DEV Community

Cover image for Security for AI
Huy Dang
Huy Dang

Posted on

Security for AI

#ai #security #aws

1. Hoàn cảnh ra đời bài viết

  • Dạo gần đây khi các khách hàng của tôi sử dụng AI nhiều hơn, họ xây dựng và sử dụng các nền tảng AI platform nhiều hơn thì câu hỏi đặt ra là làm thế nào để kiểm soát và bảo mật những thứ mới mẻ đó. Từ thực tế đó nên bài viết này ra đời ghi lại nhưng suy nghĩ và tìm hiểu của tôi về vấn đề này.

2. Sử dụng các dịch vụ sẵn có của nhà cung cấp AWS để tăng cường khả năng bảo mật

2.1. IAM

  • Cái gì quan trọng thì nên nói trước và nói lại 3 lần. Việc phân quyền luôn là tiêu chí được đặt lên hàng đầu.
  • AWS IAM & IAM Roles: Cấu hình chi tiết (fine-grained access control) để đảm bảo một AI Agent hoặc một Notebook chỉ có quyền truy cập vào đúng bucket S3 chứa dữ liệu nó cần, không hơn không kém. AWS IAM Identity Center: Quản lý SSO và phân quyền tập trung cho các đội ngũ phát triển AI, đảm bảo tuân thủ các chính sách truy cập của tổ chức.

2.2. Data Privacy & Sovereignty

  • Amazon Macie: Tự động quét và phát hiện các dữ liệu nhạy cảm (PII, dữ liệu tài chính) nằm trong các bucket S3 trước khi chúng được đưa vào pipeline huấn luyện AI.
  • AWS KMS (Key Management Service): Mã hóa toàn bộ dữ liệu. Trong các kiến trúc Enterprise, việc sử dụng Customer Managed Keys (CMK) là bắt buộc để kiểm soát hoàn toàn vòng đời của khóa.
  • AWS Clean Rooms: Rất hữu ích nếu cần hợp tác huấn luyện mô hình ML với đối tác bên ngoài mà không muốn chia sẻ dữ liệu gốc, đảm bảo tính tuân thủ pháp lý.Link tham khảo

2.3. Platform Security & DLP

  • Amazon Bedrock (Dành cho GenAI): Kiến trúc của Bedrock mặc định rất bảo mật. Dữ liệu prompt của khách hàng và dữ liệu doanh nghiệp không bao giờ được sử dụng để huấn luyện lại các foundation models (base models) của nhà cung cấp. Dữ liệu này nằm gọn trong môi trường của doanh nghiệp.

  • Amazon Bedrock Guardrails: Dịch vụ cho phép thiết lập các bộ lọc nội dung (toxicity, hate speech), ngăn chặn các hành vi prompt injection (tấn công lừa AI), và tự động ẩn/xóa (redact) thông tin PII ngay trong câu trả lời của AI trước khi trả về cho người dùng.

  • Amazon SageMaker (Dành cho Custom ML): Hỗ trợ triển khai hoàn toàn trong Amazon VPC (Virtual Private Cloud). Quản trị viên có thể sử dụng AWS PrivateLink để API gọi đến mô hình AI không bao giờ đi qua public internet, đảm bảo trao đổi dữ liệu luôn nằm trong hạ tầng của tổ chức.

2.4. SOC/SIEM Integration

  • AWS CloudTrail: Ghi log mọi lệnh gọi API liên quan đến các dịch vụ AI (ai đã gọi mô hình nào, khi nào, từ IP nào) để phục vụ quá trình audit và điều tra sự cố.

  • Amazon GuardDuty: Phát hiện các hành vi bất thường (Threat Detection). Ví dụ: phát hiện một lượng lớn dữ liệu bị tải xuống từ bucket S3 chứa training data, hoặc một API Bedrock bị gọi từ một IP đáng ngờ.

  • AWS Security Hub: Tập trung toàn bộ các cảnh báo bảo mật từ Macie, GuardDuty và kiểm tra (CSPM) xem cấu hình của SageMaker/Bedrock đã chuẩn best practice chưa. Toàn bộ log này có thể forward về các nền tảng SIEM của doanh nghiệp để đội SOC xử lý.

3. Sử dụng các dịch vụ của các hãng Security

3.1. Lớp Edge: Bảo vệ biên mạng & API
Giải pháp: F5 Distributed Cloud (DDoS, Bot Defense, API Security).

Triển khai trên AWS:

-Mô hình SaaS: Trỏ Route 53 qua F5 XC Global Network để lọc Volumetric DDoS và chặn Bot cào dữ liệu trước khi traffic chạm đến AWS ALB hoặc API Gateway.

-Mô hình VPC Hub: Triển khai F5 Customer Edge (CE) Node (dưới dạng EC2) vào Security VPC. Kết hợp với AWS Transit Gateway để làm chốt chặn API tập trung, giám sát toàn bộ traffic đi vào các spoke VPC chứa workload AI.

3.2. Lớp Microservices: Bảo vệ cụm tính toán nội bộ
Giải pháp: F5 WAF for NGINX.

Triển khai trên AWS:

-Cài đặt NGINX Plus Ingress Controller trên Amazon EKS.
-Nhúng module NGINX App Protect (WAF) ngay tại Ingress hoặc sidecar để chặn các payload độc hại nhắm vào logic ứng dụng.
-Sử dụng NGINX để bắt buộc mã hóa mTLS cho luồng dữ liệu East-West giữa các microservices (VD: Backend App ➔ Vector DB).

3.3. Lớp Model: Kiểm soát tương tác LLM
Giải pháp: F5 AI Guardrails, F5 AI Red Team.

Triển khai trên AWS:

-F5 AI Guardrails (Inline): Cấu hình như một Proxy đứng giữa Backend App và Amazon Bedrock / SageMaker. Chịu trách nhiệm quét Real-time để chặn Prompt Injection và tự động che giấu (masking) dữ liệu PII/DLP trước khi gửi cho LLM.

-F5 AI Red Team (DevSecOps): Tích hợp qua API vào AWS CodePipeline hoặc CI/CD pipeline. Tự động chạy các kịch bản tấn công giả lập (jailbreak) vào môi trường staging và tự động push các rule phòng ngự (Active Guardrails) về lại F5 XC hoặc NGINX.


** Vẫn đang tiếp tục nghiên cứu **

Top comments (0)