Compartir a través de

Protección de la inteligencia artificial generativa con Microsoft Entra

  • Artículo

A medida que el panorama digital evoluciona rápidamente, las empresas de varios sectores adoptan cada vez más la inteligencia artificial generativa (Ge  AI) para impulsar la innovación y mejorar la productividad. Un estudio de investigación reciente indica que el 93 % de las empresas implementan o desarrollan una estrategia de inteligencia artificial. Aproximadamente, el mismo porcentaje de líderes de riesgo informa de que se sienten poco preparados o que solo están un poco preparados para abordar los riesgos asociados. A medida que integra la Gen AI en sus operaciones, debe mitigar los riesgos significativos de seguridad y gobernanza.

Microsoft Entra ofrece un conjunto completo de funcionalidades para administrar de forma segura las aplicaciones de inteligencia artificial, controlar el acceso adecuadamente y proteger los datos confidenciales:

En este artículo se describen los desafíos de seguridad específicos que plantea la Gen AI y cómo puede abordarlos con Microsoft Entra.

Detección de identidades sobreprivilegadas

Asegúrese de que los usuarios tengan los permisos adecuados para cumplir con la entidad de seguridad de privilegios mínimos. En función de la telemetría, más del 90 % de las identidades usan menos del 5 % de los permisos concedidos. Más del 50 % de esos permisos son de alto riesgo. Las cuentas en peligro pueden causar daños catastróficos.

La administración de entornos multinube es difícil, ya que los equipos de administración de identidad y acceso (IAM) y los de seguridad a menudo necesitan colaborar entre funciones. Los entornos multinube pueden limitar la vista completa de identidades, permisos y recursos. Esta vista limitada aumenta la superficie expuesta a ataques en las identidades que tienen roles con privilegios excesivos y cuentas con permisos. El riesgo de que haya cuentas sin usar con permisos elevados aumenta a medida que las organizaciones adoptan un entorno multinube.

Identificación de cuentas no humanas

Las cuentas no humanas tienen patrones repetibles y tienen menos probabilidades de cambiar con el tiempo. Al identificar estas cuentas, considere la posibilidad de usar identidades administradas o cargas de trabajo y Administración de permisos de Microsoft Entra. La Administración de permisos es una herramienta de administración de derechos de infraestructura en la nube (CIEM). Proporciona visibilidad completa de los permisos que se asignan a todas las identidades en Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).

Recorte los roles de acuerdo con el principio de seguridad de acceso con privilegios mínimos de Confianza cero. Preste mucha atención a las superidentidades (como las funciones y aplicaciones sin servidor). Factorice los casos de uso de las aplicaciones de Gen AI.

Exigir el acceso Just-In-Time para los roles de Microsoft Entra

Microsoft Entra Privileged Identity Management (PIM) le ayuda a administrar, controlar y supervisar el acceso a los recursos de Microsoft Entra ID, Azure y otros servicios en línea de Microsoft (como Microsoft 365 o Microsoft Intune). Los usuarios con privilegios no habilitados para PIM tienen acceso permanente (siempre en sus roles asignados incluso cuando no necesitan sus privilegios). En la página de información y detección de PIM se muestran asignaciones de administrador global permanentes, cuentas con roles con privilegios elevados y entidades de servicio con asignaciones de roles con privilegios. Cuando vea estos permisos, anote lo que debe ser normal para su entorno. Considere la posibilidad de reducir estos roles o reducirlos al acceso Just-In-Time (JIT) con asignaciones aptas para PIM.

Directamente dentro de la página de detección e información, puede hacer que los roles con privilegios sean aptos para PIM para reducir el acceso permanente. Puede quitar la asignación por completo si no necesitan acceso con privilegios. Puede crear una revisión de acceso para los administradores globales que les pida que revisen periódicamente su propio acceso.

Habilitar los controles de acceso

Un exceso de permisos crea un riesgo de acceso no autorizado y manipulación restringida de datos de la empresa. Proteja las aplicaciones de inteligencia artificial con las mismas reglas de gobernanza que se aplican a todos los recursos corporativos. Para lograr este objetivo, defina e implemente directivas de acceso pormenorizadas para todos los usuarios y recursos de la empresa (incluidas las aplicaciones de Gen AI) con gobernanza de identificadores y acceso condicional de Microsoft Entra.

Asegúrese de que solo las personas adecuadas tengan el nivel de acceso adecuado para los recursos adecuados. Automatice los ciclos de vida de acceso a gran escala a través de controles con administración de derechos, flujos de trabajo de ciclo de vida, solicitudes de acceso, revisiones y expiraciones.

