Gestione della postura di sicurezza basata su IA
Il piano Defender Cloud Security Posture Management (CSPM) in Microsoft Defender per il cloud offre funzionalità di gestione della postura di sicurezza basata su intelligenza artificiale che proteggono le applicazioni di IA generativa create dell'azienda, di tipo multi-cloud o cloud ibrido (attualmente Azure e AWS) per l'intero ciclo di vita dell'applicazione. Defender per il cloud riduce i rischi per i carichi di lavoro di intelligenza artificiale tra cloud nei modi seguenti:
- Individuando la distinta base per IA generativa, che include componenti, dati e artefatti di intelligenza artificiale dell'applicazione dal codice al cloud.
- Rafforzamento della postura di sicurezza delle applicazioni di IA generativa con raccomandazioni predefinite e tramite l'esplorazione e la correzione dei rischi per la sicurezza.
- Uso dell'analisi del percorso di attacco per identificare e correggere i rischi.
Importante
Per abilitare le funzionalità di gestione della postura di sicurezza basata su intelligenza artificiale in un account AWS che presenta già le caratteristiche seguenti:
- Connessione all'account Azure.
- Abilitazione di Defender CSPM.
- Tipo di autorizzazioni impostato come Accesso con privilegi minimi.
È necessario riconfigurare le autorizzazioni per tale connettore per abilitare le autorizzazioni pertinenti seguendo questa procedura:
- Nel portale di Azure passare alla pagina Impostazioni ambiente e selezionare il connettore AWS appropriato.
- Selezionare Configura accesso.
- Verificare che il tipo di autorizzazioni sia impostato su Accesso con privilegi minimi.
- Seguire i passaggi da 5 a 8 per completare la configurazione.
Individuazione di app di IA generativa
Defender per il cloud individua i carichi di lavoro di intelligenza artificiale e identifica i dettagli della distinta base dell'intelligenza artificiale dell'organizzazione. Questa visibilità consente di identificare e risolvere le vulnerabilità e proteggere le applicazioni di IA generativa da potenziali minacce.
Defender per il cloud individua automaticamente e continuamente i carichi di lavoro di intelligenza artificiale distribuiti nei servizi seguenti:
- Servizio OpenAI di Azure
- Azure Machine Learning
- Amazon Bedrock
Defender per il cloud può anche individuare le vulnerabilità all'interno di dipendenze della libreria di IA generativa, ad esempio TensorFlow, PyTorch e Langchain, analizzando il codice sorgente per rilevare errori di configurazione dell'infrastruttura come codice (IaC) e vulnerabilità nelle immagini del contenitore. L'aggiornamento o l'applicazione regolare di patch alle librerie possono impedire exploit, proteggere le applicazioni di IA generativa e mantenerne l'integrità.
Grazie a queste funzionalità, Defender per il cloud offre visibilità completa dei carichi di lavoro di intelligenza artificiale dal codice al cloud.
Riduzione dei rischi per le app di IA generativa
Defender CSPM fornisce informazioni contestuali sulla postura di sicurezza basata su intelligenza artificiale di un'organizzazione. È possibile ridurre i rischi all'interno dei carichi di lavoro di intelligenza artificiale usando raccomandazioni sulla sicurezza e le analisi dei percorsi di attacco.
Esplorazione dei rischi tramite le raccomandazioni
Defender per il cloud valuta i carichi di lavoro di intelligenza artificiale e genera raccomandazioni relative all'identità, alla sicurezza dei dati e all'esposizione a Internet per identificare e classificare in ordine di priorità i problemi di sicurezza critici nei carichi di lavoro di intelligenza artificiale.
Rilevamento di errori di configurazione per IaC
La sicurezza di DevOps rileva errori di configurazione per IaC, che possono esporre applicazioni di IA generativa a vulnerabilità di sicurezza, ad esempio controlli di accesso sovraesposti o servizi esposti pubblicamente accidentalmente. Queste configurazioni errate potrebbero causare violazioni dei dati, accessi non autorizzati e problemi di conformità, soprattutto quando si gestiscono normative rigorose sulla privacy dei dati.
Defender per il cloud valuta la configurazione delle app di IA generativa e fornisce raccomandazioni sulla sicurezza per migliorare la postura di sicurezza basata su intelligenza artificiale.
Le configurazioni non corrette rilevate devono essere risolte all'inizio del ciclo di sviluppo per evitare problemi più complessi in un secondo momento.
I controlli di sicurezza dell'intelligenza artificiale per IaC correnti includono:
- Usare endpoint privati del servizio Azure per intelligenza artificiale
- Limitare gli endpoint del servizio Azure per intelligenza artificiale
- Usare l'identità gestita per gli account del servizio Azure per intelligenza artificiale
- Usare l'autenticazione basata su identità per gli account del servizio Azure per intelligenza artificiale
Esplorazione dei rischi con analisi del percorso di attacco
L'analisi dei percorsi di attacco rileva e attenua i rischi per i carichi di lavoro di intelligenza artificiale, in particolare durante le fasi di radicamento (collegamento di modelli di intelligenza artificiale a dati specifici) e ottimizzazione (modifica di un modello con training preliminare in un set di dati specifico per migliorarne le prestazioni in un'attività correlata), in cui i dati potrebbero essere esposti.
Monitorando continuamente i carichi di lavoro di intelligenza artificiale, l'analisi del percorso di attacco può identificare punti deboli e potenziali vulnerabilità e fornire raccomandazioni specifiche. Si estende anche ai casi in cui i dati e le risorse di calcolo vengono distribuiti in Azure, AWS e GCP.