Delen via

Veilige Generatieve AI met Microsoft Entra

  • Artikel

Naarmate het digitale landschap zich snel ontwikkelt, nemen bedrijven in verschillende branches steeds vaker Generatieve kunstmatige intelligentie (Gen AI) aan om innovatie te stimuleren en de productiviteit te verbeteren. Een recent onderzoek geeft aan dat 93% van de bedrijven een AI-strategie implementeert of ontwikkelt. Ongeveer hetzelfde percentage risicoleiders melden dat ze zich niet voorbereid of slechts enigszins voorbereid voelen om de bijbehorende risico's aan te pakken. Wanneer u Gen AI integreert in uw bewerkingen, moet u aanzienlijke beveiligings- en governancerisico's beperken.

Microsoft Entra biedt een uitgebreide reeks mogelijkheden voor het veilig beheren van AI-toepassingen, het op de juiste wijze beheren van toegang en het beveiligen van gevoelige gegevens:

In dit artikel worden de specifieke beveiligingsuitdagingen besproken die Gen AI vormt en hoe u deze met Microsoft Entra kunt aanpakken.

Overprivilegeerde identiteiten ontdekken

Zorg ervoor dat gebruikers over de juiste machtigingen beschikken om te voldoen aan het principe van minimale bevoegdheid. Op basis van onze telemetrie gebruiken meer dan 90% van de identiteiten minder dan 5% van de verleende machtigingen. Meer dan 50% van deze machtigingen loopt een hoog risico. Gecompromitteerde accounts kunnen onherstelbare schade veroorzaken.

Multicloud-omgevingsbeheer is moeilijk omdat IAM-teams (Identity and Access Management) en beveiligingsteams vaak cross-functioneel moeten samenwerken. Omgevingen met meerdere clouds kunnen uitgebreide weergaven beperken tot identiteiten, machtigingen en resources. Deze beperkte weergave vergroot de kwetsbaarheid voor aanvallen op identiteiten met te veel bevoegdheden en accounts met machtigingen. Het risico op gecompromitteerde ongebruikte accounts met hoge machtigingen neemt toe naarmate organisaties multicloud gebruiken.

Niet-menselijke accounts identificeren

Niet-menselijke accounts hebben herhaalbare patronen en kunnen na verloop van tijd minder snel veranderen. Wanneer u deze accounts identificeert, kunt u overwegen om workload- of beheerde identiteiten en Microsoft Entra-machtigingsbeheer te gebruiken. Permissions Management is een CIEM-hulpprogramma (Cloud Infrastructure Entitlement Management). Het biedt uitgebreide zichtbaarheid van machtigingen die u toewijst aan alle identiteiten in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).

Knip rollen af tot het principe van de minimale toegangsrechten van Zero Trust . Let goed op superidentiteiten (zoals serverloze functies en apps). Factor in use cases voor Gen AI-toepassingen.

Just-In-Time-toegang afdwingen voor Microsoft Entra-rollen

Met Microsoft Entra Privileged Identity Management (PIM) kunt u de toegang tot resources in Microsoft Entra ID, Azure en andere Microsoft Online Services (zoals Microsoft 365 of Microsoft Intune) beheren, beheren en bewaken. Niet-PIM ingeschakelde bevoegde gebruikers hebben permanente toegang (altijd in hun toegewezen rollen, zelfs wanneer ze hun bevoegdheden niet nodig hebben). Op de pagina PIM-detectie en -inzichten worden permanente globale beheerderstoewijzingen, accounts met zeer bevoorrechte rollen en service-principals met bevoorrechte roltoewijzingen weergegeven. Wanneer u deze machtigingen ziet, noteert u wat normaal moet zijn voor uw omgeving. U kunt deze rollen beperken of ze beperken tot Just-In-Time-toegang (JIT) met in aanmerking komende PIM-toewijzingen.

Rechtstreeks op de pagina detectie en inzichten kunt u bevoorrechte rollen PIM maken die in aanmerking komen om de permanente toegang te beperken. U kunt de toewijzing helemaal verwijderen als ze geen bevoegde toegang nodig hebben. U kunt een toegangsbeoordeling maken voor globale beheerders die hen vraagt om regelmatig hun eigen toegang te controleren.

Toegangsbeheer inschakelen

Machtiging creep creëert een risico op onbevoegde toegang en beperkte manipulatie van bedrijfsgegevens. Beveilig AI-toepassingen met dezelfde governanceregels die u toepast op alle bedrijfsbronnen. Om dit doel te bereiken, definieert en uitrolt u gedetailleerd toegangsbeleid voor alle gebruikers en bedrijfsresources (inclusief Gen AI-apps) met id-governance en voorwaardelijke toegang van Microsoft Entra.

Zorg ervoor dat alleen de juiste personen het juiste toegangsniveau hebben voor de juiste resources. Automatiseer de levenscyclus van toegang op schaal via besturingselementen met Rechtenbeheer, Levenscycluswerkstromen, toegangsaanvragen, beoordelingen en vervaldatums.

