安全防护
概述
在构建云上基础设施的过程中,确保环境的稳定与安全是所有创新的基石。本文旨在系统性地梳理AI技术在基础设施、模型及应用层面面临的核心安全挑战,并结合业界领先的安全框架与阿里云的最佳实践,提供一套端到端、全生命周期的安全防护方案。我们的目标是通过可信、可控的技术手段,保障您的AI业务在高速发展的同时,构筑坚实的安全防线。
背景与挑战
随着AI技术的持续火热,安全事件频发,保护AI资产已成为企业发展的关键。从根本上说,AI安全挑战贯穿了从基础设施到模型再到应用的每一个环节,具体可分为以下三个维度:
AI基础设施风险
AI的运行依赖于稳固的基础设施,但这一层也面临着严峻的传统与新型安全风险的叠加挑战。
系统与数据层面:攻击者不仅会利用系统漏洞植入后门,导致凭证和数据泄露;还会滥用宝贵的算力资源进行挖矿等非法活动。更隐蔽的威胁是“数据投毒”,通过在训练阶段注入恶意样本,从源头上破坏模型的可靠性。
网络与身份层面:网络隔离失效可能导致攻击者在内网横向移动,造成更大范围的破坏。同时,API接口的滥用、访问令牌的泄露以及内部人员的越权访问,都可能为数据窃取和系统瘫痪打开方便之门。
AI模型风险
作为AI系统的“大脑”,模型本身已成为新型攻击的重灾区,其风险主要集中在合规与数据安全两个方面。
合规治理挑战:攻击者可以构造恶意内容(如包含恶意代码的文件)作为输入,对AI系统本身进行攻击。同时,通过“越狱提示词”等手段,可以诱导模型生成色情、暴力等非法或不道德的违规内容。此外,模型自身产生的“幻觉”现象,也可能引发法律和伦理风险。
模型数据安全:模型在交互过程中可能会无意间泄露其训练数据中的敏感信息。攻击者可以通过精心设计的提示词,如“奶奶漏洞”,从模型中“套取”如正版软件序列号、个人隐私等关键信息。
AI应用风险
在应用层面,传统的Web安全风险依然存在,并与AI场景下的新威胁相结合,形成了更复杂的攻击面。
资源消耗型攻击:攻击者可通过构造大量消耗计算资源的请求与大模型交互,进行DDoS攻击,不仅影响正常用户服务,还会带来高昂的计算成本。
传统Web攻击:针对AI服务的Web界面,SQL注入、XSS等传统网络攻击手段依然有效。
智能化内容爬取:新型的“AI爬虫”能更智能地模拟人类行为,大规模抓取受版权保护的内容用于训练其他模型或商业用途,给内容原创者带来巨大损失。
具体方案
AI基础设施与应用安全方案
围绕系统安全、数据安全、网络安全、身份安全、应用安全的风险,需要建立纵深防护体系,涵盖从操作系统到应用的整个技术栈。
系统安全
系统安全防护的核心是围绕资产、漏洞、安全配置建立全方位的检测和监控机制,重点就是做好AI资产的识别和AI漏洞的检测,以便能够形成完善的安全态势感知。
基线检查:使用CIS基准、云平台最佳实践等安全配置标准对系统进行检查,利用自动化工具(AI-SPM)进行逐项匹配。
配置优化:移除或禁用容器镜像、虚拟机及宿主机操作系统上不必要的服务、端口和用户。
漏洞扫描:定期对主机、容器、Serverless等环境进行漏洞扫描,及时发现和修复已知漏洞。
资产管理:建立并维护AI 物料清单(AI-BOM),清晰掌握所有AI组件的来源和依赖关系,以便在出现漏洞时快速定位影响范围。
运行时保护:在主机和网络层部署监控系统,检测异常行为(如异常进程、可疑网络连接、密码爆破等)。部署容器运行时的安全工具,监控容器行为,防止容器逃逸等攻击。
镜像扫描:在CI/CD流水线中集成自动化安全扫描(SAST、SCA、容器扫描),只有通过安全检查的代码和镜像才能进入下一阶段。
