Sikkerhets- og samsvarshensyn for intelligente programarbeidsbelastninger

Sikkerhet er avgjørende for enhver arkitektur. Microsoft Power Platform tilbyr et omfattende utvalg av verktøy for effektivt å sikre din intelligente applikasjonsarbeidsbelastning. Denne artikkelen beskriver sikkerhetsvurderinger og anbefalinger for utvikling av intelligente programarbeidsbelastninger med Power Platform.

Funksjoner for Copilot for Dynamics 365 og Power Platform følger et sett med kjernesikkerhets- og personvernpraksiser og Microsofts standard for ansvarlig kunstig intelligens. Dynamics 365- og Power Platform-data er beskyttet av omfattende, bransjeledende samsvars-, sikkerhets- og personvernkontroller. Hvis du vil ha mer informasjon om Microsoft Copilot Studio- og Power Platform-sikkerhetsfunksjoner, kan du se Sikkerhet og styring i Copilot Studio, Vanlige spørsmål om Copilot-datasikkerhet og -personvern for Dynamics 365 og Power Platform og Sikkerhet i Microsoft Power Platform.

Du bør regelmessig vurdere tjenestene og teknologiene du bruker, for å sikre at sikkerhetstiltakene dine samsvarer med det endrede trusselbildet.

Forstå sikkerhetskravene

Forstå de viktigste kravene for den intelligente programarbeidsbelastningen du implementerer. Still deg selv følgende spørsmål for å identifisere sikkerhetstiltakene du må ta tak i.

Tilgangskontroll og godkjenning

• Hvordan vil du implementere tilgangskontroll- og autentiseringsmekanismer for å sikre at bare autoriserte brukere har tilgang til den intelligente programarbeidsbelastningen?
• Hvordan sikrer du sikker og sømløs brukerautentisering?
• Hvordan kontrollerer du hvilke apper som kan samhandle med generativ kunstig intelligens (agent), og hvilke tiltak sikrer at disse begrensningene er effektive?

Sikkerhets- og hendelsesbehandling

• Hvordan vil du administrere og sikre programhemmeligheter, for eksempel API-nøkler og passord?
• Hvilke krav til nettverkssikkerhet påvirker den intelligente programarbeidsbelastningen? Er for eksempel interne API-er bare tilgjengelige i et virtuelt nettverk?
• Hvordan vil du overvåke og revidere tilgang og bruk av det intelligente programmet?
• Hva er hendelsesresponsplanen for å håndtere sikkerhetsbrudd eller sårbarheter?

Samsvar og datalagring

• Hvilke krav til datalagring gjelder for dataene som brukes i den intelligente programarbeidsbelastningen? Vet du hvor dataene dine vil befinne seg, og om plasseringen samsvarer med dine juridiske eller forskriftsmessige forpliktelser?
• Hvilke forskriftsmessige krav og samsvarskrav må oppfylles for den intelligente programarbeidsbelastningen?

Systemintegrasjon og nettverkskrav

• Hvordan vil den intelligente programarbeidsbelastningen integreres sikkert med andre interne og eksterne systemer?
• Hva er nettverks- og integreringskravene for arbeidsbelastningen? Er det behov for å integrere med interne eller eksterne datakilder eller API-er?

Etiske overveielser og ansvarlig kunstig intelligens

• Hvordan vil etiske hensyn og ansvarlig AI-praksis bli innlemmet i den intelligente programarbeidsbelastningen?

Implementer robuste autentiserings- og tilgangskontrolltiltak

Godkjenning gjør at brukere kan logge seg på, slik at agenten får tilgang til en begrenset ressurs eller informasjon. Brukere kan logge seg på med Microsoft Entra ID eller enhver OAuth2-identitetsleverandør, for eksempel Google eller Facebook.

Implementer robuste autentiserings- og tilgangskontrolltiltak for å sikre at autoriserte brukere kan få tilgang til agent. Å sikre at bare autoriserte brukere har tilgang til agenten er grunnlaget for sikkerhet. Implementering av flerfaktorautentisering legger til et ekstra lag med sikkerhet. Hvis du vil minimere risikoen for uautorisert tilgang, kan du definere roller og tillatelser for å sikre at brukere bare har tilgang til ressursene de trenger. Implementer policyer for betinget tilgang for å kontrollere tilgang basert på bestemte forhold, for eksempel brukerplassering, enhetssamsvar eller risikonivå.

