Sdílet prostřednictvím

Zabezpečení generující umělé inteligence pomocí Microsoft Entra

  • Článek

S tím, jak se digitální krajina rychle vyvíjí, organizace v různých odvětvích stále častěji přijímají generativní umělou inteligenci (Gen AI) k posílení inovací a zvýšení produktivity. Nedávná výzkumná studie naznačuje, že 93 % podniků implementuje nebo vyvíjí strategii AI. Přibližně stejné procento rizikových vedoucích pracovníků hlásí, že jsou nedostatečně připravení nebo jsou poněkud připraveni řešit související rizika. Při integraci Gen AI do operací musíte zmírnit významná rizika zabezpečení a zásad správného řízení.

Microsoft Entra nabízí komplexní sadu funkcí pro bezpečnou správu aplikací umělé inteligence, správné řízení přístupu a ochranu citlivých dat:

Tento článek se zabývá konkrétními problémy zabezpečení, které představuje Gen AI, a na to, jak je můžete řešit s možnostmi nabízenými Microsoft Entra.

Zjišťování nadprivilegovaných identit

Ujistěte se, že uživatelé mají příslušná oprávnění k dosažení souladu s principem nejnižších oprávnění. Na základě naší telemetrie používá více než 90 % identit méně než 5 % udělených oprávnění. Více než 50 % těchto oprávnění je vysoce rizikové. Ohrožené účty můžou způsobit katastrofické škody.

Správa prostředí s více cloudy je obtížná jako správa identit a přístupu (IAM) a bezpečnostní týmy často potřebují spolupracovat napříč funkcemi. Prostředí s více cloudy můžou omezit komplexní zobrazení identit, oprávnění a prostředků. Toto omezené zobrazení zvyšuje prostor pro útoky na identity, které mají nadlimitní privilegované role a účty s oprávněními. Riziko ohrožení nepoužívaných účtů s vysokými oprávněními se zvyšuje, když organizace přecházejí na multicloud.

Identifikace nelidských účtů

Nelidské účty mají opakovatelné vzory a jsou méně pravděpodobné, že se v průběhu času změní. Při identifikaci těchto účtů zvažte použití úloh nebo spravovaných identit a Správa oprávnění Microsoft Entra. Správa oprávnění je nástroj CIEM (Cloud Infrastructure Entitlement Management). Poskytuje komplexní přehled o oprávněních, která přiřadíte všem identitám napříč Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

Oříznout role na nulová důvěra (Zero Trust) principu zabezpečení přístupu s nejnižšími oprávněními. Věnujte velkou pozornost super identitám (jako jsou bezserverové funkce a aplikace). Faktor v případech použití pro aplikace Gen AI

Vynucení přístupu za běhu pro role Microsoft Entra

Microsoft Entra Privileged Identity Management (PIM) pomáhá spravovat, řídit a monitorovat přístup k prostředkům v Microsoft Entra ID, Azure a dalších online službách Microsoftu (například Microsoft 365 nebo Microsoft Intune). Privilegovaní uživatelé bez PIM mají trvalý přístup (vždy v přiřazených rolích i v případě, že nepotřebují svá oprávnění). Na stránce zjišťování a přehledů PIM se zobrazují trvalá přiřazení globálního správce, účty s vysoce privilegovanými rolemi a instanční objekty s přiřazením privilegovaných rolí. Až tato oprávnění uvidíte, poznamenejte si, co by mělo být pro vaše prostředí normální. Zvažte oříznutí těchto rolí nebo jejich omezení na přístup za běhu (JIT) s oprávněnými přiřazeními PIM.

Přímo na stránce zjišťování a přehledů můžete nastavit, aby privilegované role PIM mohly snížit trvalý přístup. Přiřazení můžete úplně odebrat, pokud nepotřebují privilegovaný přístup. Můžete vytvořit kontrolu přístupu pro globální správce, která je vyzve k pravidelné kontrole vlastního přístupu.

Povolení řízení přístupu

Přístup k oprávněním vytváří riziko neoprávněného přístupu a omezené manipulace s daty společnosti. Zabezpečte aplikace AI pomocí stejných pravidel zásad správného řízení, která platí pro všechny firemní prostředky. K dosažení tohoto cíle definujte a zaváděte podrobné zásady přístupu pro všechny uživatele a firemní prostředky (včetně aplikací Gen AI) se zásadami správného řízení ID a podmíněným přístupem Microsoft Entra.

Ujistěte se, že pro správné prostředky mají správnou úroveň přístupu jenom ti správní lidé. Automatizujte životní cyklus přístupu ve velkém prostřednictvím ovládacích prvků s využitím správy nároků, pracovních postupů životního cyklu, žádostí o přístup, kontrol a vypršení platnosti.

