Proteggere l'intelligenza artificiale generativa con Microsoft Entra

Man mano che il panorama digitale si evolve rapidamente, le aziende in vari settori adottano sempre più l'intelligenza artificiale generativa (IA di generazione) per favorire l'innovazione e migliorare la produttività. Uno studio di ricerca recente indica che il 93% delle aziende sta implementando o sviluppando una strategia di IA. Approssimativamente la stessa percentuale di leader del rischio segnala la sensazione di non essere preparata o solo in qualche modo preparata per affrontare i rischi associati. Man mano che si integra l'intelligenza artificiale di generazione nelle operazioni, è necessario attenuare i rischi significativi per la sicurezza e la governance.

Microsoft Entra offre una suite completa di funzionalità per gestire in modo sicuro le applicazioni di intelligenza artificiale, controllare in modo appropriato l'accesso e proteggere i dati sensibili:

• Gestione delle autorizzazioni di Microsoft Entra (MEPM)
• Microsoft Entra ID Governance
• Accesso condizionale Microsoft Entra (CA)
• Microsoft Entra Privileged Identity Management (PIM)
• Rischio Insider di Microsoft Purview

Questo articolo illustra le problematiche di sicurezza specifiche poste dall'intelligenza artificiale di generazione e il modo in cui è possibile risolverli con Microsoft Entra.

Individuare le identità sovraprivate

Assicurarsi che gli utenti dispongano delle autorizzazioni appropriate per la conformità all'entità di privilegi minimi. In base ai dati di telemetria, oltre il 90% delle identità usa meno del 5% delle autorizzazioni concesse. Oltre il 50% di queste autorizzazioni è ad alto rischio. Gli account compromessi possono causare danni irreversibili.

La gestione dell'ambiente multicloud è difficile perché i team di gestione delle identità e degli accessi (IAM) e i team di sicurezza devono spesso collaborare tra le funzionalità. Gli ambienti multicloud possono limitare la visualizzazione completa in identità, autorizzazioni e risorse. Questa visualizzazione limitata aumenta la superficie di attacco sulle identità con ruoli con privilegi elevati e sugli account autorizzati. Il rischio di account inutilizzati compromessi con autorizzazioni elevate aumenta man mano che le organizzazioni adottano multicloud.

Identificare gli account non umani

Gli account non umani hanno modelli ripetibili e hanno meno probabilità di cambiare nel tempo. Quando si identificano questi account, prendere in considerazione l'uso di identità gestite o del carico di lavoro e Gestione delle autorizzazioni di Microsoft Entra. Gestione delle autorizzazioni è uno strumento CIEM (Cloud Infrastructure Entitlement Management). Offre visibilità completa sulle autorizzazioni assegnate a tutte le identità in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Ridurre i ruoli al principio di sicurezza dell'accesso con privilegi minimi Zero Trust . Prestare particolare attenzione alle identità con privilegi avanzati, ad esempio funzioni serverless e app. Fattore d'uso nei casi d'uso per le applicazioni di intelligenza artificiale di generazione.

Applicare l'accesso JUST-In-Time per i ruoli di Microsoft Entra

Microsoft Entra Privileged Identity Management (PIM) consente di gestire, controllare e monitorare l'accesso alle risorse in Microsoft Entra ID, Azure e altri Microsoft Online Services (ad esempio Microsoft 365 o Microsoft Intune). Gli utenti con privilegi non abilitati per PIM hanno accesso permanente (sempre nei ruoli assegnati anche quando non hanno bisogno dei propri privilegi). La pagina individuazione e informazioni dettagliate di PIM mostra assegnazioni permanenti di amministratore globale, account con ruoli con privilegi elevati e entità servizio con assegnazioni di ruolo con privilegi. Quando vengono visualizzate queste autorizzazioni, prendere nota di ciò che dovrebbe essere normale per l'ambiente in uso. Valutare la possibilità di ridurre questi ruoli o di ridurli all'accesso JIT (Just-In-Time) con assegnazioni idonee di PIM.

Direttamente all'interno della pagina individuazione e informazioni dettagliate, è possibile rendere idonei i ruoli con privilegi PIM per ridurre l'accesso permanente. È possibile rimuovere completamente l'assegnazione se non sono necessari l'accesso con privilegi. È possibile creare una verifica di accesso per gli amministratori globali che chiede loro di esaminare regolarmente il proprio accesso.