可信任源:建立内部授信的模型仓库,对引入的第三方预训练模型进行严格的安全评估和扫描。
数据安全
数据安全防护的核心是敏感数据识别和处理,通过加密、脱敏以及异常行为审计等方式,对数据库、存储、大数据中的敏感数据进行识别,联动应用的读写行为,监控敏感数据的流转,避免泄露。
传输加密:确保数据在网络传输过程中(如节点间通信)使用TLS等加密协议。
静态加密:对训练数据、模型文件等静态数据进行加密存储。
数据识别:对AI LZ涉及到的数据库、存储、大数据等组件中存储的数据进行敏感数据识别,按照不同敏感等级进行标注,便于后续的数据处理
数据脱敏:对于部分训练中不需要使用到完整敏感数据的情况,可通过脱敏算法进行特殊处理,避免完整信息被直接使用(如手机号,对中间四位数字加*)
数据审计:针对敏感数据的异常读写行为进行审计和告警
网络安全
网络安全防护的核心是隔离和访问控制,通过黑、白名单机制,严格控制内网和公网的流量、内网横向的互访流量,避免未授权的访问流量,也减少入侵后的风险扩散半径。
区域隔离:将AI基础设施划分为独立的安全域(如训练集群、推理服务区、数据存储区),通过防火墙、网络ACL、主机安全组的网络安全策略严格控制域间通信,遵循最小权限原则。
公网管控:针对训练集群需要访问公网的场景做严格的白名单限制(如仅开发对Github.com、Aliyun.com的主动访问)
身份安全
身份安全防护的核心是认证和权限管控,通过统一登录/认证、MFA等原则和技术手段,确保每个用户在其自身职责范围内仅拥有最小权限,避免越权访问和凭据泄露后的风险扩大。
统一认证:使用IAM、Active Directory等统一认证系统进行统一的身份管理和生命周期管理。
权限隔离:为用户、运维、财务等账户分配完成其任务所必需的最小权限。例如,数据科学家不需要生产环境的写入权限。
操作审计:通过堡垒机对需要访问的资源进行统一纳管,实现权限管控和操作审计。
凭据管理:将所有API密钥、密码、证书等敏感信息存储在专业的密钥管理工具(如Aliyun KMS、AWS Secrets Manager)中,杜绝在代码或配置文件中硬编码
零信任:通过SASE实现终端安全管理,对基础设施运维人员、数据分析师、三方服务商等不同身份的人员、设备进行管控,包括设备、账号、权限的一致性,终端设备的环境风险,终端上的数据外发管控等。
应用安全
应用安全防护的核心和传统LZ基本保持一致,通过DDoS、WAF等安全产品,保护AI应用暴露在公网上的API接口以及Web服务。
抗DDoS:部署DDoS防护能力,针对流量型攻击、资源型攻击进行清洗
Web防护:标准的Web应用防护,针对SQL注入、XSS等Web攻击进行拦截
API安全:识别异常流量(如来自单一IP的海量查询、异常的请求时序等)、API风险检测(如未授权、弱口令、信息泄露等)
产品推荐
产品 | 能力 | 优势 | 覆盖风险 |
云安全中心 | AI-BOM、AI-SPM、CWPP等 | 从主机安全、容器安全延伸至Serverless、PAI、灵骏智算等AI原生工作负载,支持Agentbase与Agentless双模式,实现对AI模型训练集群、推理服务及云原生资产的全生命周期防护,提供真正的算力平台统一防护能力。 | 系统安全 |
数据安全中心 | 敏感数据识别、UEBA | 为云上数据源提供一体化的敏感数据识别、脱敏、加密、审计能力。支持常见的结构化数据、非结构化数据和大数据产品,例如对象存储OSS、云数据库RDS、MaxCompute等。 | 数据安全 |
