Sichere generative KI mit Microsoft Entra
Da sich die digitale Landschaft schnell weiterentwickelt, übernehmen Unternehmen in verschiedenen Branchen zunehmend generative künstliche Intelligenz (Gen KI), um Innovationen voranzutreiben und die Produktivität zu steigern. Eine aktuelle Forschungsstudie weist darauf hin, dass 93 % der Unternehmen eine KI-Strategie implementieren oder entwickeln. Ungefähr der gleiche Prozentsatz der Führungspersonen berichtet, dass sie nicht oder nur teilweise auf die damit einhergehenden Risiken vorbereitet sind. Wenn Sie Gen KI in Ihre Vorgänge integrieren, müssen Sie erhebliche Sicherheits- und Governancerisiken behandeln.
Microsoft Entra bietet umfassende Funktionen, um KI-Anwendungen sicher zu verwalten, den Zugriff angemessen zu steuern und vertrauliche Daten zu schützen:
- Microsoft Entra Permissions Management (MEPM)
- Microsoft Entra ID Governance
- Microsoft Entra Conditional Access (ZS)
- Microsoft Entra Privileged Identity Management (PIM)
- Microsoft Purview-Insider-Risiko
In diesem Artikel werden die spezifischen Sicherheitsprobleme behandelt, die Gen KI darstellt, und wie Sie sie mit Microsoft Entra behandeln können.
Entdecken von überprivilegierten Identitäten
Stellen Sie sicher, dass Benutzer über die entsprechenden Berechtigungen verfügen, um das Prinzip der geringsten Rechteeinzuhalten. Basierend auf unseren Telemetriedaten verwenden über 90 % der Identitäten weniger als 5 % der erteilten Berechtigungen. Über 50 % dieser Berechtigungen stellen ein hohes Risiko dar. Kompromittierte Konten können katastrophale Schäden verursachen.
Die Verwaltung von Multicloudumgebungen ist schwierig, da Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) und Sicherheitsteams häufig funktionsübergreifend zusammenarbeiten müssen. Multicloudumgebungen können umfassende Erkenntnisse zu Identitäten, Berechtigungen und Ressourcen einschränken. Diese eingeschränkten Einsichten erhöhen die Angriffsfläche auf Identitäten, die über übermäßig privilegierte Rollen und über Konten verfügen. Das Risiko kompromittierter, nicht verwendeter Konten mit hohen Berechtigungen steigt, wenn Organisationen Multicloud einführen.
Identifizieren nicht menschlicher Konten
Konten, die nicht Personen zugeordnet sind, besitzen wiederholbare Muster und ändern sich im Lauf der Zeit wahrscheinlich weniger. Wenn Sie solche Konten ermitteln, sollten Sie die Verwendung von Workload- oder verwalteten Identitäten und von Microsoft Entra Permissions Management in Erwägung ziehen. Permissions Management ist ein CIEM-Tool (Cloud Infrastructure Entitlement Management, Cloudinfrastruktur-Berechtigungsverwaltung). Es bietet umfassende Erkenntnisse zu Berechtigungen, die Sie allen Identitäten in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP) zuweisen.
Schränken Sie die Rollen auf das Zero Trust-Sicherheitsprinzip für den Zugriff ein. Achten Sie auf Superidentitäten (z. B. serverlose Funktionen und Apps). Beziehen Sie Anwendungsfälle für Gen KI-Anwendungen in Ihre Überlegungen ein.
Erzwingen des Just-In-Time-Zugriffs für Microsoft Entra-Rollen
Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen beim Verwalten, Steuern und Überwachen des Zugriffs auf Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten (z. B. Microsoft 365 oder Microsoft Intune). Privilegierte Benutzende ohne aktiviertes PIM haben ständigen Zugriff (immer in ihren zugewiesenen Rollen, auch wenn sie keine Berechtigungen benötigen). Die PIM-Seite Ermittlung und Erkenntnisse zeigt dauerhafte globale Administratorzuweisungen, Konten mit privilegierten Rollen und Dienstprinzipale mit privilegierten Rollenzuweisungen an. Wenn solche Berechtigungen angezeigt werden, notieren Sie sich, was für Ihre Umgebung normal sein sollte. Erwägen Sie, diese Rollen einzuschränken oder den Zugriff mit PIM-berechtigten Zuweisungen auf Just-In-Time (JIT) zu reduzieren.
