9月20日，2024杭州云棲大會技術主論壇上，阿里云智能集團云安全產品線負責人歐陽欣發(fā)布主題演講，分享AI時代云基礎設施的安全新挑戰(zhàn)及新趨勢。AI Infra已來，安全除了要持續(xù)面對以往的傳統(tǒng)問題，更需要全新理念落地于產品設計、技術演進、架構設計，才能綜合得到效果、性能、和成本的云安全最優(yōu)解。

以下內容基于演講實錄，分享AI時代云安全最新趨勢變化。

AI時代面臨四大安全挑戰(zhàn)。

云安全三體化戰(zhàn)略

碎片化問題的一體化解決思路

云是安全碎片化的終結場景。

阿里云基于多年實踐經驗，創(chuàng)新性提出“三體化”安全建設思路?；A設施安全一體化、安全技術域一體化及辦公和生產安全一體化，實現(xiàn)基礎設施安全統(tǒng)一管理、安全信息統(tǒng)一分析響應、生產辦公統(tǒng)一運營，達到整合碎片工具和信息的自動化全面覆蓋。

國內IT基礎設施環(huán)境極為復雜。許多企業(yè)通常需要采購不同的安全產品，去管理分布在公共云、專有云及線下IDC的安全事件，這無疑給運營人員帶來了極高的管理成本?；A設施安全一體化戰(zhàn)略，借助阿里云的云安全中心、WAAP、 DDoS防護三款產品，統(tǒng)一管理公共云、專有云等多維IT基礎設施?？梢源_保無論資源位于何處，都能通過統(tǒng)一的管理控制臺，實施一致的安全防護策略和應急響應。阿里云自身在實施統(tǒng)一安全策略后，管理效率提升100%，響應時間從1小時可大幅縮短至1分鐘。

企業(yè)常面臨諸多安全產品之間不聯(lián)動、數據之間打不通、處置鏈路不連貫的問題，安全技術域一體化戰(zhàn)略，將公共云上各安全產品的日志統(tǒng)一匯集到一個安全數據湖中，進行統(tǒng)一的威脅情報分析、告警聚合和關聯(lián)分析。利用圖計算技術，將孤立的安全告警整合為更全面的安全事件，從而大幅降低安全事件對客戶的干擾。同時，借助安全大模型和自動化編排響應機制，實現(xiàn)不同安全產品間處置流程的高效聯(lián)動，顯著提升處理效率。根據阿里云內部實踐數據顯示，這一安全建設思路使得跨資產安全事件發(fā)生率提高了99%，安全事件推薦處置覆蓋率提升了80%。

企業(yè)辦公安全通常由IT部門管理，生產網安全則可能由各業(yè)務方自行負責，這種分割管理方式最容易形成邊界漏洞，被黑客利用進行攻擊。辦公網和生產網一體化戰(zhàn)略，通過統(tǒng)一進行辦公網和生產網的威脅分析與處置，可以最大化提升安全運維效率。目前，阿里云內部已有超過10個場景實現(xiàn)了強聯(lián)動，安全運維效率提升了3倍。在跨辦公網和生產網的處置中，通過打通數據、處置環(huán)節(jié)和分析流程，阿里云能夠實現(xiàn)秒級的檢測和響應時間。

生成式人工智能

需要AI時代安全新防線

大模型技術正在深刻改變各行各業(yè)。

安全領域承接了雙刃劍，既有AI技術賦能安全能力和運營效率，同時需要助力對抗新技術帶來的新風險。

保護AI，阿里云升級了全新的大模型全生命周期的安全防護體系。在數據的采集、模型設計、訓練、評測、部署和使用階段都提供了豐富的安全產品，既包括在模型生成階段的內容安全產品，以及云安全中心、WAAP產品、云防火墻、DDoS防護等保護AI基礎設施的產品，也有數據安全中心、數字水印等數據安全產品。這些產品和技術能力不僅落實到阿里云自身的百煉平臺和通義系列產品，也讓客戶同樣可以便捷調用以保護自己的大模型全生命周期的安全。

