安全的下一代TLS通信庫、OpenRASP下一代雲端安全防護系統、HugeGraph大型圖數據庫、AdvBox機器學習對抗樣本生成工具、和MesaTEE下一代可信安全計算服務框架等等。
未來,BASS還會與更多開源技術一起形成支撐各個行業應用的核心安全技術棧。人工智能時代,安全成為了所有0前面的1。人工智能技術的先進性和不確定性讓人類獲益的同時,又帶來一個危機四伏的未來。面對危機,百度安全將繼續與生態夥伴們密切合作,共同應對AI安全時代嚴峻的安全挑戰。
閱讀更多 姚科技 的文章
