Udostępnij za pośrednictwem


Zarządzanie stanem zabezpieczeń AI

Plan zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender w Microsoft Defender dla Chmury zapewnia możliwości zarządzania stanem zabezpieczeń sztucznej inteligencji, które zabezpieczają aplikacje sztucznej inteligencji utworzone przez przedsiębiorstwo, wiele lub chmurę hybrydową (obecnie platformę Azure i AWS) w całym cyklu życia aplikacji. Defender dla Chmury zmniejsza ryzyko obciążeń sztucznej inteligencji między chmurami przez:

  • Odnajdywanie generowania rachunku za materiały sztucznej inteligencji (AI BOM), w tym składników aplikacji, danych i artefaktów sztucznej inteligencji z kodu do chmury.
  • Wzmocnienie poziomu zabezpieczeń aplikacji generujących sztuczną inteligencję dzięki wbudowanym rekomendacjom oraz eksplorowaniu i korygowaniu zagrożeń bezpieczeństwa.
  • Korzystanie z analizy ścieżki ataku w celu identyfikowania i korygowania zagrożeń.

Diagram cyklu życia programowania, który jest objęty zarządzaniem stanem zabezpieczeń sztucznej inteligencji Defender dla Chmury.

Ważne

Aby włączyć funkcje zarządzania stanem zabezpieczeń sztucznej inteligencji na koncie platformy AWS, które już:

  • Jest połączony z kontem platformy Azure.
  • Włączono CSPM w usłudze Defender.
  • Ma typ uprawnień ustawiony jako Najniższy dostęp uprzywilejowany.

Należy ponownie skonfigurować uprawnienia dla tego łącznika, aby włączyć odpowiednie uprawnienia, wykonując następujące kroki:

  1. W witrynie Azure Portal przejdź do strony Ustawienia środowiska i wybierz odpowiedni łącznik platformy AWS.
  2. Wybierz pozycję Konfiguruj dostęp.
  3. Upewnij się, że typ uprawnień jest ustawiony na Wartość Najmniejszy dostęp uprzywilejowany.
  4. Wykonaj kroki 5–8 , aby zakończyć konfigurację.

Odnajdywanie aplikacji generacyjnych sztucznej inteligencji

Defender dla Chmury odnajduje obciążenia sztucznej inteligencji i identyfikuje szczegóły modelu BOM sztucznej inteligencji organizacji. Ta widoczność umożliwia identyfikowanie i rozwiązywanie problemów z lukami w zabezpieczeniach oraz ochronę generowanych aplikacji sztucznej inteligencji przed potencjalnymi zagrożeniami.

Usługa Defenders for Cloud automatycznie i stale odnajduje wdrożone obciążenia sztucznej inteligencji w następujących usługach:

  • Azure OpenAI Service
  • Azure Machine Learning
  • Amazon Bedrock

Defender dla Chmury mogą również wykrywać luki w zabezpieczeniach w zależnościach biblioteki generowania sztucznej inteligencji, takich jak TensorFlow, PyTorch i Langchain, skanując kod źródłowy infrastruktury jako kodu (IaC) pod kątem błędów konfiguracji i obrazów kontenerów pod kątem luk w zabezpieczeniach. Regularne aktualizowanie lub stosowanie poprawek bibliotek może zapobiegać wykorzystaniu luk w zabezpieczeniach, chronić generujące aplikacje sztucznej inteligencji i utrzymywać ich integralność.

Dzięki tym funkcjom Defender dla Chmury zapewnia pełny wgląd obciążeń sztucznej inteligencji z kodu do chmury.

Zmniejszanie ryzyka generowania aplikacji sztucznej inteligencji

CSPM w usłudze Defender zapewnia kontekstowy wgląd w stan zabezpieczeń sztucznej inteligencji organizacji. W ramach obciążeń sztucznej inteligencji można zmniejszyć ryzyko, korzystając z zaleceń dotyczących zabezpieczeń i analizy ścieżki ataków.

Eksplorowanie zagrożeń przy użyciu zaleceń

Defender dla Chmury ocenia obciążenia sztucznej inteligencji i problemy z zaleceniami dotyczącymi tożsamości, zabezpieczeń danych i ekspozycji na Internet w celu identyfikowania i określania priorytetów krytycznych problemów z zabezpieczeniami w obciążeniach sztucznej inteligencji.

Wykrywanie błędów konfiguracji IaC

Zabezpieczenia devOps wykrywa błędy konfiguracji IaC, które mogą uwidaczniać generowanie aplikacji sztucznej inteligencji w celu luk w zabezpieczeniach, takich jak nadmiernie uwidocznione mechanizmy kontroli dostępu lub niezamierzone uwidocznione publicznie usługi. Te błędy konfiguracji mogą prowadzić do naruszeń danych, nieautoryzowanego dostępu i problemów ze zgodnością, zwłaszcza w przypadku obsługi rygorystycznych przepisów dotyczących prywatności danych.

Defender dla Chmury ocenia konfigurację aplikacji generacyjnych sztucznej inteligencji i udostępnia zalecenia dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń sztucznej inteligencji.

Wykryte błędy konfiguracji powinny zostać skorygowane na wczesnym etapie cyklu tworzenia, aby zapobiec bardziej złożonym problemom w dalszej części.

Bieżące kontrole zabezpieczeń IaC AI obejmują:

  • Korzystanie z prywatnych punktów końcowych usługi Azure AI
  • Ograniczanie punktów końcowych usługi Azure AI
  • Używanie tożsamości zarządzanej dla kont usługi Azure AI
  • Używanie uwierzytelniania opartego na tożsamościach dla kont usługi Azure AI

Eksplorowanie zagrożeń za pomocą analizy ścieżki ataku

Analiza ścieżek ataków wykrywa i ogranicza zagrożenia dla obciążeń sztucznej inteligencji, szczególnie podczas uziemienia (łączenie modeli sztucznej inteligencji z określonymi danymi) i dostrajanie (dostosowywanie wstępnie wytrenowanego modelu w określonym zestawie danych w celu zwiększenia wydajności powiązanego zadania), w których dane mogą być ujawniane.

Dzięki ciągłego monitorowania obciążeń sztucznej inteligencji analiza ścieżki ataków może identyfikować słabe strony i potencjalne luki w zabezpieczeniach oraz śledzić zalecenia. Ponadto rozszerza się ona na przypadki, w których dane i zasoby obliczeniowe są dystrybuowane między platformami Azure, AWS i GCP.