對抗AI帶來的風險，AI技術的進展也帶來了諸如Deepfake(深度偽造)等問題。阿里云發(fā)布的實人認證產品，能夠有效對抗Deepfake攻擊。該產品提供AIGC生成人臉檢測、PS換臉檢測等八大Deepfake鑒偽能力，目前日均攔截攻擊量達25萬次，攻擊攔截率高達99%。該模型同時具備分鐘級自我更新能力，應對不斷迭代的攻防技術。

內容安全無疑是AI時代的重點安全擔憂之一，阿里云內容安全產品進行了重大升級，業(yè)內有一句話是用魔法打敗魔法，我們要用大模型的能力去檢測大模型帶來的風險。此次升級通過Prompt工程將大模型快速應用于新的內容場景，目前已覆蓋10個新場景，相比以往依賴人工標注數據的方式，效率提升了100%，這意味著阿里云能夠更快速地響應客戶的內容風控需求。同時，通過大模型監(jiān)督微調，顯著提升了場景匹配能力，其中暗喻場景識別效果提升了80%，視覺場景識別效果提升了70%。

AI合規(guī)，針對生成式人工智能技術發(fā)展帶來的版權歸屬、信息追蹤、合規(guī)標識等訴求，阿里云提供支持圖片、文檔、音頻、視頻和APP等多種格式的數字水印解決方案。該方案在國內外擁有超過70項專利，符合國家相關法規(guī)中關于顯式標識和隱式標識能力的標準，并已通過了國內權威的China DRM認證和國際權威的Cartesian認證。目前，它能夠識別超過80種攻擊手法，提取成功率超過90%。

受益AI，阿里云安全大模型能夠顯著提升安全運營效率。阿里云對云安全中心AI助手進行了能力升級，在安全事件風險調查與響應、產品咨詢以及智能報告三大場景，顯著提升了安全事件運營的人效。云安全中心AI助手可以為客戶提供清晰的風險解釋，并指導他們進行正確的風險處置。目前，AI助手支持的告警事件類型覆蓋率從之前的85%提升至99%，安全服務自動處置率達到了73%，大模型用戶覆蓋率已經達到了88%。

AI在辦公安全數據分類分級場景中也發(fā)揮了重要作用。阿里云的能力源自阿里巴巴集團內部在辦公安全方面的豐富實踐。基于這一技術沉淀，阿里云推出的辦公數據安全解決方案，能夠大幅提升企業(yè)敏感資產治理的效率。目前，該方案支持超過300種文檔類型，識別準確率高達99%，涵蓋超過10種資產治理場景，資產治理效率提升了5倍。

身份安全是云安全的基石之一

阿里云發(fā)布身份安全體系大圖

由于云上用戶安全基線標準和意識不同，身份管理面臨諸多挑戰(zhàn)。對此，阿里云通過提升默認水位來保障客戶的身份安全。

2024年8月20日起，阿里云逐步在所有賬戶上默認開啟多因素認證(MFA)，MFA支持包括TOTP、短信、電子郵件驗證在內的多種認證方式，以增強賬戶安全性。此外，阿里云將默認禁用超過2年未登錄使用過的登錄密碼，以及閑置超過2年的訪問密鑰(AK)。

此次云棲大會上，阿里云發(fā)布了滿足5A的身份產品體系大圖，涵蓋了從身份識別到權限分配的整個過程。

阿里云提供的RAM產品，支持連接云平臺身份，客戶還可以通過 IDaaS 與釘釘、飛書、企業(yè)微信等第三方平臺串聯(lián)，并與RAM和SSO結合使用，從而打通現(xiàn)有身份體系與云上賬號體系，實現(xiàn)單點SSO登錄與權限統(tǒng)一管理。