Beheer uw gebruikersprocessen joiner, Mover en Leaver (JML) met levenscycluswerkstromen en beheer de toegang in ID-governance.

Beleid en besturingselementen configureren om gebruikerstoegang te beheren

Gebruik Rechtenbeheer in ID-beheer om te bepalen wie toegang heeft tot toepassingen, groepen, Teams en SharePoint-sites met goedkeuringsbeleid voor meerdere fasen.

Configureer beleid voor automatische toewijzing in Rechtenbeheer om gebruikers automatisch toegang te geven tot resources op basis van gebruikerseigenschappen zoals afdeling of kostenplaats. Gebruikerstoegang verwijderen wanneer deze eigenschappen worden gewijzigd.

Voor de juiste toegangsgrootte raden we u aan een vervaldatum en/of periodieke toegangsbeoordeling toe te passen op rechtenbeheerbeleid. Deze vereisten zorgen ervoor dat gebruikers de toegang niet voor onbepaalde tijd behouden via tijdsgebonden toewijzingen en terugkerende toegangsbeoordelingen voor toepassingen.

Organisatiebeleid afdwingen met voorwaardelijke toegang van Microsoft Entra

Voorwaardelijke toegang brengt signalen samen om beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang is de Zero Trust-beleidsengine van Microsoft die rekening houdt met signalen van verschillende bronnen om beleidsbeslissingen af te dwingen.

Dwing minimale bevoegdheden af en pas de juiste toegangsbeheer toe om uw organisatie veilig te houden met beleid voor voorwaardelijke toegang. Denk aan beleid voor voorwaardelijke toegang alsof-dan instructies waarbij identiteiten die voldoen aan bepaalde criteria alleen toegang hebben tot resources als ze voldoen aan specifieke vereisten, zoals MFA of apparaatnalevingsstatus.

Beperk de toegang tot Gen AI-apps op basis van signalen zoals gebruikers, groepen, rollen, locatie of risico om beleidsbeslissingen te verbeteren.

Nadat u beleid voor voorwaardelijke toegang hebt geïmplementeerd, gebruikt u de werkmap voor voorwaardelijke toegangsanalyse om aanmeldingen en toepassingen te identificeren waarvoor u dit beleid niet afdwingt. We raden u aan ten minste één beleid voor voorwaardelijke toegang te implementeren dat is gericht op alle resources om toegangsbeheer volgens basislijn te garanderen.

Automatisering inschakelen om de levenscyclus van werknemersidentiteit op schaal te beheren

Geef gebruikers alleen toegang tot informatie en resources als ze echt nodig hebben om hun taken uit te voeren. Deze aanpak voorkomt onbevoegde toegang tot gevoelige gegevens en minimaliseert mogelijke gevolgen voor beveiligingsschending. Gebruik geautomatiseerde inrichting van gebruikers om onnodige toekenning van toegangsrechten te verminderen.

Automatiseer levenscyclusprocessen voor Microsoft Entra-gebruikers op schaal met levenscycluswerkstromen in ID-governance. Automatiseer werkstroomtaken om de toegang van gebruikers op de juiste grootte te bepalen wanneer belangrijke gebeurtenissen plaatsvinden. Voorbeelden van gebeurtenissen zijn voordat een nieuwe werknemer is gepland om aan de slag te gaan bij de organisatie, wanneer werknemers de status wijzigen en wanneer werknemers de organisatie verlaten.

Toegang tot beheerdersrollen met hoge bevoegdheden beheren

Er kunnen gevallen zijn waarbij identiteiten toegang met hogere bevoegdheden vereisen vanwege zakelijke/operationele vereisten, zoals break glass-accounts .

Bevoegde accounts moeten het hoogste beveiligingsniveau hebben. Gecompromitteerde accounts kunnen mogelijk aanzienlijke of materiaalimpact hebben op organisatiebewerkingen.

Wijs alleen geautoriseerde gebruikers toe aan beheerdersrollen in Microsoft Azure en Microsoft Entra. Microsoft raadt u aan om minimaal phishingbestendige MFA op de volgende rollen te vereisen:

  • Hoofdbeheerder
  • Toepassingsbeheerder
  • Verificatiebeheerder
  • Factureringsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Helpdeskbeheerder
  • Wachtwoordbeheerder
  • Bevoorrechte verificatiebeheerder
  • Beheerder voor bevoorrechte rollen
  • Beveiligingsbeheer
  • SharePoint-beheerder
  • Gebruikersbeheerder

Uw organisatie kan ervoor kiezen om rollen op basis van vereisten op te nemen of uit te sluiten. Als u rollidmaatschappen wilt bekijken, configureert en gebruikt u toegangsbeoordelingen voor adreslijstrollen.