Controle los procesos de los usuarios que se mueven, se unen o abandonan (JML) con flujos de trabajo de ciclo de vida y controle el acceso en el Gobierno de ID.

Configuración de directivas y controles para controlar el acceso de los usuarios

Use la Administración de derechos en el Gobierno de ID para controlar quién puede acceder a aplicaciones, grupos, Teams y sitios de SharePoint con directivas de aprobación de varias fases.

Configure directivas de asignación automáticas en la Administración de derechos para conceder automáticamente a los usuarios acceso a los recursos en función de las propiedades de usuario, como el departamento o el centro de costos. Quite el acceso de usuario cuando cambien esas propiedades.

Para ajustar el tamaño del acceso, se recomienda aplicar una fecha de expiración o una revisión periódica del acceso a las directivas de administración de derechos. Estos requisitos garantizan que los usuarios no conserven indefinidamente el acceso a través de asignaciones limitadas por tiempo y revisiones periódicas de acceso a aplicaciones.

Aplicación de directivas organizativas con el Acceso condicional de Microsoft Entra

El acceso condicional reúne las señales para tomar decisiones y aplicar las directivas de la organización. El acceso condicional es el motor de directivas de Confianza cero de Microsoft que tiene en cuenta señales de varios orígenes al aplicar decisiones de directivas.

Aplique los principios de privilegios mínimos y aplique los controles de acceso adecuados para mantener la organización segura con Directivas de acceso condicional. Piense en las directivas de acceso condicional como instrucciones if-then en las que las identidades que cumplen determinados criterios solo pueden acceder a los recursos si cumplen requisitos específicos, como MFA o estado de cumplimiento de dispositivos.

Restringir el acceso a las aplicaciones de Gen AI basadas en señales como usuarios, grupos, roles, ubicación o riesgo para mejorar las decisiones de directiva.

Después de implementar directivas de acceso condicional, use el libro analizador de brechas de acceso condicional para identificar los inicios de sesión y las aplicaciones en las que no se aplican estas directivas. Se recomienda implementar al menos una directiva de acceso condicional que tenga como destino todos los recursos para garantizar el control de acceso de línea base.

Habilitación de la automatización para administrar el ciclo de vida de la identidad de los empleados a gran escala

Proporcione a los usuarios acceso a información y recursos solo si tienen una necesidad genuina de que realicen sus tareas. Este enfoque evita el acceso no autorizado a datos confidenciales y minimiza el posible impacto en las infracciones de seguridad. Use el aprovisionamiento de usuarios automatizado para reducir la concesión innecesaria de derechos de acceso.

Automatice los procesos de ciclo de vida de los usuarios de Microsoft Entra a gran escala con flujos de trabajo de ciclo de vida en el Gobierno de ID. Automatice las tareas de flujo de trabajo para ajustar el tamaño adecuado al acceso de los usuarios cuando se produzcan eventos clave. Los eventos de ejemplo incluyen antes de que se programe un nuevo empleado para iniciar el trabajo en la organización, a medida que los empleados cambian el estado y a medida que los empleados abandonan la organización.

Control del acceso a roles administrativos con privilegios elevados

Puede haber casos en los que las identidades requieran un acceso con privilegios más altos debido a requisitos empresariales o operativos, como las cuentas de emergencia.

Las cuentas con privilegios deben tener el nivel de protección más alto. Las cuentas con privilegios en peligro pueden causar un impacto potencialmente significativo o material en las operaciones de la organización.

Asigne solo usuarios autorizados a roles administrativos en Microsoft Azure y Microsoft Entra. Microsoft recomienda requerir MFA resistente a la suplantación de identidad (phishing) en los siguientes roles como mínimo:

  • Administrador global
  • Administrador de aplicaciones
  • Administrador de autenticación
  • Administrador de facturación
  • Administrador de aplicaciones en la nube
  • Administrador de acceso condicional
  • Administrador de Exchange
  • Administrador del departamento de soporte técnico
  • Administrador de contraseñas
  • Administrador de autenticación con privilegios
  • Administrador de roles con privilegios
  • Administrador de seguridad
  • Administrador de SharePoint
  • Administrador de usuarios

Su organización pueden optar por incluir o excluir roles en función de sus requisitos. Para revisar las pertenencias a roles, configure y use las revisiones de acceso de roles de directorio.

Aplique el control de acceso basado en roles mediante Privileged Identity Management (PIM) y el acceso Just-In-Time (JIT). PIM proporciona acceso JIT a los recursos mediante la asignación de acceso enlazado a tiempo. Elimine el acceso permanente para reducir el riesgo de acceso excesivo o incorrecto. PIM permite los requisitos de aprobación y justificación, el cumplimiento de MFA para la activación de roles y el historial de auditoría.