Řízení procesů uživatele Joiner, Mover a Leaver (JML) pomocí pracovních postupů životního cyklu a řízení přístupu v zásadách správného řízení ID

Konfigurace zásad a ovládacích prvků pro řízení přístupu uživatelů

Pomocí správy nároků v zásadách správného řízení ID můžete řídit, kdo má přístup k aplikacím, skupinám, teams a sharepointovým webům pomocí zásad schvalování ve více fázích.

Nakonfigurujte zásady automatického přiřazení ve správě nároků tak, aby uživatelům poskytovaly přístup k prostředkům na základě vlastností uživatelů, jako jsou oddělení nebo nákladové středisko. Odeberte uživatelský přístup, když se tyto vlastnosti změní.

Pokud chcete získat správný přístup k velikosti, doporučujeme u zásad správy nároků použít datum vypršení platnosti nebo pravidelnou kontrolu přístupu. Tyto požadavky zajišťují, aby uživatelé neztráceli přístup prostřednictvím časově omezených přiřazení a opakovaných kontrol přístupu k aplikacím.

Vynucení zásad organizace pomocí podmíněného přístupu Microsoft Entra

Podmíněný přístup spojuje signály pro rozhodování a vynucování zásad organizace. Podmíněný přístup je modul zásad microsoftu nulová důvěra (Zero Trust), který bere v úvahu signály z různých zdrojů k vynucení rozhodnutí o zásadách.

Vynucujte zásady nejnižších oprávnění a použijte správné řízení přístupu, aby vaše organizace byla zabezpečená pomocí zásad podmíněného přístupu. Zásady podmíněného přístupu si můžete představit jako příkazy, u kterých identity splňující určitá kritéria mají přístup pouze k prostředkům, pokud splňují konkrétní požadavky, jako je vícefaktorové ověřování nebo stav dodržování předpisů zařízením.

Omezte přístup k aplikacím Gen AI na základě signálů , jako jsou uživatelé, skupiny, role, umístění nebo riziko, abyste zvýšili rozhodnutí o zásadách.

Po nasazení zásad podmíněného přístupu použijte sešit analyzátoru mezer podmíněného přístupu k identifikaci přihlášení a aplikací, u kterých tyto zásady nevynucujete. Doporučujeme nasadit aspoň jednu zásadu podmíněného přístupu, která cílí na všechny prostředky , aby se zajistilo základní řízení přístupu.

Povolení automatizace pro správu životního cyklu identit zaměstnanců ve velkém měřítku

Udělte uživatelům přístup k informacím a prostředkům jenom v případě, že mají skutečnou potřebu provádět své úkoly. Tento přístup brání neoprávněnému přístupu k citlivým datům a minimalizuje potenciální dopad na narušení zabezpečení. Použití automatizovaného zřizování uživatelů ke snížení nepotřebných udělení přístupových práv

Automatizujte procesy životního cyklu pro uživatele Microsoft Entra ve velkém měřítku pomocí pracovních postupů životního cyklu v zásadách správného řízení ID. Automatizace úloh pracovního postupu pro správnou velikost přístupu uživatelů při výskytu klíčových událostí Mezi ukázkové události patří před naplánování zahájení práce nového zaměstnance v organizaci, protože zaměstnanci mění stav a když zaměstnanci opustí organizaci.

Řízení přístupu k vysoce privilegovaným rolím pro správu

Můžou existovat případy, kdy identity vyžadují přístup k vyšším oprávněním z důvodu obchodních a provozních požadavků, jako jsou účty break glass .

Privilegované účty by měly mít nejvyšší úroveň ochrany. Ohrožené privilegované účty můžou způsobit potenciálně významný nebo materiálový dopad na provoz organizace.

Přiřaďte autorizované uživatele jenom k rolím pro správu v Microsoft Azure a Microsoft Entra. Microsoft doporučuje, abyste minimálně u následujících rolí vyžadovali vícefaktorové ověřování odolné proti útokům phishing:

  • Globální správce
  • Správce aplikace
  • Správce ověřování
  • Správce fakturace
  • Správce cloudové aplikace
  • Správce podmíněného přístupu
  • Správce Exchange
  • Správce helpdesku
  • Správce hesel
  • Správce privilegovaného ověřování
  • Správce privilegovaných rolí
  • Správce zabezpečení
  • Správce SharePointu
  • Správce uživatelů

Vaše organizace se může rozhodnout zahrnout nebo vyloučit role na základě požadavků. Pokud chcete zkontrolovat členství rolí, nakonfigurujte a použijte kontroly přístupu k rolím adresáře.