Sie können direkt auf der Seite „Ermittlung und Erkenntnisse“ auch privilegierte Rollen mit PIM integrieren, um den ständigen Zugriff zu reduzieren. Sie können eine Zuweisung auch vollständig entfernen, wenn kein privilegierter Zugriff erforderlich ist. Sie können eine Zugriffsüberprüfung für globale Administratorkonten erstellen, die sie auffordert, ihren eigenen Zugriff regelmäßig zu überprüfen.
Aktivieren von Zugriffssteuerungen
Berechtigungsausweitung sorgt für das Risiko unbefugten Zugriffs und eingeschränkte Unternehmensdatenänderungen. Schützen Sie KI-Anwendungen mit denselben Governanceregeln, die Sie auf alle Unternehmensressourcen anwenden. Um dieses Ziel zu erreichen, definieren Sie differenzierte Zugriffsrichtlinien für alle Benutzenden und Unternehmensressourcen (einschließlich Gen KI-Apps) mit ID Governance und Microsoft Entra Conditional Access, und stellen Sie sie bereit.
Stellen Sie sicher, dass nur die richtigen Personen über die erforderliche Zugriffsebene für die passenden Ressourcen verfügen. Automatisieren Sie durch Steuerungen mit Berechtigungsverwaltung, Lebenszyklusworkflows, Zugriffsanforderungen, Überprüfungen und Ablauf die Zugriffszyklen im großen Stil.
Steuern Sie Ihre JML-Benutzerprozesse (Joiner, Mover und Leaver; Einstellungen, Versetzungen und Kündigungen) mit Lebenszyklus-Workflows, und steuern Sie den Zugriff in ID Governance.
Konfigurieren von Richtlinien und Steuerungen für den Benutzerzugriff
Verwenden Sie die Berechtigungsverwaltung in ID Governance, um mit mehrstufigen Genehmigungsrichtlinien zu steuern, wer auf Anwendungen, Gruppen, Teams und SharePoint-Websites zugreifen darf.
Konfigurieren Sie automatische Zuweisungsrichtlinien in der Berechtigungsverwaltung, um Benutzenden automatisch Zugriff auf Ressourcen basierend auf Benutzereigenschaften wie Abteilung oder Kostenstelle zu gewähren. Entfernen Sie den Benutzerzugriff, wenn sich diese Eigenschaften ändern.
Für einen angemessenen Zugriff wird empfohlen, ein Ablaufdatum und/oder eine regelmäßige Zugriffsüberprüfung auf Richtlinien der Berechtigungsverwaltung anzuwenden. Diese Anforderungen stellen über zeitlich begrenzte Zuweisungen und wiederkehrende Anwendungszugriffsüberprüfungen sicher, dass Benutzende den Zugriff nicht unbegrenzt behalten.
Erzwingen von Organisationsrichtlinien mit Microsoft Entra Conditional Access
Conditional Access führt Signale zusammen, um Entscheidungen zu treffen und Unternehmensrichtlinien durchzusetzen. Conditional Access ist die Zero Trust-Richtlinien-Engine von Microsoft, die Signale von verschiedenen Quellen beim Erzwingen von Richtlinienentscheidungen berücksichtigt.
Erzwingen Sie das Prinzip der geringstmöglichen Rechte, und wenden Sie die richtigen Zugriffssteuerungen an, um Ihre Organisation mit Richtlinien für bedingten Zugriff zu schützen. Stellen Sie sich Richtlinien für bedingten Zugriff als Wenn-Dann-Anweisungen vor, durch die Identitäten, die bestimmte Kriterien erfüllen, nur dann auf Ressourcen zugreifen können, wenn sie bestimmte Anforderungen wie MFA oder den Gerätecompliancestatus erfüllen.
