Udostępnij za pośrednictwem

Bezpieczna generowanie sztucznej inteligencji za pomocą firmy Microsoft Entra

  • Artykuł

W miarę szybkiego rozwoju krajobrazu cyfrowego firmy w różnych branżach coraz częściej przyjmują generyjną sztuczną inteligencję (Gen AI), aby rozwijać innowacje i zwiększać produktywność. Ostatnie badania wskazują, że 93% firm wdraża lub opracowuje strategię sztucznej inteligencji. W przybliżeniu ten sam odsetek liderów ryzyka zgłasza, że czuje się niedostatecznie przygotowany lub tylko nieco przygotowany do rozwiązywania powiązanych zagrożeń. Podczas integrowania sztucznej inteligencji generacji z operacjami należy ograniczyć znaczące zagrożenia związane z zabezpieczeniami i ładem.

Firma Microsoft Entra oferuje kompleksowy zestaw funkcji do bezpiecznego zarządzania aplikacjami sztucznej inteligencji, odpowiednio kontrolować dostęp i chronić poufne dane:

W tym artykule omówiono konkretne wyzwania związane z zabezpieczeniami, które stanowią sztuczna inteligencja generacji i jak można je rozwiązać za pomocą usługi Microsoft Entra.

Odnajdywanie nieuprzywilejowanych tożsamości

Upewnij się, że użytkownicy mają odpowiednie uprawnienia, aby zachować zgodność z podmiotem zabezpieczeń najniższych uprawnień. Na podstawie naszej telemetrii ponad 90% tożsamości używa mniej niż 5% udzielonych uprawnień. Ponad 50% tych uprawnień jest wysokiego ryzyka. Naruszone konta mogą spowodować katastrofalne szkody.

Zarządzanie środowiskiem wielochmurowym jest trudne, ponieważ zespoły ds. zarządzania tożsamościami i dostępem (IAM) i zabezpieczeń często muszą współpracować w sposób współzadzielonego. Środowiska wielochmurowe mogą ograniczać kompleksowy wgląd w tożsamości, uprawnienia i zasoby. Ten ograniczony widok zwiększa obszar ataków na tożsamości z nadmiernie uprzywilejowanymi rolami i kontami z uprawnieniami. Ryzyko naruszenia bezpieczeństwa nieużywanych kont z wysokimi uprawnieniami zwiększa się w miarę wdrażania wielu chmur przez organizacje.

Identyfikowanie nieludzkich kont

Nieludzkie konta mają powtarzalne wzorce i są mniej narażone na zmianę w czasie. Podczas identyfikowania tych kont należy rozważyć użycie tożsamości obciążeń lub tożsamości zarządzanych oraz Zarządzanie uprawnieniami Microsoft Entra. Zarządzanie uprawnieniami to narzędzie do zarządzania upoważnieniami infrastruktury w chmurze (CIEM). Zapewnia ona kompleksowy wgląd w uprawnienia przypisywane do wszystkich tożsamości na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).

Przycinaj role w dół do zasady zabezpieczeń zabezpieczeń z najmniejszym dostępem do zaufania zerowego. Zwróć szczególną uwagę na super tożsamości (takie jak funkcje bezserwerowe i aplikacje). Uwzględnianie przypadków użycia aplikacji sztucznej inteligencji w usłudze Gen.

Wymuszanie dostępu just in time dla ról firmy Microsoft Entra

Usługa Microsoft Entra Privileged Identity Management (PIM) ułatwia zarządzanie, kontrolowanie i monitorowanie dostępu do zasobów w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft (takich jak Microsoft 365 lub Microsoft Intune). Uprzywilejowani użytkownicy z obsługą usługi PIM mają stały dostęp (zawsze w przypisanych rolach nawet wtedy, gdy nie potrzebują swoich uprawnień). Na stronie odnajdywania i szczegółowych informacji usługi PIM są wyświetlane stałe przypisania administratora globalnego, konta z rolami o wysokim poziomie uprawnień oraz jednostki usługi z przypisaniami ról uprzywilejowanych. Gdy zobaczysz te uprawnienia, zanotuj, co powinno być normalne w danym środowisku. Rozważ przycinanie tych ról lub zmniejszenie ich do dostępu just in time (JIT) przy użyciu kwalifikujących się przypisań usługi PIM.

Bezpośrednio na stronie odnajdywania i szczegółowych informacji możesz ustawić uprzywilejowane role PIM, aby zmniejszyć stały dostęp. Możesz całkowicie usunąć przypisanie, jeśli nie potrzebują uprzywilejowanego dostępu. Możesz utworzyć przegląd dostępu dla administratorów globalnych, który monituje ich o regularne przeglądanie własnego dostępu.

