识别和保护 AI 工作负载

了解为什么 AI 工作负载需要一种新的云安全方法

当您云环境中最具创新性的部分也成为最易受工具的部分时，会发生什么？对于现今的数字世界而言，如果说云是操作系统，那么 AI 便已化作其自由模式：灵活、富有创造力且威力无穷，但若稍有不慎，便极易崩溃。

加速 AI 创新的自由度也带来了巨大的风险。根据 Tenable Cloud Research 提供的数据，70% 利用 AI 服务的云工作负载至少包含一个配置错误或严重漏洞。请务必慎重考虑。

AI 管道并非由安全团队部署，而是由开发人员、数据科学家和 ML 工程师创建和管理。在此过程中，这些团队意外地成为了整个 AI 生态系统的管理者。他们会启动 GPU 实例、附加特权服务帐户、连接数据存储和配置往往未经审查的身份权限。在许多情况下，建立 AI 的人最终会掌握关键控制权，即便他们最初并无此意。

在训练管道、托管笔记本、对象存储、模型注册、矢量数据库以及将它们联系在一起的身份信息中，隐藏的弱点会不断积累。这些弱点悄然形成了企业中增长最快、最不为人所知的攻击面之一。即使是最简单的配置选择，如笔记本电脑是否可以直接访问互联网或是否对模型存储进行加密，也可能无意中打开暴露风险之门。

安全领导者不再询问："我们在云中使用了 AI 吗？" 这个问题已经抛却脑后了。 他们正面临一个更为棘手的现实：“我们如何保护那些看不见、无法分类甚至不知道自己已部署的东西？”

此问题一般并非粗心大意，而是在于透明度。云 AI 所营造的是简单易用的假象。表面看似平静、流畅且相当抽象，但在这抽象背后，却潜藏着自动化、继承的默认设置、身份蔓延和看不见的特权等深层因素，使得实时检测暴露的形成变得非常困难。 这些层次掩盖了风险的有害组合。一个可公共访问的模型商店看似无害，但如果涉及特权过高的服务帐户或未加密存储的敏感训练数据就不同了。真正的暴露风险，并非源于其中任何一个问题的单独作祟，而是这些问题彼此交汇才会形成。传统的扫描和策略检查当初的设计初衷并非为这种系统设计的。 结局无可避免。AI 演进速度，已然超越了专为保护它而设的安全控制措施，创新和防护之间的缺口正在与日俱增。

良好安全性的体现：弥合可见性缺口

如果安全团队能像雄鹰一样洞察秋毫，俯视一切，云安全的面貌将大为改观。他们会看到：AI 工作负载在几分钟内乍隐乍现；身份权限在悄无声息中日积月累；模型工件在存储层间流转漂移，敏感数据流入早已无人记得配置过的服务中。他们还将看到模型如何训练、输出在哪里编写以及哪些云服务在幕后交互的完整脉络。 他们还会看到如何训练模型的完整谱系、输出写入何处以及幕后有哪些云服务在协同运作。这将提供揭示大多数团队从未意识到的风险的视角。

从这个制高点来看，真正的风险便一览无余。如果无法从这个高度审视风险，风险便会隐藏在让云 AI 看似简洁的抽象外衣之下。

要弥合 AI 创新与 AI 安全之间的缺口，要从具备这种可见性开始。随着模型经过训练、调整和重新部署，脚下的环境也在不断变化。出现新的存储连接。服务帐户获得特权。托管式 AI 服务继承了无人审查的默认设置。各种配置错误会悄无声息地累积，直至形成一条暴露风险路径。

为了在 AI 快速演进的同时保障 AI 安全，企业需要重新诠释何为“良好”标准。“良好”意味着全面了解 AI 管道的构建方式及其行为模式。也就是，了解哪些身份能够访问哪些数据，哪些工作负载会引入敏感信息，模型资产流向何处，以及哪些漏洞、特权与暴露风险的组合实际上至关重要。这也意味着通过上下文而不是无效警报对风险进行优先级分析。