Beschränken Sie den Zugriff auf Gen KI-Apps basierend auf Signalen wie Benutzende, Gruppen, Rollen, Standort oder Risiko, um Richtlinienentscheidungen zu verbessern.
- Verwenden Sie die Steuerung für bedingten Zugriff nach Authentifizierungsstärke, die Kombinationen von Authentifizierungsmethoden für den Zugriff auf eine Ressource erzwingt. Benutzende müssen die vor Phishing schützende Multi-Faktor-Authentifizierung (MFA) abschließen, um auf Gen KI-Apps zuzugreifen.
- Stellen Sie den adaptiven Schutz von Microsoft Purview bereit, um Risiken bei der KI-Verwendung zu minimieren und zu verwalten. Verwenden Sie die Bedingung Insider-Risiko, um den Zugriff auf Gen KI-Apps für Benutzende mit erhöhtem Insider-Risiko zu blockieren.
- Stellen Sie Gerätecompliancerichtlinien von Microsoft Intune bereit, um Gerätecompliancesignale in Richtlinienentscheidungen für bedingten Zugriff einzubeziehen. Verwenden Sie die Gerätecompliancebedingung, damit Benutzer ein konformes Gerät verwenden müssen, um auf Gen KI-Apps zuzugreifen.
Nachdem Sie Richtlinien für bedingten Zugriff bereitgestellt haben, verwenden Sie die Arbeitsmappe Lückenanalyse für bedingten Zugriff, um Anmeldungen und Anwendungen zu identifizieren, bei denen Sie diese Richtlinien nicht erzwungen werden. Es wird empfohlen, mindestens eine Richtlinie für bedingten Zugriff bereitzustellen, die auf alle Ressourcen ausgerichtet ist, um eine grundlegende Zugriffssteuerung sicherzustellen.
Aktivieren von Automatisierung zum Verwalten des Identitätslebenszyklus von Mitarbeitenden im großen Stil
Gewähren Sie Benutzenden nur dann Zugriff auf Informationen und Ressourcen, wenn sie diesen auch tatsächlich benötigen, um ihre Aufgaben auszuführen. Dieser Ansatz verhindert nicht autorisierten Zugriff auf vertrauliche Daten und minimiert potenzielle Auswirkungen von Sicherheitsverletzungen. Durch die Automatisierung der Benutzerbereitstellung reduzieren Sie die unnötige Zuweisung von Zugriffsrechten.
Automatisieren Sie Lebenszyklusprozesse für Microsoft Entra-Benutzende im großen Stil mit Lebenszyklus-Workflows in ID Governance. Automatisieren Sie Workflowaufgaben, um den Umfang des Benutzerzugriffs anzupassen, wenn wichtige Ereignisse eintreten. Solche Ereignisse sind z. B. der Arbeitsbeginn neuer Mitarbeitender in Ihrer Organisation, eine Statusänderung von Mitarbeitenden und Fälle, in denen Mitarbeitende die Organisation verlassen.
Steuern des Zugriffs auf Administratorrollen mit umfangreichen Berechtigungen
Es kann Fälle geben, in denen Identitäten aufgrund geschäftlicher/betrieblicher Anforderungen Zugriff mit erhöhten Berechtigungen erfordern, z. B. Notfallkonten.
Privilegierte Konten sollten die höchste Schutzebene aufweisen. Kompromittierte privilegierte Konten können potenziell erhebliche Auswirkungen auf Organisationsvorgänge haben.
Weisen Sie autorisierten Benutzenden nur Administratorrollen in Microsoft Azure und Microsoft Entra zu. Microsoft empfiehlt, die vor Phishing geschützte MFA mindestens für die folgenden Rollen zu erzwingen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für bedingten Zugriff
- Exchange-Administrator
- Helpdeskadministrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Ihre Organisation kann Rollen basierend auf Anforderungen ein- oder ausschließen. Um die Rollenmitgliedschaften zu überprüfen, konfigurieren und überprüfen Sie den Zugriff von Verzeichnisrollen.
