Cheatsheet voor cloud-AI-beveiliging
Gemiddeld8 min lezenBijgewerkt op 2026-03-15
Snelle referentie die AI-beveiligingscontroles vergelijkt tussen AWS, Azure en GCP -- met IAM, netwerken, encryptie, monitoring en AI-specifieke diensten.
Cheatsheet voor cloud-AI-beveiliging
Een vergelijking naast elkaar van AI-beveiligingscontroles tussen AWS, Azure en GCP. Gebruik dit tijdens beveiligingsassessments van cloud-AI om snel de relevante diensten, configuraties en veelvoorkomende misconfiguraties per provider te identificeren.
Vergelijking van AI/ML-diensten
| Mogelijkheid | AWS | Azure | GCP |
|---|---|---|---|
| ML-platform | SageMaker | Azure Machine Learning | Vertex AI |
| Gehoste LLM API | Amazon Bedrock | Azure OpenAI Service | Vertex AI (Gemini, PaLM) |
| Notebook-omgeving | SageMaker Notebooks | Azure ML Notebooks | Vertex AI Workbench |
| Modelhosting | SageMaker Endpoints | Azure ML Endpoints | Vertex AI Endpoints |
| Content safety | Bedrock Guardrails | Azure AI Content Safety | Vertex AI Safety Filters |
| Vector database | OpenSearch (vector), MemoryDB | Azure AI Search | Vertex AI Vector Search |
| Datalabeling | SageMaker Ground Truth | Azure ML Data Labeling | Vertex AI Data Labeling |
| MLOps/pipelines | SageMaker Pipelines | Azure ML Pipelines | Vertex AI Pipelines |
IAM en toegangsbeheer
Service-specifieke IAM
| Controle | AWS | Azure | GCP |
|---|---|---|---|
| Execution role | SageMaker Execution Role (IAM-rol gekoppeld aan notebooks/endpoints) | Azure ML Workspace Identity (managed identity) | Vertex AI Service Account |
| Modelaanroep | bedrock:InvokeModel, sagemaker:InvokeEndpoint | Azure RBAC: Cognitive Services OpenAI User | aiplatform.endpoints.predict IAM-permissie |
| Admin-toegang | sagemaker:* (te breed -- inperken) | Azure ML Workspace Owner/Contributor | aiplatform.admin (te breed -- inperken) |
| Cross-account | IAM resource policies, STS AssumeRole | Azure Lighthouse, cross-tenant-toegang | Cross-project IAM-bindings, VPC Service Controls |
Veelvoorkomende IAM-misconfiguraties
Netwerkbeveiliging
| Controle | AWS | Azure | GCP |
|---|---|---|---|
| Private endpoints | VPC Endpoints (Interface/Gateway) | Private Endpoints / Private Link | Private Service Connect |
| Netwerkisolatie | SageMaker in VPC, VPC Endpoints | VNet-integratie, Private Link | VPC Service Controls-perimeter |
| Egress-controle | Security Groups, NACLs, VPC Endpoints | NSGs, Azure Firewall, UDRs | VPC Firewall Rules, VPC SC |
| Service perimeter | Geen direct equivalent (gebruik SCP + VPC Endpoints) | Geen direct equivalent (gebruik Private Link + NSG) | VPC Service Controls (sterk aanbevolen) |
| Private DNS | Route 53 Private Hosted Zones | Azure Private DNS | Cloud DNS Private Zones |
Checklist netwerkbeveiliging
- Modelendpoints staan in private subnets (niet internetgericht)
- VPC Endpoints / Private Link worden gebruikt voor AI-service-API-aanroepen
- Egress-regels voorkomen ongeautoriseerde uitgaande verbindingen (data-exfiltratie)
- Opslag van trainingsdata is niet publiek toegankelijk
- Netwerklogging is ingeschakeld (VPC Flow Logs / NSG Flow Logs / VPC Flow Logs)
- DNS-resolutie voor AI-diensten loopt via private endpoints
Encryptie
| Controle | AWS | Azure | GCP |
|---|---|---|---|
| At-rest (standaard) | AWS-beheerde sleutels (SSE-S3, SSE-EBS) | Microsoft-beheerde sleutels | Google-beheerde sleutels |
| At-rest (klantsleutel) | KMS CMK (SSE-KMS) | Azure Key Vault (CMK) | Cloud KMS CMEK |
| In-transit | TLS 1.2+ (standaard afgedwongen voor API-aanroepen) | TLS 1.2+ (standaard afgedwongen) | TLS 1.2+ (standaard afgedwongen) |
| Modelartefacten | KMS-encryptie op S3/EBS | Key Vault-encryptie op opslag | CMEK op GCS/Persistent Disk |
| Trainingsdata | KMS-encryptie op S3 | Key Vault-encryptie op Blob Storage | CMEK op GCS |
| Notebook-opslag | KMS-encryptie op EBS-volumes | Key Vault-encryptie op managed disks | CMEK op persistent disks |
Beoordelingspunten voor encryptie
- Verifieer dat CMEK/CMK wordt gebruikt voor gereguleerde workloads (niet alleen door de provider beheerde sleutels)
- Controleer of KMS/Key Vault-toegangspolicies beperken wie encryptiesleutels mag gebruiken
- Verifieer dat er beleid is voor sleutelrotatie
- Zorg dat modelartefacten onderweg tussen diensten gebruikmaken van private kanalen
Monitoring en logging
| Controle | AWS | Azure | GCP |
|---|---|---|---|
| Control plane-audit | CloudTrail | Azure Activity Log | Cloud Audit Logs |
| Data plane-logging | CloudTrail Data Events, SageMaker model monitor | Azure Monitor Diagnostic Logs | Vertex AI Model Monitoring |