最重要的是，这意味着采用一种持续评估、验证和实施的模式。AI 环境瞬息万变，无法进行时间点扫描或静态配置检查。安全必须跟上部署的步伐，而不是反过来。

这是确保云中 AI 安全的基础；提升可见性、理解上下文和持续验证。采用此措施后，企业终于可以被动应对 AI 暴露风险转向主动防御。

从挑战到可操作的实践

既然我们已经了解了 AI 环境的发展速度和复杂性，下一步就是建立带来可预测性和可控性的实践。

确保云中 AI 工作负载安全的最佳实践

一旦企业了解了 AI 工作负载的动态变化情况和相互关联性，下一步就是采取正确的措施加以保护。强大的 AI 安全并不是要减缓创新步伐。这就是要为开发人员、ML 或深度学习工程师以及安全团队提供一个共享的基础，旨在降低风险而不妨碍推进速度。

以下是最重要的核心做法。

1. 持续发现云中的每个 AI 资源

AI 工作负载分散在服务、存储、管道、注册表、API 和托管服务中。 此外，这些工作负载快速乍隐乍现。第一个最佳实践是持续发现 AI 生命周期中的每个组成部分。这些组成部分包括训练管道、模型存储库、AI 训练和推理计算服务、向量数据库、推理端点以及为其提供数据的数据存储。这还意味着要跟踪这些服务如何连接、模型流向何处以及所依赖哪些云服务。

可见性不是一次性活动。AI 安全始于持续发现。

2. 对进出 AI 系统的数据进行分类

AI 工作负载的安全性仅取决于其所使用的数据。企业需要自动化的精细分类，在敏感的训练数据、受监管的信息、专有知识产权和生产数据集进入模型管道之前对其进行识别。识别敏感的训练数据是发现全部 AI 工作负载及其部署风险并确保其安全的第一步。如此可以防止出现意外暴露风险、数据泄漏和无意中对高风险信息进行模型训练。强大的 AI 安全还得益于对检测到的数据示例而非高级标签具备可见性。

如果看不到数据，就无法控制数据如何塑造您的模型，或如何将您的业务置于暴露风险之下。

3. 了解 AI 工作流中的身份和特权关系

AI 服务依赖于服务帐户、令牌和授权，这些资源往往会迅速超出其最初用途的范围。每个 GPU 作业、笔记本、管道或计划任务都会引入新的权限。安全团队必须清楚了解每个 AI 资源的访问者及其权限，以及哪些特权是从其他地方默认继承的。这种可见性不仅包括对模型的访问，还包括流经这些系统的训练和生产数据，以及 AI 工作负载本身所依赖的身份。

强大的 AI 安全以身份安全机制为基础。身份控制薄弱是导致模型遭入侵或数据被盗的最快途径。

4. 根据上下文而非数量对 AI 风险进行优先级分析

AI 工作负载会产生大量无效警报。并非每个漏洞或配置错误都同样重要。真正的危险来自于暴露风险的交织：敏感数据与权特权过高的角色相结合，或者可从公共网络访问易受攻击的工作负载。上下文优先级分析认识到，影响 AI 框架或工具的漏洞必须通过谁可以利用这些漏洞以及这些漏洞如何连接到关键资产的视角来评估。

企业需要能反映真实攻击路径的优先级分析，而不是静态的问题列表。当安全团队知道哪些暴露风险很重要以及为什么重要时，就能提高安全性。

5. 从静态检查转向持续验证

AI 环境的演进速度是传统安全工具无法比拟的。新的模型、新的数据集和新的管道步骤可能会在一夜之间带来暴露风险。各企业必须采取持续验证的方式，监控态势变化，执行防护机制，并确保风险状况在修复后不会卷土重来。这包括监控配置错误，如公共模型存储、加密缺失或可直接访问互联网的笔记本电脑。

静态安全防护会造成盲点。持续验证和控制器，关闭它们。

6. 在风险产生之前实施防护机制，防范风险

良好的安全性不会减缓 AI 的创新脚步。 它通过减少返工来加快创新速度。作为 AI 开发和部署流程的一部分，各企业应实施最小特权、数据保护和配置防护机制。这包括防止公开暴露模型资产，限制敏感数据进入训练管道，禁止授予对模型注册表和向量数据库的不必要访问权限，甚至明确规定敏感数据的驻留位置。