Abilitare i controlli di accesso

Lo scorrimento delle autorizzazioni crea un rischio di accesso non autorizzato e di manipolazione limitata dei dati aziendali. Proteggere le applicazioni di intelligenza artificiale con le stesse regole di governance applicate a tutte le risorse aziendali. Per raggiungere questo obiettivo, definire e implementare criteri di accesso granulari per tutti gli utenti e le risorse aziendali (incluse le app di intelligenza artificiale di generazione) con governance degli ID e accesso condizionale di Microsoft Entra.

Assicurarsi che solo le persone giuste abbiano il livello di accesso corretto per le risorse appropriate. Automatizzare i cicli di vita di accesso su larga scala tramite controlli con gestione entitlement, flussi di lavoro del ciclo di vita, richieste di accesso, verifiche e scadenze.

Gestire i processi utente di Joiner, Mover e Leaver (JML) con i flussi di lavoro del ciclo di vita e controllare l'accesso in Governance ID.

Configurare criteri e controlli per gestire l'accesso degli utenti

Usare Entitlement Management in ID Governance per controllare chi può accedere a applicazioni, gruppi, teams e siti di SharePoint con criteri di approvazione in più fasi.

Configurare i criteri di assegnazione automatica in Gestione entitlement per concedere automaticamente agli utenti l'accesso alle risorse in base alle proprietà utente, ad esempio reparto o centro di costo. Rimuovere l'accesso utente quando tali proprietà cambiano.

Per il corretto accesso alle dimensioni, è consigliabile applicare una data di scadenza e/o una revisione periodica dell'accesso ai criteri di gestione entitlement. Questi requisiti assicurano che gli utenti non mantengano l'accesso a tempo indefinito tramite assegnazioni limitate a tempo e verifiche ricorrenti di accesso alle applicazioni.

Applicare i criteri dell'organizzazione con l'accesso condizionale Microsoft Entra

L'accesso condizionale riunisce i segnali per prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è il motore dei criteri Zero Trust di Microsoft che tiene conto dei segnali provenienti da varie origini per applicare decisioni relative ai criteri.

Applicare i principi dei privilegi minimi e applicare i controlli di accesso corretti per proteggere l'organizzazione con i criteri di accesso condizionale. Si considerino i criteri di accesso condizionale come istruzioni if-then in cui le identità che soddisfano determinati criteri possono accedere solo alle risorse se soddisfano requisiti specifici, ad esempio MFA o stato di conformità del dispositivo.

Limitare l'accesso alle app di intelligenza artificiale di generazione in base a segnali come utenti, gruppi, ruoli, posizione o rischio per migliorare le decisioni relative ai criteri.

• Usare il controllo dell'accesso condizionale di livello di autenticazione che specifica le combinazioni di metodi di autenticazione per accedere a una risorsa. Richiedere agli utenti di completare l'autenticazione a più fattori (MFA) resistente al phishing per accedere alle app di intelligenza artificiale di generazione.
• Distribuire la protezione adattiva di Microsoft Purview per attenuare e gestire i rischi di utilizzo dell'intelligenza artificiale. Usare la condizione di rischio Insider per bloccare l'accesso alle app di intelligenza artificiale di generazione per gli utenti con rischi Insider elevati.
• Distribuire i criteri di conformità dei dispositivi di Microsoft Intune per incorporare i segnali di conformità dei dispositivi nelle decisioni dei criteri di accesso condizionale. Usare la condizione di conformità del dispositivo per richiedere agli utenti di avere un dispositivo conforme per accedere alle app di intelligenza artificiale di generazione.

Dopo aver distribuito i criteri di accesso condizionale, usare la cartella di lavoro dell'analizzatore gap di accesso condizionale per identificare gli accessi e le applicazioni in cui non si applicano questi criteri. È consigliabile distribuire almeno un criterio di accesso condizionale destinato a tutte le risorse per garantire il controllo di accesso di base.