Použití řízení přístupu na základě role pomocí privileged Identity Management (PIM) a přístupu podle potřeby (JIT). PIM poskytuje přístup k prostředkům podle potřeby přiřazením časového limitu. Odstraňte stálý přístup k nižšímu riziku nadměrného nebo zneužití přístupu. PIM umožňuje schválení a odůvodnění požadavků, vynucení vícefaktorového ověřování pro aktivaci rolí a historii auditu.

Správa životního cyklu a přístupu externí identity hosta

Ve většiněorganizacích Partneři pro spolupráci obvykle při procesu onboardingu získají přístup k aplikacím. Pokud spolupráce nemá jasné koncové datum, není jasné, když už uživatel nepotřebuje přístup.

Funkce správy nároků umožňují automatizovaný životní cyklus externích identit s přístupem k prostředkům. Vytvořte procesy a postupy pro správu přístupu prostřednictvím správy nároků. Publikování prostředků prostřednictvím přístupových balíčků Tento přístup vám pomůže sledovat přístup externích uživatelů k prostředkům a snížit složitost problému.

Když povolíte zaměstnancům spolupráci s externími uživateli, můžou pozvat libovolný počet uživatelů mimo vaši organizaci. Pokud externí identity používají aplikace, microsoft Entra kontroly přístupu vám pomůžou zkontrolovat přístup. Vlastníka prostředku, externí identity sami nebo jinou delegovanou osobu, které důvěřujete, můžete nechat zjistit, jestli vyžaduje trvalý přístup.

Pomocí kontrol přístupu Microsoft Entra zablokujte přihlášení k tenantovi externí identity a odstranění externích identit z tenanta po 30 dnech.

Vynucení ochrany zabezpečení dat a dodržování předpisů v Microsoft Purview

Microsoft Purview použijte ke zmírnění a správě rizik spojených s využitím AI. Implementujte odpovídající ovládací prvky ochrany a zásad správného řízení. Microsoft Purview AI Hub je aktuálně ve verzi Preview. Poskytuje snadno použitelné grafické nástroje a sestavy k rychlému získání přehledu o využití AI ve vaší organizaci. Zásady jedním kliknutím pomáhají chránit vaše data a dodržovat zákonné požadavky.

V rámci podmíněného přístupu můžete povolit adaptivní ochranu Microsoft Purview, abyste označili chování, které značí vnitřní riziko. Použití adaptivní ochrany při použití jiných ovládacích prvků podmíněného přístupu k zobrazení výzvy uživateli pro vícefaktorové ověřování nebo poskytnutí dalších akcí na základě vašich případů použití.

Monitorování přístupu

Monitorování je zásadní pro včasnou detekci potenciálních hrozeb a ohrožení zabezpečení. Sledujte neobvyklé aktivity a změny konfigurace, které brání porušení zabezpečení a udržují integritu dat.

Průběžně kontrolujte a monitorujte přístup k vašemu prostředí, abyste zjistili podezřelou aktivitu. Vyhněte se strašidelným oprávněním a získejte upozornění, když se věci neúmyslně změní.

V některých scénářích můžete používat pouze aplikace AI sezónně. Například finanční aplikace můžou mít nízké využití mimo sezónu daně a audit, zatímco maloobchodní aplikace můžou mít špičky využití během sváteční sezóny. Zakažte účty, které se po dlouhou dobu nevyužívané, zejména externí partnerské účty, s pracovními postupy životního cyklu. Zvažte sezónnost, pokud je vhodnější deaktivace JIT nebo dočasného účtu.

V ideálním případě všichni uživatelé při zabezpečení přístupu k prostředkům organizace dodržují zásady přístupu. Pokud potřebujete použít zásady podmíněného přístupu s vyloučeními pro jednotlivé uživatele nebo hosty, můžete se vyhnout dohledu nad výjimkami zásad. Kontrola přístupu Microsoft Entra umožňuje auditoři kontrolovat pravidelné výjimky.

Průběžně kontrolujte správu oprávnění. Vzhledem k tomu, že identity zůstávají v organizaci, mají tendenci shromažďovat oprávnění, zatímco pracují na nových projektech nebo přesouvají týmy. Monitorujte skóre indexu Oprávnění creep (PCI) v rámci správy oprávnění a nastavte možnosti monitorování a upozorňování. Tento přístup snižuje postupné oprávnění a snižuje poloměr výbuchu kolem ohrožených uživatelských účtů.

Související obsah