要有效实施这些访问控制防护机制，最安全的方法是将提升的权限限制在真正需要的时刻。短期按需访问有助于确保 AI 团队能够快速行动，而不会在环境中留下长期存在的特权。

最佳实践指明了方向，但只有在付诸实践时才有意义。AI 环境发展日新月异，仅凭理论是不够的。企业需要一种方法，将这些原则转化为实际行动。这正是 Tenable One 的优势所在：可见性、上下文、持续验证和控制，将最佳实践从空谈变为日常现实。

Tenable Cloud Security 如何保障云中 AI 工作负载的安全

Tenable 提供现代 AI 环境所需的清晰洞察。AI 工作负载横跨计算、存储、身份、数据和托管服务，该生态系统的每一部分都在塑造风险方面发挥作用。暴露风险管理是一种战略，能让企业在相互关联的云资产中查看、优先级分析并修复这些风险。Tenable Cloud Security CNAPP 通过将云配置、身份途径和数据敏感性统一到一个暴露风险真正重要的单一上下文理解中，帮助您实施这一策略。

云和 AI 能在一夜之间改写了学习曲线。云原生 AI 服务，如 Amazon Bedrock 基础模型和代理、Azure AI Studio 代理、Azure OpenAI 模型和 Google Vertex AI 端点，可以立即采用。它们还引入了新的风险形式，而大多数团队才刚刚开始了解这些风险。

现代 AI 的部署越来越多地由这些托管服务来塑造。Tenable 会发现并监控支持这些服务的云资源，评估其配置，并挖掘所涉及的身份和权限。 这有助于企业确保其使用的 AI 与其创建的 AI 一样安全。

首先是可见性。Tenable 盘点了AWS、Azure、GCP和 Oracle Cloud 上 AI 工作负载所涉及的云服务。这包括计算环境、存储服务、网络层、身份、API 和访问控制。它还能识别敏感数据在这些环境中的位置，以及哪些身份或服务可以访问这些数据，包括 AI 资源何时可以访问。

从这里开始，Tenable One 增加了上下文。AI 工作负载很少会因为单一问题而变得危险。当云服务中的错误配置、敏感数据和过度特权相互交织时，风险便随之显现。Tenable One 将这些信号关联起来，找出最有可能导致数据泄露、意外访问或特权滥用的暴露风险。例如，它可能发现托管 AI 模型何时可以访问未加密的训练数据。

这种上下文使企业能够专注处理重要的事情，而不是应对无效警报。Tenable 的漏洞优先级评级 (VPR)利用实时威胁情报来确定哪些问题具有真正的可利用性，哪些问题不太可能成为攻击目标。

数据暴露风险往往是 AI 风险的具体体现。Tenable 的数据安全态势能力将敏感数据集与与之交互的 AI 服务连接起来。其中一个例子是内置的分析功能，可检测根据敏感数据训练的 AWS Bedrock 自定义模型，提供可操作的洞察而不是抽象的警报。

最后，Tenable One 提供持续验证。支撑 AI 工作负载的云资源随着新服务的部署、权限的演变以及新数据流入环境而不断变化。Tenable 对这些变化进行实时监控，在进入生产前应用可执行最小权限、保护敏感数据和预防风险情况的策略防护机制。

这些能力共同创造了一个环境，让 AI 创新能够快速发展，而不会将安全性抛诸脑后。企业可获得对支持 AI 工作负载的云服务的可见性，准确掌握风险聚集点，并确保即使环境随时间变化，其安全态势仍能得到持续防护。

查看实际应用情形

下面的简短演示将带您体验真实的云 AI 环境，并展示 Tenable 如何识别工作负载、揭示隐藏的风险并突出显示最重要的问题。

该演示快速、直观地展示了 AI 安全可见性在实践中的具体表现。

单击此处获取有关识别和保护 AI 工作负载的更多信息。