雲端 AI 安全速查表
中級5 分鐘閱讀更新於 2026-03-15
跨 AWS、Azure 與 GCP 的 AI 安全控制快速參考——涵蓋 IAM、網路、加密、監控與 AI 特定服務。
雲端 AI 安全速查表
AWS、Azure 與 GCP 之 AI 安全控制的並排比較。在雲端 AI 安全評估期間使用此文件以快速識別每個供應商的相關服務、設定與常見設定錯誤。
AI/ML 服務比較
| 能力 | AWS | Azure | GCP |
|---|---|---|---|
| ML 平台 | SageMaker | Azure Machine Learning | Vertex AI |
| 託管 LLM API | Amazon Bedrock | Azure OpenAI Service | Vertex AI(Gemini、PaLM) |
| Notebook 環境 | SageMaker Notebooks | Azure ML Notebooks | Vertex AI Workbench |
| 模型託管 | SageMaker Endpoints | Azure ML Endpoints | Vertex AI Endpoints |
| 內容安全 | Bedrock Guardrails | Azure AI Content Safety | Vertex AI Safety Filters |
| 向量資料庫 | OpenSearch(向量)、MemoryDB | Azure AI Search | Vertex AI Vector Search |
| 資料標註 | SageMaker Ground Truth | Azure ML Data Labeling | Vertex AI Data Labeling |
| MLOps/管線 | SageMaker Pipelines | Azure ML Pipelines | Vertex AI Pipelines |
IAM 與存取控制
服務特定 IAM
| 控制 | AWS | Azure | GCP |
|---|---|---|---|
| 執行角色 | SageMaker Execution Role(附加至 notebooks/endpoints 的 IAM 角色) | Azure ML Workspace Identity(受管理身份) | Vertex AI 服務帳戶 |
| 模型呼叫 | bedrock:InvokeModel、sagemaker:InvokeEndpoint | Azure RBAC:Cognitive Services OpenAI User | aiplatform.endpoints.predict IAM 權限 |
| 管理員存取 | sagemaker:*(過度寬鬆——應縮小範圍) | Azure ML Workspace Owner/Contributor | aiplatform.admin(過度寬鬆——應縮小範圍) |
| 跨帳戶 | IAM 資源政策、STS AssumeRole | Azure Lighthouse、跨租戶存取 | 跨專案 IAM 繫結、VPC Service Controls |
常見 IAM 設定錯誤
網路安全
| 控制 | AWS | Azure | GCP |
|---|---|---|---|
| 私有端點 | VPC Endpoints(Interface/Gateway) | Private Endpoints / Private Link | Private Service Connect |
| 網路隔離 | VPC 中的 SageMaker、VPC Endpoints | VNet 整合、Private Link | VPC Service Controls 邊界 |
| 出口控制 | Security Groups、NACLs、VPC Endpoints | NSGs、Azure Firewall、UDRs | VPC Firewall Rules、VPC SC |
| 服務邊界 | 無直接對等物(使用 SCP + VPC Endpoints) | 無直接對等物(使用 Private Link + NSG) | VPC Service Controls(強烈建議) |
| 私有 DNS | Route 53 Private Hosted Zones | Azure Private DNS | Cloud DNS Private Zones |
網路安全檢查清單
- 模型端點位於私有子網(非面向網際網路)
- 使用 VPC Endpoints / Private Link 進行 AI 服務 API 呼叫
- 出口規則防止未授權對外連線(資料外洩)
- 訓練資料儲存不可公開存取
- 啟用網路日誌(VPC Flow Logs / NSG Flow Logs / VPC Flow Logs)
- AI 服務的 DNS 解析透過私有端點路由
加密
| 控制 | AWS | Azure | GCP |
|---|---|---|---|
| 靜態(預設) | AWS 管理金鑰(SSE-S3、SSE-EBS) | Microsoft 管理金鑰 | Google 管理金鑰 |
| 靜態(客戶金鑰) | KMS CMK(SSE-KMS) | Azure Key Vault(CMK) | Cloud KMS CMEK |
| 傳輸中 | TLS 1.2+(API 呼叫預設強制) | TLS 1.2+(預設強制) | TLS 1.2+(預設強制) |
| 模型產物 | S3/EBS 上的 KMS 加密 | 儲存上的 Key Vault 加密 | GCS/Persistent Disk 上的 CMEK |
| 訓練資料 | S3 上的 KMS 加密 | Blob Storage 上的 Key Vault 加密 | GCS 上的 CMEK |
| Notebook 儲存 | EBS 磁碟區上的 KMS 加密 | 受管理磁碟上的 Key Vault 加密 | 持久磁碟上的 CMEK |
加密評估重點