Abilitare l'automazione per gestire il ciclo di vita delle identità dei dipendenti su larga scala

Concedere agli utenti l'accesso alle informazioni e alle risorse solo se hanno una vera necessità di svolgere le proprie attività. Questo approccio impedisce l'accesso non autorizzato ai dati sensibili e riduce al minimo il potenziale impatto sulle violazioni della sicurezza. Usare il provisioning utenti automatizzato per ridurre la concessione non necessaria dei diritti di accesso.

Automatizzare i processi del ciclo di vita per gli utenti di Microsoft Entra su larga scala con i flussi di lavoro del ciclo di vita nella governance degli ID. Automatizzare le attività del flusso di lavoro per le dimensioni corrette dell'accesso utente quando si verificano eventi chiave. Gli eventi di esempio includono prima che un nuovo dipendente venga pianificato per avviare il lavoro all'interno dell'organizzazione, in quanto i dipendenti cambiano lo stato e quando i dipendenti lasciano l'organizzazione.

Gestire l'accesso con privilegi elevati ai ruoli amministrativi

In alcuni casi le identità richiedono l'accesso con privilegi più elevati a causa di requisiti aziendali/operativi, ad esempio account break glass .

Gli account con privilegi devono avere il livello di protezione più elevato. Gli account con privilegi compromessi possono causare un impatto potenzialmente significativo o significativo sulle operazioni dell'organizzazione.

Assegnare utenti autorizzati solo ai ruoli amministrativi in Microsoft Azure e Microsoft Entra. Microsoft consiglia di richiedere l'autenticazione a più fattori resistente al phishing nei ruoli seguenti almeno:

• Amministratore globale
• Amministratore applicazione
• Amministratore dell'autenticazione
• Amministratore fatturazione
• Amministratore di applicazioni cloud
• Amministratore dell'accesso condizionale
• Amministratore di Exchange
• Amministratore supporto tecnico
• Amministratore password
• Amministratore autenticazione con privilegi
• Amministratore ruolo con privilegi
• Amministratore della sicurezza
• Amministratore di SharePoint
• Amministratore utenti

L'organizzazione potrebbe scegliere di includere o escludere ruoli in base ai requisiti. Per esaminare le appartenenze ai ruoli, configurare e usare le verifiche di accesso ai ruoli della directory.

Applicare il controllo degli accessi in base al ruolo usando Privileged Identity Management (PIM) e l'accesso JIT (Just-In-Time). PIM fornisce l'accesso JIT alle risorse assegnando l'accesso associato al tempo. Eliminare l'accesso permanente per ridurre il rischio di accesso eccessivo o improprio. PIM consente l'approvazione e i requisiti di giustificazione, l'imposizione dell'autenticazione a più fattori per l'attivazione dei ruoli e la cronologia di controllo.

Gestire il ciclo di vita e l'accesso delle identità guest esterne

Nella maggior parte delle organizzazioni, gli utenti finali invitano partner commerciali (B2B) e fornitori per la collaborazione e forniscono l'accesso alle applicazioni. In genere, i partner di collaborazione ricevono l'accesso alle applicazioni durante il processo di onboarding. Quando le collaborazioni non hanno una data di fine chiara, non è chiaro quando un utente non necessita più dell'accesso.

Le funzionalità di Gestione entitlement consentono il ciclo di vita automatizzato delle identità esterne con accesso alle risorse. Stabilire processi e procedure per gestire l'accesso tramite Gestione entitlement. Pubblicare le risorse tramite pacchetti di accesso. Questo approccio consente di tenere traccia dell'accesso degli utenti esterni alle risorse e ridurre la complessità del problema.

Quando si autorizzano i dipendenti a collaborare con utenti esterni, possono invitare un numero qualsiasi di utenti esterni all'organizzazione. Se le identità esterne usano applicazioni, le verifiche di accesso di Microsoft Entra consentono di esaminare l'accesso. È possibile consentire al proprietario della risorsa, alle identità esterne stesse o a un'altra persona delegata di attestare se richiedono l'accesso continuo.

Usare le verifiche di accesso di Microsoft Entra per impedire alle identità esterne di accedere al tenant ed eliminare identità esterne dal tenant dopo 30 giorni.