Finn ut mer:

• Konfigurer brukergodkjenning
• Konfigurere enkel pålogging
• Konfigurer nettsikkerhet og Direct Line-kanalsikkerhet

Forstå hvordan forskriftsmessige krav påvirker prosjektet

Identifiser og overhold forskriftsmessige krav og normer som gjelder for bransjen din, for eksempel GDPR (EUs personvernforordning), HIPAA (Health Insurance Portability and Accountability Act) eller CCPA (California Consumer Privacy Act). Implementer nødvendige kontroller for å sikre etterlevelse. Planlegg regelmessige samsvarsrevisjoner for å verifisere etterlevelse av forskriftsmessige standarder og løse eventuelle hull. Vurder om det er spesifikke krav til dataplassering, for eksempel et krav om at data skal lagres i et bestemt land eller område. Sørg for at datalagringsstrategien din oppfyller disse kravene.

Sørg for at data beskyttes og administreres i etterlevelse med forskriftsmessige krav. Beskyttelse av dataene som håndteres av den intelligente programarbeidsbelastningen, er avgjørende for å opprettholde tillit og etterlevelse av juridiske og forskriftsmessige standarder.

Microsoft etterlever databeskyttelses- og personvernlovene som gjelder for skytjenester. Vårt samsvar med bransjestandarder i verdensklasse er verifisert. Miljøer kan opprettes i bestemte områder, selv om de er forskjellige fra området der leieren bor. Som standard beholdes samtaleutskrifter bare i 30 dager i Dataverse. Du kan justere denne oppbevaringsperioden for hvert miljø.

Finn ut mer:

• Sikkerhet og geografisk datalagring i Copilot Studio
• Geografisk datalagring i Copilot Studio
• Copilot Studio-samsvarstilbud
• Copilot StudioSamsvar med EUs personvernforordning (GDPR)
• Copilot Studio-dataplasseringer
• Administrere forskriftssamsvar i skyen
• Service Trust Portal
• Endre standard oppbevaringsperiode for øktavskrifter
• Flytt data på tvers av geografiske steder for generative KI-funksjoner utenfor USA
• Utform for å beskytte konfidensialitet

Sikre alle integreringer

Sørg for sikker kommunikasjon mellom intelligent applikasjonsarbeidsbelastning og datakilder. Den intelligente applikasjonsarbeidsbelastningen må integreres med andre systemer for å få tilgang til og behandle data. Hvis du vil forenkle identitetsadministrasjon og forbedre sikkerheten, kan du bruke tjenesteprinsipper for ikke-menneskelig tilgang til ressurser og administrerte identiteter for Azure-ressurser. Sikre API-er ved å bruke OAuth2 til godkjenning og ved å sikre at all API-kommunikasjon er kryptert. Bruk av tjenestekontohavere sikrer at tilkoblinger er sikre og ikke er avhengige av individuell legitimasjon.

Finn ut mer:

• Design for integreringssikkerhet
• Støtte for tjenestekontohaver

Implementer kontinuerlig overvåking og revisjon

Hovedformålet med sikkerhetsovervåking er trusselregistrering. Hovedmålet er å hindre potensielle sikkerhetsbrudd og opprettholde et sikkert miljø. Overvåk og revider kontinuerlig aktivitetene til den intelligente programarbeidsbelastningen for å oppdage og reagere proaktivt. Sikkerhet er en pågående prosess, ikke en engangskonfigurasjonsoppgave. Regelmessig overvåking og revisjon av brukertilgang og samhandlinger er avgjørende for å holde sikkerheten til din intelligente applikasjonsarbeidsbelastning.

Finn ut mer:

• Anbefalinger for overvåking og trusselregistrering
• Vise revisjonslogger for Copilot Studio
• Registrere Copilot Studio-telemetri med Azure Application Insights

Bruk Azure-sikkerhetsverktøy for å håndheve sikkerhetspolicyer

Bruk Azure innebygde sikkerhetsverktøy, for eksempel Microsoft Defender for Cloud (tidligere kjent som Azure Security Center) og Azure Policy, for å overvåke og håndheve sikkerhetspolicyer.

Gi opplæring til ansatte

Lær opp ansatte om beste praksis for databeskyttelse og viktigheten av å overholde kravene til dataresident. Tilpass opplæringsmateriell til de spesifikke rollene og ansvarsområdene til ulike ansatte. Databeskyttelseslover og -forskrifter er i stadig utvikling. Sørg for at opplæringsprogrammer oppdateres regelmessig for å gjenspeile de nyeste juridiske kravene og beste praksis. Bruk interaktive metoder som workshops, simuleringer og virkelige scenarioer for å gjøre opplæringen engasjerende og effektiv. Gi kontinuerlig støtte og ressurser, for eksempel tilgang til databeskyttelsesansvarlige eller juridiske rådgivere, for å hjelpe ansatte med å holde seg informert og i samsvar med regelverket.