1、 2024 云安全联盟大中华区版权所有1 2024 云安全联盟大中华区版权所有3 2024 云安全联盟大中华区版权所有4致谢以零信任应对 AI 部署中的影子访问风险由 CSA 工作组专家编写，CSA 大中华区零信任工作和 IAM 工作组共同组织翻译并审校。中文版翻译组成员中文版翻译组成员翻译组组长：翻译组组长：陈本峰审校组成员：审校组成员：戴立伟于继万谢琴陈珊研究协调员：研究协调员：郑元杰易利杰贡献单位：贡献单位：深圳竹云科技股份有限公司北京天融信网络安全技术有限公司华为技术有限公司 2024 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Venkat Rag

2、havanSteven SchoenfeldHeinrich Smit贡献者：贡献者：Ivan DjordjevicMichael Roza审校者：审校者：Aakash AlurkarSuramya BakshiAlan Curran MScChris KirschkeArvin Reddy JakkamreddyRangel RodriguesLars RuddigkeitAkshay ShettyDr.Chantal SpleissSrinivas Tatipamula 2024 云安全联盟大中华区版权所有6CSA 全球员工：全球员工：Ryan GiffordClaire LehnertS

3、tephen Lumpe在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给予改正！联系邮箱 researchc-；云安全联盟 CSA 公众号。2024 云安全联盟大中华区版权所有7目录序言序言.8摘要摘要.9什么是影子访问？什么是影子访问？.9零信任概述零信任概述.9为什么存在影子访问？为什么存在影子访问？.10零信任原则可以如何减少影子访问零信任原则可以如何减少影子访问.11GenAI、LLMs 等技术概述等技术概述.11AI、GenAI、LLMs 和影子访问和影子访问.11全面的清单、变更管理和运营控制.11数据访问的可见性、可控性和合规性.12授权和治理框架.1

4、2多模态数据的细粒度访问控制.12向量嵌入的访问控制.12非结构化内容的数据分类.13身份验证和负责任使用.13内容适宜性和授权.13防止个人信息和机密数据泄露.13结论结论.14其他资料其他资料.14 2024 云安全联盟大中华区版权所有8序言序言随着云计算、人工智能（AI）、生成式人工智能（GenAI）以及大型语言模型（LLM）等技术的快速发展，企业在数字化转型过程中面临的安全挑战日益复杂。影子访问，这种对系统和数据的意外或未经授权的访问现象，因现代技术环境的复杂性和访问权限管理不足而加剧，已经成为一个亟需解决的安全问题。与此同时，零信任安全理念作为应对新兴安全挑战的重要策略，逐渐受到各行

5、业的重视。本报告以零信任应对 AI 部署中的影子访问风险深入探讨了影子访问这一新兴安全问题与零信任安全框架之间的关系，特别是在生成式人工智能和大型语言模型广泛应用的背景下。报告还探讨了生成式人工智能技术引入的额外影子访问风险，并提出了应对这些新兴挑战的多种策略，如细粒度的访问控制、数据分类、身份验证和负责任使用等。这些内容为企业在日益复杂的技术环境中如何有效地管理和控制影子访问提供了宝贵的建议和指导。在 AI 时代下，持续关注和深入探讨影子访问问题的重要性。通过不断探索和制定最佳实践，企业可以在复杂的技术环境中建立更健全、更安全的防护体系，确保信息系统的安全性和稳定性。李雨航 Yale LiC

6、SA 大中华区主席兼研究院院长 2024 云安全联盟大中华区版权所有9摘要摘要影子访问是云计算中日益关注的问题，它指的是对系统和数据的意外或未经授权的访问，往往因现代技术环境的复杂性和访问权限管理不足而加剧。零信任安全以“永不信任，持续验证”的理念为中心，被定位为应对影子访问的对策，提倡健壮的身份验证和严格的访问控制。然而，在影子访问非常普遍的云原生架构中，零信任的实际落地面临着挑战。人工智能，特别是生成式人工智能（GenAI）、大型语言模型（LLMs）和检索增强生成（RAG）的集成，引入了影子访问风险的额外维度，如未经授权的访问、敏感数据暴露，以及人工智能和其他应用程序中的治理问题。本文档强