AI安全态势管理是一种维护人工智能(AI)和机器学习(ML)系统安全性和完整性的综合方法。云安全中心针对AI应用提供应用漏洞检测、资产暴露分析、配置检查、镜像风险扫描等安全检测能力,您可以使用这些工具确保AI应用的合规性和安全性。本文从AI资产梳理和AI应用风险管理两方面介绍云安全中心支持的安全能力。
视频指导
前提条件
如果您是在服务器上创建的AI应用,您需要在服务器上安装云安全中心客户端。具体操作,请参见安装客户端。
AI资产梳理
云安全中心可以自动并持续发现阿里云以下服务中部署的AI应用:
云服务器ECS。
人工智能平台PAI:通过PAI平台创建的镜像及部分实例,例如交互式建模的DSW实例、模型在线服务实例等。
查看服务器中的AI组件
云安全中心资产指纹调查功能支持采集服务器上的AI组件信息。更多信息,请参见资产指纹调查。
在云安全中心控制台页面的AI组件页签,您可以查看服务器资产中存在的AI组件列表。
查看人工智能平台PAI资产
在云产品页面查看PAI资产
云安全中心支持实时同步阿里云人工智能平台PAI的云产品数据。
在云安全中心控制台页面,在搜索框中将标签选择为AI应用,即可查看PAI平台的资产列表及其风险状态。更多信息,请参见查看云产品信息。
在仓库镜像页面查看容器镜像资产
开通镜像安全扫描功能后,云安全中心会自动同步阿里云容器镜像服务的镜像仓库,并自动识别通过PAI平台创建的容器镜像资产。
在云安全中心控制台页面的仓库镜像页签,通过在搜索条件组件中选择,可查看人工智能平台PAI相关的镜像仓库列表及其风险状态。更多信息,请参见查看镜像信息。
AI应用风险管理
查看待处理AI风险
云安全中心支持在控制台总览页,提供待处理的AI安全风险的统计数据,帮助您获取不同维度的AI应用风险。在AI安全风险面板,您可以单击立即处理前往对应模块,以便及时治理风险收敛暴露面。
AI应用漏洞
云安全中心支持检测并集中展示ollama、lm-studio等多种AI组件中存在的漏洞。AI应用相关漏洞可能会导致数据泄露或未经授权访问AI模型和资源,建议您及时关注并手动处理此类漏洞。
在云安全中心控制台页面的应用漏洞页签,选中仅显示AI相关漏洞,即可查看AI应用中存在的漏洞。更多信息,请参见查看和处理漏洞。
公网暴露AI组件
云安全中心支持识别在服务器中部署的AI应用是否存在公网暴露风险,可以帮助您识别AI资产在公网的暴露面,以便您及时采取措施避免AI应用遭受攻击。更多信息,请参见资产暴露分析。
在云安全中心控制台页面,单击AI应用组件区域下的数字,可在AI应用组件面板查看在互联网暴露的AI应用列表。
云安全中心将自动为包含AI组件的资产标记AI应用标签。在有AI应用标签的资产操作列单击暴露详情,可查看资产暴露的详细信息。云安全中心将以蓝色下划线标记AI组件。
AI配置风险
云安全中心提供针对AI资产的安全配置风险自动化检测能力。云产品配置风险检查功能依托阿里云AI安全实践,覆盖人工智能平台PAI的AI应用组件的关键安全配置项检测,包括以下方面:
权限管理:执行最小权限原则审计。
访问控制:检测公网暴露风险及白名单配置。
服务配置:验证敏感操作保护机制。
在云安全中心控制台页面的云产品配置风险页签,单击全部检查项区域的AI配置管理(AI-SPM),可查看AI配置管理相关检查项及检查结果。未通过检查项治理的具体操作,请参见查看并处理未通过检查项。
镜像安全扫描
云安全中心支持扫描通过人工智能平台PAI创建的容器镜像风险,包括镜像漏洞风险、镜像基线检查、镜像恶意样本、镜像敏感文件等。除了基础的镜像安全扫描能力外,云安全中心支持识别镜像中存在的AI服务API调用密钥的明文存储风险,例如OpenAI相关密钥、阿里云PAI-EAS服务Token等。
在云安全中心控制台页面,可查看镜像中存在的安全风险。在对应风险的详情页面,云安全中心将自动为通过PAI创建的镜像标记PAI标签。更多信息,请参见查看扫描出的镜像风险及修复说明。
无代理检测扫描风险
云安全中心提供无代理检测功能,可全面扫描安装AI组件的云服务器ECS中存在的安全风险,包括漏洞风险、基线检查、恶意样本、敏感文件。除了基础的安全风险扫描能力外,云安全中心支持对服务器中存在AI API调用相关敏感信息明文存储的识别,例如OpenAI相关密钥、阿里云PAI-EAS服务Token等。更多信息,请参见无代理检测。
在云安全中心控制台页面,可查看ECS中存在的风险检测结果。