針對更高級的安全需求，阿里云提供密鑰管理服務(KMS)。用戶無論是使用通用賬號口令、OS密鑰、訪問密鑰還是Token，都可以托管到KMS平臺上。該平臺支持自定義密鑰管理(CMK)，允許客戶使用自己的密鑰進行加密，甚至可以將密鑰存儲在本地加密機中與云平臺聯(lián)動，從而打消客戶對上云后數據未加密的顧慮。同時，AK體系提供了密鑰輪轉功能，所有的密鑰操作都會被審計和監(jiān)控，客戶的訪問密鑰可以安全的自定義周期性更換。目前，阿里云支持30秒級別的密鑰輪轉，這樣即使AK丟失，也可以迅速止血，極大縮減潛在風險。

身份安全領域，最小化授權的全生命周期治理至關重要。上線前阿里云提供授權驗證能力，包括最佳實踐建議、異常檢測和透明化校驗。目前，阿里云提供29條校驗規(guī)則，幫助客戶在靜態(tài)策略審計上做好前置工作。上線后阿里云將幫助客戶分析閑置權限，進行跨賬號訪問分析，支持170款云產品提供全面的審計功能。針對高危權限分析，阿里云會識別潛在的高風險并提供優(yōu)化建議，目前已提供133條校驗規(guī)則，確保權限管理的安全性和有效性。

云原生安全能力全棧升級

進一步強化原生優(yōu)勢

應對外掛式安全性能不足的問題，阿里云宣布云原生安全能力全線升級，強化了阿里云安全原生優(yōu)勢，滿足阿里云百萬級企業(yè)客戶豐富業(yè)務場景與安全需求的服務。

云上安全共同體

阿里云做客戶更緊密的安全伙伴

如果客戶不安全，那么阿里云作為云平臺，就無法實現(xiàn)真正意義上的安全。

阿里云正式將公共云的安全責任共擔思路，升級為“安全共同體”全新概念。在安全共同體理念的引導下，阿里云不僅提供安全的云服務，更要幫助客戶安全地使用云。

這意味著阿里云不僅會堅守安全責任共擔模式下云服務商的責任，搭建和提供“安全的云”，更會進一步與客戶緊密合作，為客戶提供更高的初始安全水位，對客戶進行更主動的安全事件響應，為客戶提供更普惠的安全能力，提供更多的安全科普和培訓，與客戶共同形成一個緊密相連、互相支持的安全防護網絡，打通客戶安全體驗的最后一公里，將平臺的安全能力轉化為客戶側實實在在的安全效果。

例如，當阿里云感知到客戶的訪問密鑰(Accesskey，AK)泄露時，會采取一系列的主動保護措施。如果確定客戶的AK已被黑客獲取，阿里云會立即限制該AK調用高風險的API，防止其執(zhí)行可能造成嚴重損害的操作。這種主動保護措施由平臺自動執(zhí)行。只有在客戶完成密鑰輪轉，并反饋告知阿里云新的AK已經生成且問題已解決后，平臺才會解除這些保護措施，恢復客戶的正常業(yè)務操作。

對于高危風險場景，阿里云會提供更主動的協(xié)助服務。不同于過去僅通過郵件和短信提示的方式，阿里云會安排客服小二直接電話聯(lián)系客戶，告知他們當前面臨的安全風險的嚴重性，并建議他們與平臺合作盡快處理這一風險。此外，阿里云還提供一鍵安全求助功能，客服小二全天候值班，隨時準備響應并處理這類安全事件。

除了滿足大型客戶的需求，阿里云還致力于為中小客戶提供更多的安全能力和服務，使他們在低成本的情況下也能有效保護自身的安全。做好平臺安全建設的同時，阿里云也免費開放更多的安全能力額度，包括云安全中心、內容安全、數據安全中心，讓中小企業(yè)客戶能夠增強安全防護，同時還在安全體驗上增加一鍵檢測、一鍵修復等功能，幫助客戶共同加入到云上安全維護中。

做AI時代最安全的云，阿里云將秉承云上安全共同體理念，通過落地云安全三體化戰(zhàn)略，升級安全護航新范式，為客戶和社會構建安全、高效的云生態(tài)系統(tǒng)。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）