Pas op rollen gebaseerd toegangsbeheer toe met behulp van PIM (Privileged Identity Management) en Just-In-Time-toegang (JIT). PIM biedt JIT-toegang tot resources door tijdgebonden toegang toe te wijzen. Elimineren van permanente toegang tot een lager risico op overmatige of misbruikte toegang. PIM staat goedkeurings- en rechtvaardigingsvereisten toe, MFA-afdwinging voor rolactivering en controlegeschiedenis.

Levenscyclus en toegang van externe gastidentiteit beheren

In de meeste organisaties nodigen eindgebruikers zakelijke partners (B2B) en leveranciers uit voor samenwerking en bieden ze toegang tot toepassingen. Samenwerkingspartners ontvangen doorgaans toegang tot toepassingen tijdens het onboardingproces. Wanneer samenwerkingen geen duidelijke einddatum hebben, is het niet duidelijk wanneer een gebruiker geen toegang meer nodig heeft.

Rechtenbeheerfuncties maken geautomatiseerde levenscyclus van externe identiteiten mogelijk met toegang tot resources. Processen en procedures instellen voor het beheren van toegang via Rechtenbeheer. Resources publiceren via toegangspakketten. Met deze aanpak kunt u de toegang van externe gebruikers tot resources bijhouden en de complexiteit van het probleem verminderen.

Wanneer u werknemers machtigt om samen te werken met externe gebruikers, kunnen ze een willekeurig aantal gebruikers van buiten uw organisatie uitnodigen. Als externe identiteiten toepassingen gebruiken, helpt Microsoft Entra-toegangsbeoordelingen u om de toegang te controleren. U kunt de eigenaar van de resource, externe identiteiten zelf of een andere gedelegeerde persoon die u vertrouwt, laten bevestigen of ze permanente toegang nodig hebben.

Gebruik Microsoft Entra-toegangsbeoordelingen om te voorkomen dat externe identiteiten zich na 30 dagen aanmelden bij uw tenant en externe identiteiten uit uw tenant verwijderen.

Beveiliging en naleving van gegevens afdwingen met Microsoft Purview

Gebruik Microsoft Purview om de risico's voor AI-gebruik te beperken en te beheren. Implementeer de bijbehorende besturingselementen voor beveiliging en governance. Microsoft Purview AI Hub is momenteel beschikbaar als preview-versie. Het biedt gebruiksvriendelijke grafische hulpprogramma's en rapporten om snel inzicht te krijgen in AI-gebruik binnen uw organisatie. Met één klikbeleid kunt u uw gegevens beschermen en voldoen aan wettelijke vereisten.

Binnen voorwaardelijke toegang kunt u Adaptieve beveiliging van Microsoft Purview inschakelen om gedrag te markeren dat indicatief is voor intern risico. Pas Adaptieve beveiliging toe terwijl u andere besturingselementen voor voorwaardelijke toegang toepast om de gebruiker om MFA te vragen of andere acties op basis van uw gebruiksscenario's op te geven.

Toegang bewaken

Bewaking is van cruciaal belang om potentiële bedreigingen en beveiligingsproblemen vroeg te detecteren. Let op ongebruikelijke activiteiten en configuratiewijzigingen om beveiligingsschendingen te voorkomen en gegevensintegriteit te behouden.

Controleer en bewaak voortdurend de toegang tot uw omgeving om verdachte activiteiten te detecteren. Vermijd machtigingen en ontvang waarschuwingen wanneer dingen onbedoeld veranderen.

In sommige scenario's gebruikt u mogelijk alleen AI-toepassingen seizoensgebonden. Financiële apps kunnen bijvoorbeeld weinig gebruik hebben buiten het belasting- en auditseizoen, terwijl retail-apps mogelijk pieken in het gebruik hebben tijdens het feestdagenseizoen. Schakel accounts uit die gedurende een aanzienlijke periode niet worden gebruikt, met name externe partneraccounts, met levenscycluswerkstromen. Overweeg seizoensgebondenheid als JIT of tijdelijke accountdeactivatie geschikter is.

In het ideale instantie volgen alle gebruikers toegangsbeleid om de toegang tot organisatieresources te beveiligen. Wanneer u beleid voor voorwaardelijke toegang met uitsluitingen voor afzonderlijke gebruikers of gasten moet gebruiken, kunt u het toezicht op beleidsuitzonderingen voorkomen. Gebruik Microsoft Entra-toegangsbeoordelingen om auditors te voorzien van een regelmatige uitzonderingsbeoordeling.

Voortdurend machtigingenbeheer controleren. Naarmate identiteiten bij een organisatie blijven, verzamelen ze meestal machtigingen terwijl ze aan nieuwe projecten werken of teams verplaatsen. Bewaak de PCI-score (Permissions Creep Index) in Permissions Management en stel bewakings- en waarschuwingsmogelijkheden in. Deze aanpak vermindert geleidelijke machtigingen en vermindert de straalstraal rond aangetaste gebruikersaccounts.

Gerelateerde inhoud