Wenden Sie die rollenbasierte Zugriffssteuerung mithilfe von Privileged Identity Management (PIM) und Just-In-Time-Zugriff (JIT) an. PIM bietet JIT-Zugriff auf Ressourcen durch Zuweisung von zeitlich begrenztem Zugriff. Vermeiden Sie den ständigen Zugriff, um das Risiko für übermäßigen oder missbräuchlichen Zugriff zu verringern. PIM ermöglicht Genehmigungs- und Berechtigungsanforderungen, die MFA-Erzwingung bei der Rollenaktivierung und den Überwachungsverlauf.
Verwalten des Identitätslebenszyklus externer Gäste und des Zugriffs
In den meisten Organisationen laden Geschäftspartner (B2B) und Lieferanten Endbenutzende zur Zusammenarbeit ein und weisen ihnen Zugriff auf Anwendungen zu. In der Regel erhalten Partner für die Zusammenarbeit den Anwendungszugriff während des Onboardingprozesses. Wenn für die Zusammenarbeit kein klares Enddatum festgelegt wird, ist nicht klar, wann einzelne Benutzende keinen Zugriff mehr benötigen.
Mit den Features der Berechtigungsverwaltung können Sie den automatisierten Lebenszyklus externer Identitäten mit Zugriff auf Ressourcen aktivieren. Richten Sie Prozesse und Verfahren ein, um den Zugriff über die Berechtigungsverwaltung zu verwalten. Veröffentlichen Sie Ressourcen über Zugriffspakete. Dieser Ansatz hilft Ihnen, den Zugriff externer Benutzender auf Ressourcen nachzuverfolgen und die Komplexität von Problemen zu verringern.
Wenn Mitarbeitende für die Zusammenarbeit mit externen Benutzenden autorisiert sind, können sie eine beliebige Anzahl von Benutzenden einladen, die nicht Ihrer Organisation angehören. Wenn externe Identitäten Anwendungen verwenden, helfen Ihnen Microsoft Entra-Zugriffsüberprüfungen, den Zugriff zu überprüfen. Sie können zulassen, dass Ressourcenbesitzende, externe Identitäten selbst oder eine andere delegierte Person, der Sie vertrauen, bestätigen können, ob weiterhin Zugriff erforderlich ist.
Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen, um zu verhindern, dass sich externe Identitäten bei Ihrem Mandanten anmelden, und um externe Identitäten nach 30 Tagen aus Ihrem Mandanten zu löschen.
Erzwingen von Datenschutz und Complianceschutz mit Microsoft Purview
Verwenden Sie Microsoft Purview, um die mit der KI-Nutzung verbundenen Risiken zu mindern und zu verwalten. Implementieren Sie entsprechende Schutz- und Governancesteuerungen. Der Microsoft Purview-KI-Hub befindet sich derzeit in der Vorschau. Er bietet benutzerfreundliche grafische Tools und Berichte, um schnell Erkenntnisse zur KI-Verwendung innerhalb Ihrer Organisation zu erhalten. Sie können Ihre Daten mit einem Klick schützen und gesetzliche Vorschriften einhalten.
Sie können innerhalb des bedingten Zugriffs den adaptiven Schutz von Microsoft Purview aktivieren, um Verhalten zu kennzeichnen, das auf Insider-Risiken hinweist. Wenden Sie den adaptiven Schutz zusammen mit anderen Steuerungen für bedingten Zugriff an, um die Benutzenden zur Multi-Faktor-Authentifizierung aufzufordern oder andere Aktionen basierend auf Ihren Anwendungsfällen bereitzustellen.
Überwachen des Zugriffs
Die Überwachung ist entscheidend, um potenzielle Bedrohungen und Sicherheitsrisiken frühzeitig zu erkennen. Achten Sie auf ungewöhnliche Aktivitäten und Konfigurationsänderungen, um Sicherheitsverletzungen zu verhindern und die Datenintegrität aufrechtzuerhalten.
