紅隊演練雲端 AI 服務:實務指南
在 AWS、Azure 與 GCP 上紅隊演練 AI 服務的實務指南——涵蓋共享責任邊界、服務特定攻擊面與雲端原生安全控制。
雲端 AI 服務已成為大多數組織的預設部署模式。無論你使用 Azure OpenAI Service 等受管理 LLM API、在 SageMaker 上訓練自訂模型,或在 GCP Vertex AI 上部署開源模型,雲端供應商的基礎設施都是你攻擊面的一部分。本指南涵蓋跨三大雲端平台紅隊演練 AI 工作負載的實務方法。
共享責任的挑戰
雲端供應商對傳統工作負載有完善建立的共享責任模型,但 AI 引入模糊性。答案幾乎在每個案例中都是客戶承擔 AI 特定安全責任。雲端供應商保護基礎設施——運算、儲存、網路——但模型行為、訓練資料完整性與應用程式提示詞處理是你的責任。
依服務類型的責任邊界
| 服務類型 | 供應商責任 | 客戶責任 |
|---|---|---|
| 受管理 LLM API(Azure OpenAI、Bedrock) | 模型託管、API 可用性、基礎模型安全性 | 提示詞設計、輸入驗證、輸出過濾、應用程式邏輯 |
| 自訂模型訓練(SageMaker、Vertex AI) | 訓練基礎設施、運算隔離 | 訓練資料完整性、模型安全、部署設定 |
| 模型部署(SageMaker 端點、Cloud Run) | 運算、網路、容器執行時期 | 模型權重、服務設定、API 安全、存取控制 |
| AI 特定服務(Comprehend、Document AI) | 服務可用性、基礎模型效能 | 輸入驗證、輸出處理、資料分類 |
AWS AI 安全評估
Amazon Bedrock
IAM 與存取控制測試:測試過度寬鬆的 IAM 政策、模型存取範圍、模型客製化權限限制。
護欄設定:測試 Bedrock Guardrails 能否透過編碼、多輪對話或上下文操控繞過。
知識庫與 RAG:測試 RAG 投毒,檢查誰能寫入底層資料來源,驗證文件層級存取控制。
模型客製化安全:測試微調資料是否適當隔離,自訂模型是否不可被未授權帳戶存取。
日誌與監控:驗證 CloudTrail 擷取所有 Bedrock API 呼叫,模型呼叫日誌是否啟用。
Amazon SageMaker
端點安全:測試端點是否不必要地暴露於網際網路。Notebook 實例安全:檢查儲存在 notebook 中的憑證。訓練任務隔離:測試跨團隊邊界隔離。模型產物:測試靜態與傳輸中加密。
Azure AI 安全評估
Azure OpenAI Service
網路隔離:測試部署是否可從公共網際網路存取。內容過濾:測試內容過濾器繞過。受管理身份與 RBAC:測試角色分配範圍。資料駐地:驗證模型部署在核准區域。
Azure Machine Learning
工作區安全:測試存取控制是否適當分離。運算實例安全:檢查暴露的連接埠與憑證。端點安全:測試認證方法。
GCP AI 安全評估
Vertex AI
IAM 與服務帳戶:測試服務帳戶是否遵循最小權限。VPC 服務控制:測試服務邊界是否適當設定。模型部署安全:測試認證繞過與輸入驗證。Gemini API:測試安全設定是否適當設定。
跨雲端評估檢查清單
身份與存取管理
- AI 服務權限是否限定至最小必要範圍?
- 是否使用服務帳戶與受管理身份而非長期憑證?
- 跨帳戶存取是否適當限制?
網路安全
- AI 端點是否盡可能限制為私有網路存取?
- 傳輸中資料是否使用當前 TLS 版本加密?
- AI 工作負載的對外連線是否限制於必要端點?
資料保護
- 訓練資料是否以客戶管理金鑰靜態加密?
- 模型產物是否加密且受存取控制?
- 輸入與輸出日誌是否啟用且有適當保留期?
監控與偵測
- 所有 AI 服務 API 呼叫是否記錄至雲端稽核日誌服務?
- 異常使用模式是否設定警報?
- 成本異常警報是否設定以偵測拒絕服務攻擊?
常見發現
基於數十個雲端 AI 部署的評估,以下是最常識別的問題:
過度寬鬆 IAM 仍是最常見發現。缺失或不完整日誌 是第二常見。未保護的訓練資料 出乎意料地常見。無內容過濾或護欄 影響顯著比例部署。內部工作負載的公開端點 在 AI 服務以公開存取部署於開發便利後出現。
報告雲端 AI 發現
報告雲端 AI 安全發現時,包含修復所需的雲端特定上下文。包含需要改變的特定 IAM 角色、網路設定或服務設定。參考雲端供應商建議設定的文件。始終區分客戶責任的發現與應回報給雲端供應商安全團隊的任何發現。