云防火墙 | 南北向、东西向访问控制 | 支持纳管所有公网资产、支持CEN/CEN-TR所有横向流量的访问控制,云上南北向、东西向流量一键接入防护。 | 网络安全 |
KMS | 云产品落盘加密、凭据托管 | 针对云上90+产品提供加密能力,覆盖模型数据准备、模型训练与微调、模型应用与部署三个阶段。通过自动轮转、一键开通等原生优势,提供便捷的凭据管理。 | 数据安全 |
IDaaS | 身份认证、统一登录、MFA | 支持多云场景下的无AK方案,大模型应用可通过临时凭据访问云资源,根据场景动态调整访问权限,避免权限常驻,支持在整个链路中不使用永久凭证提升安全性。 | 身份安全 |
堡垒机 | 运维审计、权限管控 | 为AI资产提供便捷云上运维体验,轻量化部署、多VPC一键连通运维,云上资产深度集成,资产、凭据自动同步,特权账号智能识别。 | 身份安全 |
SASE | DLP、终端准入、零信任 | 将安全能力下沉至终端(PC、手机等),为多分支或门店、远程和移动办公场景的企业客户,提供即开即用的远程零信任访问、内网访问行为审计、办公数据保护、办公网准入等能力 | 身份安全 |
WAF | Web应用防护、API安全 | 针对AI业务敏感数据流转实现全线监控,不仅能秒级发现大模型相关的API资产,也能自动化探测隐私数据泄露风险,满足合规要求 | 应用安全 |
DDoS | DDoS攻击清洗 | 部署简便、BGP网络质量高时延小、防护能力大、系统稳定可用、防护精准,以及先进的AI智能防护技术 | 应用安全 |
最佳实践架构图
AI模型安全防护方案
AI模型防护实际由两部分组成,一部分是模型内生安全能力,即模型本身在训练、微调过程中对自身输入、输出的不断完善;另一部分是模型外挂安全能力,阿里云称为AI安全护栏。模型内生安全能力由模型供应商负责,我们重点讨论AI安全护栏的相关方案。
合规治理
提示词攻击检测:针对生成式AI的注入式攻击,精准识别越狱指令、角色扮演诱导、系统指令篡改等对抗性攻击行为。
内容合规检测:对生成式AI输入输出的文本内容进行多维度合规审查,覆盖涉政敏感、色情低俗、偏见歧视、不良价值观等风险类别,确保AI生成内容符合法律法规与平台规范。
数据安全
敏感内容检测:深度检测AI交互过程中可能泄露的隐私数据与敏感信息,支持涉及个人隐私、企业隐私等敏感内容的识别,防范训练数据泄露与对话信息外溢风险。
可信计算:基于硬件级TEE的安全计算环境(如Intel TDX),确保数据 在传输和计算过程中始终处于加密隔离的“飞地”中,防止未授权访问或篡改。通过双向远程证明技术 (如DCAP),业务后端可实时验证MaaS的TEE环境完整性,包括硬件平台、操作系统及应用的预期 状态,确保计算环境未被篡改。
产品推荐
围绕AI模型的风险管控核心就是对输入、输出的检测能力,AI安全护栏从提示词攻击、敏感内容检测、内容合规检测三个方面,完整覆盖了AI 输入、输出的所有风险场景,一站式解决AI模型的防护方案。
总结
构建安全可信的AI Landing Zone是一项超越单点防御的系统性工程。面对从基础设施到上层应用、从传统漏洞到新型AI攻击的复合性挑战,我们必须采取“纵深防御”与“原生安全”相结合的策略,构建覆盖AI全链路的分层防护体系。这套体系不仅旨在抵御当前威胁,更致力于打造具备韧性与弹性的安全架构,为AI技术的长期、健康与可持续发展保驾护航。