Applicare la sicurezza dei dati e le protezioni di conformità con Microsoft Purview

Usare Microsoft Purview per attenuare e gestire i rischi associati all'utilizzo dell'intelligenza artificiale. Implementare i controlli di protezione e governance corrispondenti. Microsoft Purview AI Hub è attualmente in anteprima. Offre strumenti e report grafici facili da usare per ottenere rapidamente informazioni dettagliate sull'uso dell'intelligenza artificiale all'interno dell'organizzazione. I criteri con un clic consentono di proteggere i dati e di rispettare i requisiti normativi.

All'interno dell'accesso condizionale è possibile abilitare Microsoft Purview Adaptive Protection per contrassegnare il comportamento indicativo del rischio Insider. Applicare la protezione adattiva quando si applicano altri controlli di accesso condizionale per richiedere all'utente l'autenticazione a più fattori o fornire altre azioni in base ai casi d'uso.

Monitorare l'accesso

Il monitoraggio è fondamentale per rilevare tempestivamente potenziali minacce e vulnerabilità. Controllare le attività insolite e le modifiche alla configurazione per evitare violazioni della sicurezza e mantenere l'integrità dei dati.

Esaminare e monitorare continuamente l'accesso all'ambiente per individuare attività sospette. Evitare che le autorizzazioni si intrufolino e ottengano avvisi quando le cose cambiano involontariamente.

• Per monitorare in modo proattivo l'ambiente per le modifiche alla configurazione e le attività sospette, integrare i log di controllo di Microsoft Entra ID con Monitoraggio di Azure.
• Configurare gli avvisi di sicurezza da monitorare quando gli utenti attivano i ruoli con privilegi.
• Controllare i modelli di utilizzo atipici degli utenti con Microsoft Entra ID Protection. L'utilizzo atipico potrebbe indicare che un attore non valido sta usando in modo inappropriato gli strumenti di intelligenza artificiale di generazione.

In alcuni scenari, è possibile usare solo le applicazioni di intelligenza artificiale in modo stagionale. Ad esempio, le app finanziarie potrebbero avere un basso utilizzo al di fuori della stagione fiscale e di controllo, mentre le app per la vendita al dettaglio potrebbero avere picchi di utilizzo durante la stagione delle festività. Disabilitare gli account inutilizzati per un periodo significativo, in particolare gli account partner esterni, con flussi di lavoro relativi al ciclo di vita. Valutare la stagionalità se la disattivazione dell'account JIT o temporaneo è più appropriata.

Idealmente, tutti gli utenti seguono i criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione. Quando è necessario usare i criteri di accesso condizionale con esclusioni per singoli utenti o guest, è possibile evitare la supervisione delle eccezioni dei criteri. Usare le verifiche di accesso di Microsoft Entra per fornire ai revisori la prova di revisione regolare delle eccezioni.

Esaminare continuamente Gestione delle autorizzazioni. Man mano che le identità rimangono con un'organizzazione, tendono a raccogliere le autorizzazioni mentre lavorano su nuovi progetti o spostano i team. Monitorare il punteggio permissions creep index (PCI) all'interno di Gestione autorizzazioni e configurare le funzionalità di monitoraggio e avviso. Questo approccio riduce le autorizzazioni graduali e riduce il raggio di esplosione intorno agli account utente compromessi.

• Configurare i report per l'esecuzione regolare. Configurare report personalizzati per casi d'uso specifici, in particolare per le identità che devono accedere alle app di intelligenza artificiale di generazione.
• Per monitorare le autorizzazioni in modo che si ridondano in Azure, AWS e GCP, usare Gestione delle autorizzazioni. Applicare raccomandazioni alle identità del carico di lavoro per assicurarsi che le app di intelligenza artificiale di generazione non dispongano di autorizzazioni eccessive o abbiano più autorizzazioni aggiunte nel tempo rispetto alle esigenze.

Contenuto correlato

• Microsoft Security Copilot consente di supportare professionisti della sicurezza in scenari end-to-end, ad esempio risposta agli eventi imprevisti, ricerca di minacce, raccolta di intelligence e gestione del comportamento.
• Le barriere informative di Microsoft Purview sono criteri che possono impedire a singoli utenti o gruppi di comunicare tra loro. Le barriere informative in Microsoft Teams possono determinare e impedire collaborazioni non autorizzate.
• Per i requisiti di Copilot di Microsoft 365, vedere Protezione dei dati aziendali in Copilot per Microsoft 365 e Microsoft Copilot.