Überprüfen und überwachen Sie kontinuierlich den Zugriff auf Ihre Umgebung, um verdächtige Aktivitäten aufzudecken. Vermeiden Sie Berechtigungsausweitungen, und aktivieren Sie Warnungen, wenn etwas unbeabsichtigt geändert wird.
- Um Ihre Umgebung proaktiv auf Konfigurationsänderungen und verdächtige Aktivitäten zu überwachen, integrieren Sie Microsoft Entra ID-Überwachungsprotokolle in Azure Monitor.
- Konfigurieren Sie Sicherheitswarnungen, um zu überwachen, wann Benutzende privilegierte Rollen aktivieren.
- Überwachen Sie mit Microsoft Entra ID Protection untypische Verwendungsmuster Ihrer Benutzenden. Eine untypische Verwendung kann darauf hindeuten, dass böswillige Akteure versuchen, sich Zugriff zu verschaffen und Gen KI-Tools auf unangemessene Weise verwenden.
In einigen Szenarien verwenden Sie KI-Anwendungen möglicherweise nur saisonal. Beispielsweise werden Finanz-Apps außerhalb der Steuer- und Überwachungssaison nur selten genutzt, während Einzelhandels-Apps während Feiertagen Nutzungsspitzen aufweisen. Deaktivieren Sie mit Lebenszyklus-Workflows Konten, die für einen längeren Zeitraum nicht verwendet werden, insbesondere Konten externer Partner. Berücksichtigen Sie die Saisonalität auch, wenn JIT oder vorübergehende Kontoaktivierungen besser geeignet sind.
Im Idealfall befolgen alle Benutzenden die Zugriffsrichtlinien, um den Zugriff auf Organisationsressourcen zu schützen. Wenn Sie Richtlinien für bedingten Zugriff mit Ausschlüssen für einzelne Benutzende oder Gäste verwenden müssen, können Sie eine Richtlinienausnahme vermeiden. Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen, damit Ihre Prüfenden regelmäßige Ausnahmeüberprüfungen durchführen können.
Überprüfen Sie Permissions Management kontinuierlich. Wenn Identitäten länger in einer Organisation bleiben, sammeln sie in der Regel Berechtigungen an, wenn sie an neuen Projekten arbeiten oder in andere Teams wechseln. Überwachen Sie den PCI-Score (Permissions Creep Index) in Permissions Management, und richten Sie Überwachungs- und Benachrichtigungsfunktionen ein. Mit diesem Ansatz reduzieren Sie die Möglichkeit einer schrittweisen Ausweitung von Berechtigungen und den Geltungsbereich kompromittierter Benutzerkonten.
- Konfigurieren Sie Berichte so, dass sie regelmäßig ausgeführt werden. Konfigurieren Sie benutzerdefinierte Berichte für bestimmte Anwendungsfälle, insbesondere für Identitäten, die auf Gen KI-Apps zugreifen müssen.
- Verwenden Sie Permissions Management, um Berechtigungsausweitungen in Azure, AWS und GCP zu überwachen. Wenden Sie Empfehlungen auf Workloadidentitäten an, um sicherzustellen, dass Ihre Gen KI-Apps keine übermäßigen Berechtigungen erhalten und ihnen im Lauf der Zeit nicht immer mehr Berechtigungen hinzugefügt werden.
Zugehöriger Inhalt
- Microsoft Security Copilot unterstützt Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Bedrohungssuche, Erfassung von Informationen und Statusverwaltung.
- Microsoft Purview-Informationsbarrieren sind Richtlinien, die verhindern können, dass Einzelpersonen oder Gruppen miteinander kommunizieren. Informationsbarrieren in Microsoft Teams können Fälle von nicht autorisierter Zusammenarbeit ermitteln und verhindern.
- Überprüfen Sie die Microsoft 365 Copilot-Anforderungen auf Unternehmensdatenschutz in Copilot für Microsoft 365 und Microsoft Copilot.