| API-call-logging | CloudTrail (Bedrock API-aanroepen) | Azure Monitor (OpenAI API-aanroepen) | Cloud Audit Logs (Vertex AI API-aanroepen) |
| Dreigingsdetectie | GuardDuty | Microsoft Defender for Cloud | Security Command Center |
| Logaggregatie | CloudWatch Logs, S3 | Log Analytics Workspace | Cloud Logging |
| Alerting | CloudWatch Alarms, SNS | Azure Monitor Alerts | Cloud Monitoring Alerts |
Belangrijke audit-loggebeurtenissen om te monitoren
| Event | AWS CloudTrail | Azure Activity Log | GCP Audit Log |
|---|---|---|---|
| Modelaanroep | bedrock:InvokeModel, sagemaker:InvokeEndpoint | Microsoft.CognitiveServices/accounts/deployments/completions/action | aiplatform.googleapis.com/PredictRequest |
| Endpoint aanmaken/aanpassen | sagemaker:CreateEndpoint, UpdateEndpoint | Microsoft.MachineLearningServices/workspaces/endpoints/write | aiplatform.googleapis.com/CreateEndpoint |
| Toegang tot trainingsdata | S3 Data Events voor trainingsbuckets | Blob Storage diagnostic logs | GCS data access audit logs |
| IAM-wijzigingen | iam:PutRolePolicy, AttachRolePolicy | Wijzigingen in roltoewijzingen | SetIamPolicy-events |
| Model-uitrol | sagemaker:CreateModel | Model deployment-events | UploadModel, DeployModel |
Content safety-diensten
| Functie | AWS Bedrock Guardrails | Azure AI Content Safety | GCP Vertex AI Safety |
|---|---|---|---|
| Contentfiltering | Topic denial, content filters, PII-detectie | Categorieën geweld, zelfbeschadiging, seksueel, haatdragend | Drempels op safety-attributen |
| Aangepaste policies | Aangepaste woordfilters, topic policies | Aangepaste blocklists | Aangepaste safety-filters |
| PII-afhandeling | PII-detectie en -maskering | PII-detectie (aparte dienst) | DLP-integratie |
| Grounding | Grounding-checks (feitelijkheid) | Groundedness-detectie | Grounding met Google Search |
| Verdediging tegen prompt injection | Prompt attack detection | Prompt Shield | Safety-filters met jailbreak-detectie |
Beperkingen van content safety
Veelvoorkomende aanvalsoppervlakken in cloud-AI
| Aanvalsoppervlak | Beschrijving | Beoordelingsfocus |
|---|---|---|
| Publieke modelendpoints | Endpoints toegankelijk zonder authenticatie | Controleer endpoint-authenticatieconfiguratie |
| Te bevoorrechte execution-roles | ML-rollen met te veel permissies | Beoordeel IAM-policies op least privilege |
| Trainingsdata in publieke opslag | S3/GCS/Blob-buckets met publieke toegang | Controleer bucketpolicies en ACL's |
| Modelartefacten in gedeelde opslag | Modellen opgeslagen zonder toegangscontroles | Verifieer toegangsbeperkingen op modelopslag |
| Notebook-instances met internettoegang | Notebooks die het internet kunnen bereiken | Controleer VPC-/netwerkconfiguratie voor notebooks |
| Niet-versleutelde data at rest | Trainingsdata of modellen zonder encryptie | Verifieer encryptieconfiguratie (CMEK voor compliance) |
| Logging-gaten | Ontbrekende auditlogs voor modelaanroepen | Verifieer dat uitgebreide logging is ingeschakeld |
| Cross-account/cross-project-toegang | Te ruime toegang over grenzen heen | Beoordeel cross-account IAM en VPC peering |
| Onveilige modelserialisatie | Pickle-gebaseerde modellen geladen zonder verificatie | Controleer modelformaat en herkomstverificatie |
| Ontbrekende netwerksegmentatie | AI-workloads in hetzelfde netwerk als andere diensten | Verifieer netwerkisolatie voor AI-infrastructuur |
Snelle assessment-workflow
AI-resources inventariseren
Maak een lijst van alle AI/ML-diensten die in gebruik zijn: modelendpoints, notebooks, trainingsjobs, pipelines, datastores. Gebruik de asset-inventarisatie-tools van de provider.
IAM-configuratie beoordelen
Controleer execution-roles, service accounts en gebruikerspermissies tegen het least-privilege-principe. Markeer wildcard-permissies en te brede toegang.
Netwerkisolatie controleren
Verifieer dat modelendpoints en trainingsinfrastructuur in private subnets staan met passende egress-controles. Controleer op publieke bereikbaarheid.
Encryptie verifiëren
Bevestig encryptie at-rest en in-transit. Verifieer voor gereguleerde workloads dat CMEK/CMK wordt gebruikt met passend sleutelbeheer.
Auditlogging
Bevestig dat control plane- en data plane-logs zijn ingeschakeld, worden bewaard en gemonitord. Verifieer dat modelaanroep-logging prompt-/responsdata vastlegt voor forensisch onderzoek.
Content safety testen
Evalueer de content safety-dienst van de cloudprovider tegen standaardaanvalscategorieën. Identificeer gaten die guardrails op applicatieniveau vereisen.
Supply chain beoordelen
Controleer modelherkomst, dependency-management en integriteitsverificatie van artefacten. Identificeer eventueel gebruik van pickle-gebaseerde modelformaten.