- 驗證受監管工作負載使用 CMEK/CMK(而非僅供應商管理的金鑰)
- 檢查 KMS/Key Vault 存取政策限制誰可使用加密金鑰
- 驗證金鑰輪替政策已到位
- 確保服務間傳輸中的模型產物使用私有通道
監控與日誌
| 控制 | AWS | Azure | GCP |
|---|---|---|---|
| 控制平面稽核 | CloudTrail | Azure Activity Log | Cloud Audit Logs |
| 資料平面日誌 | CloudTrail Data Events、SageMaker model monitor | Azure Monitor Diagnostic Logs | Vertex AI Model Monitoring |
| API 呼叫日誌 | CloudTrail(Bedrock API 呼叫) | Azure Monitor(OpenAI API 呼叫) | Cloud Audit Logs(Vertex AI API 呼叫) |
| 威脅偵測 | GuardDuty | Microsoft Defender for Cloud | Security Command Center |
| 日誌聚合 | CloudWatch Logs、S3 | Log Analytics Workspace | Cloud Logging |
| 警報 | CloudWatch Alarms、SNS | Azure Monitor Alerts | Cloud Monitoring Alerts |
要監控的關鍵稽核日誌事件
| 事件 | AWS CloudTrail | Azure Activity Log | GCP Audit Log |
|---|---|---|---|
| 模型呼叫 | bedrock:InvokeModel、sagemaker:InvokeEndpoint | Microsoft.CognitiveServices/accounts/deployments/completions/action | aiplatform.googleapis.com/PredictRequest |
| 端點建立/修改 | sagemaker:CreateEndpoint、UpdateEndpoint | Microsoft.MachineLearningServices/workspaces/endpoints/write | aiplatform.googleapis.com/CreateEndpoint |
| 訓練資料存取 | 訓練 bucket 的 S3 Data Events | Blob Storage 診斷日誌 | GCS 資料存取稽核日誌 |
| IAM 變更 | iam:PutRolePolicy、AttachRolePolicy | 角色指派變更 | SetIamPolicy 事件 |
| 模型部署 | sagemaker:CreateModel | 模型部署事件 | UploadModel、DeployModel |
內容安全服務
| 功能 | AWS Bedrock Guardrails | Azure AI Content Safety | GCP Vertex AI Safety |
|---|---|---|---|
| 內容過濾 | 主題拒絕、內容過濾器、PII 偵測 | 暴力、自我傷害、性、仇恨言論類別 | 安全屬性閾值 |
| 自訂政策 | 自訂字詞過濾器、主題政策 | 自訂封鎖清單 | 自訂安全過濾器 |
| PII 處理 | PII 偵測與遮蔽 | PII 偵測(獨立服務) | DLP 整合 |
| Grounding | Grounding 檢查(事實性) | Groundedness 偵測 | 使用 Google 搜尋的 grounding |
| 提示詞注入防禦 | Prompt attack 偵測 | Prompt Shield | 含越獄偵測的安全過濾器 |
內容安全限制
常見雲端 AI 攻擊面
| 攻擊面 | 描述 | 評估焦點 |
|---|---|---|
| 公開模型端點 | 無需認證即可存取的端點 | 檢查端點認證設定 |
| 過度授權的執行角色 | 權限過度的 ML 角色 | 審查 IAM 政策的最小權限 |
| 公開儲存中的訓練資料 | 具公開存取的 S3/GCS/Blob bucket | 檢查 bucket 政策與 ACL |
| 共享儲存中的模型產物 | 未具存取控制儲存的模型 | 驗證模型儲存存取限制 |
| 具網際網路存取的 notebook 實例 | 可達到網際網路的 notebook | 檢查 notebook 的 VPC/網路設定 |
| 未加密的靜態資料 | 未加密的訓練資料或模型 | 驗證加密設定(合規需 CMEK) |
| 日誌落差 | 模型呼叫缺少稽核日誌 | 驗證啟用全面日誌 |
| 跨帳戶/跨專案存取 | 過度寬鬆的跨邊界存取 | 審查跨帳戶 IAM 與 VPC peering |
| 不安全的模型序列化 | 未驗證即載入基於 pickle 的模型 | 檢查模型格式與來源驗證 |
| 缺少網路分段 | AI 工作負載與其他服務在同一網路 | 驗證 AI 基礎設施的網路隔離 |
快速評估工作流程
列舉 AI 資源
列出所有使用中的 AI/ML 服務:模型端點、notebooks、訓練任務、管線、資料儲存。使用供應商的資產清單工具。
審查 IAM 設定
對照最小權限原則檢查執行角色、服務帳戶與使用者權限。標記萬用字元權限與過度寬鬆存取。
檢查網路隔離
驗證模型端點與訓練基礎設施位於具適當出口控制的私有子網。檢查公開可存取性。
驗證加密
確認靜態與傳輸中的加密。對受監管工作負載,驗證使用 CMEK/CMK 並有適當金鑰管理。
稽核日誌
確認控制平面與資料平面日誌已啟用、保留並被監控。驗證模型呼叫日誌擷取提示詞/回應資料以供鑑識。
測試內容安全
對照標準攻擊類別評估雲端供應商的內容安全服務。識別需要應用程式層級護欄的落差。
審查供應鏈
檢查模型來源、依賴管理與產物完整性驗證。識別基於 pickle 之模型格式的使用。