Administrar el ciclo de vida y el acceso de la identidad de invitado externo

En la mayoría de las organizaciones, los usuarios finales invitan a asociados empresariales (B2B) y proveedores para la colaboración y proporcionan acceso a las aplicaciones. Normalmente, los asociados de colaboración reciben acceso a la aplicación durante el proceso de incorporación. Cuando las colaboraciones no tienen una fecha de finalización clara, no está claro cuando un usuario ya no necesita acceso.

Las características de administración de derechos permiten el ciclo de vida automatizado de las identidades externas con acceso a los recursos. Establezca procesos y procedimientos para administrar el acceso a través de la administración de derechos. Publique recursos a través de paquetes de acceso. Este enfoque le ayuda a realizar un seguimiento del acceso de los usuarios externos a los recursos y a reducir la complejidad del problema.

Cuando autoriza a los empleados a colaborar con usuarios externos, pueden invitar a cualquier número de usuarios externos a la organización. Si las identidades externas usan aplicaciones, las revisiones de acceso de Microsoft Entra le ayudarán a revisar el acceso. Puede permitir que el propietario del recurso, las identidades externas u otra persona delegada en la que confíe atestigüen si requieren acceso continuado.

Use las revisiones de acceso de Microsoft Entra para impedir que las identidades externas inicien sesión en el inquilino y eliminen identidades externas del inquilino después de 30 días.

Implementar protecciones de cumplimiento y seguridad de datos con Microsoft Purview

Use Microsoft Purview para mitigar y administrar los riesgos asociados al uso de inteligencia artificial. Implemente los controles de protección y gobernanza correspondientes. Microsoft Purview AI Hub está actualmente en versión preliminar. Proporciona herramientas gráficas e informes fáciles de usar para obtener rápidamente información sobre el uso de la inteligencia artificial en su organización. Las directivas de un solo clic le ayudan a proteger los datos y a cumplir los requisitos normativos.

Dentro del acceso condicional, puede habilitar la protección adaptable de Microsoft Purview para marcar el comportamiento que indica el riesgo interno. Aplique la protección adaptable a medida que aplique otros controles de acceso condicional para solicitar al usuario la MFA o proporcionar otras acciones en función de los casos de uso.

Supervisión del acceso

La supervisión es fundamental para detectar posibles amenazas y vulnerabilidades de manera temprana. Observe las actividades inusuales y los cambios de configuración para evitar infracciones de seguridad y mantener la integridad de los datos.

Revise y supervise continuamente el acceso a su entorno para detectar actividades sospechosas. Evite el exceso de permisos y obtenga alertas cuando las cosas cambien involuntariamente.

En algunos escenarios, es posible que solo use aplicaciones de inteligencia artificial de forma estacional. Por ejemplo, las aplicaciones financieras podrían tener un uso bajo fuera de la temporada fiscal y de auditoría, mientras que las aplicaciones de ventas minoristas podrían tener picos de uso durante la temporada de vacaciones. Deshabilite las cuentas que no se usen durante un período significativo, especialmente las cuentas de asociados externos, con flujos de trabajo de ciclo de vida. Considere la estacionalidad si la desactivación de cuentas temporales o JIT es más adecuada.

Idealmente, todos los usuarios siguen las directivas de acceso para proteger el acceso a los recursos de la organización. Cuando necesite usar directivas de acceso condicional con exclusiones para usuarios o invitados individuales, puede evitar la supervisión de excepciones de directivas. Use las revisiones de acceso de Microsoft Entra para proporcionar a los auditores una prueba de revisión periódica de excepciones.

Revise continuamente la Administración de permisos. A medida que las identidades permanecen con una organización, tienden a recopilar permisos mientras trabajan en proyectos nuevos o mueven equipos. Supervise la puntuación de Permissions Creep Index (PCI) en Administración de permisos y configure las funcionalidades de supervisión y alerta. Este enfoque reduce el aumento de los permisos graduales y reduce el radio de explosión alrededor de las cuentas de usuario comprometidas.

  • Configure informes para que se ejecuten periódicamente. Configure informes personalizados para casos de uso específicos, especialmente para las identidades que necesitan acceder a las aplicaciones de Gen AI.
  • Para supervisar el exceso de permisos en Azure, AWS y GCP, use Administración de permisos. Aplique recomendaciones a las identidades de carga de trabajo para asegurarse de que las aplicaciones de Gen AI no tengan permisos excesivos o que no tengan más permisos agregados a lo largo del tiempo de los que son necesarios.

Contenido relacionado