Włączanie kontroli dostępu

Pełzanie uprawnień powoduje ryzyko nieautoryzowanego dostępu i ograniczonego manipulowania danymi firmy. Zabezpieczanie aplikacji sztucznej inteligencji przy użyciu tych samych reguł ładu, które mają zastosowanie do wszystkich zasobów firmy. Aby osiągnąć ten cel, zdefiniuj i wprowadź szczegółowe zasady dostępu dla wszystkich użytkowników i zasobów firmy (w tym aplikacji gen AI) z ładem identyfikatorów i dostępem warunkowym firmy Microsoft Entra.

Upewnij się, że tylko odpowiednie osoby mają odpowiedni poziom dostępu dla odpowiednich zasobów. Automatyzowanie cykli życia dostępu na dużą skalę za pomocą mechanizmów zarządzania upoważnieniami, przepływów pracy cyklu życia, żądań dostępu, przeglądów i wygasań.

Zarządzanie procesami użytkowników joiner, Mover i Leaver (JML) za pomocą przepływów pracy cyklu życia i kontrolowania dostępu w zakresie ładu identyfikatorów.

Konfigurowanie zasad i kontrolek w celu zarządzania dostępem użytkowników

Zarządzanie upoważnieniami w ładze identyfikatorów umożliwia kontrolowanie, kto może uzyskiwać dostęp do aplikacji, grup, aplikacji Teams i witryn programu SharePoint przy użyciu zasad zatwierdzania wieloetapowego.

Skonfiguruj zasady automatycznego przypisywania w usłudze Zarządzanie upoważnieniami, aby automatycznie udzielać użytkownikom dostępu do zasobów na podstawie właściwości użytkownika, takich jak dział lub centrum kosztów. Usuń dostęp użytkownika po zmianie tych właściwości.

Aby uzyskać odpowiedni dostęp do rozmiaru, zalecamy zastosowanie daty wygaśnięcia i/lub okresowego przeglądu dostępu do zasad zarządzania upoważnieniami. Te wymagania gwarantują, że użytkownicy nie zachowują dostępu przez czas ograniczony czas i cykliczne przeglądy dostępu do aplikacji.

Wymuszanie zasad organizacji za pomocą dostępu warunkowego firmy Microsoft Entra

Dostęp warunkowy łączy sygnały w celu podejmowania decyzji i wymuszania zasad organizacji. Dostęp warunkowy to aparat zasad Zero Trust firmy Microsoft, który uwzględnia sygnały z różnych źródeł w celu wymuszania decyzji dotyczących zasad.

Wymuszanie zasad najniższych uprawnień i stosowanie odpowiednich mechanizmów kontroli dostępu w celu zapewnienia bezpieczeństwa organizacji przy użyciu zasad dostępu warunkowego. Zasady dostępu warunkowego należy traktować jako instrukcje if-then, w których tożsamości spełniające określone kryteria mogą uzyskiwać dostęp tylko do zasobów, jeśli spełniają określone wymagania, takie jak uwierzytelnianie wieloskładnikowe lub stan zgodności urządzeń.

Ogranicz dostęp do aplikacji gen AI na podstawie sygnałów , takich jak użytkownicy, grupy, role, lokalizacja lub ryzyko, aby zwiększyć decyzje dotyczące zasad.

Po wdrożeniu zasad dostępu warunkowego użyj skoroszytu analizatora luk dostępu warunkowego, aby zidentyfikować logowania i aplikacje, w których te zasady nie są wymuszane. Zalecamy wdrożenie co najmniej jednej zasady dostępu warunkowego, która jest przeznaczona dla wszystkich zasobów w celu zapewnienia podstawowej kontroli dostępu.

Włączanie automatyzacji w celu zarządzania cyklem życia tożsamości pracowników na dużą skalę

Nadaj użytkownikom dostęp do informacji i zasobów tylko wtedy, gdy mają prawdziwą potrzebę wykonywania zadań. Takie podejście zapobiega nieautoryzowanemu dostępowi do poufnych danych i minimalizuje potencjalny wpływ naruszenia zabezpieczeń. Użyj automatycznej aprowizacji użytkowników, aby zmniejszyć niepotrzebne udzielanie praw dostępu.

Automatyzowanie procesów cyklu życia użytkowników usługi Microsoft Entra na dużą skalę przy użyciu przepływów pracy cyklu życia w obszarze Ład identyfikatora . Automatyzowanie zadań przepływu pracy w celu odpowiedniego rozmiaru dostępu użytkownika w przypadku wystąpienia kluczowych zdarzeń. Przykładowe zdarzenia obejmują, zanim nowy pracownik ma rozpocząć pracę w organizacji, ponieważ pracownicy zmieniają stan i opuszczają organizację.

Zarządzanie dostępem do ról administracyjnych z wysokimi uprawnieniami

Mogą wystąpić przypadki, w których tożsamości wymagają wyższego dostępu uprzywilejowanego ze względu na wymagania biznesowe/operacyjne, takie jak konta ze szkła break glass .

Konta uprzywilejowane powinny mieć najwyższy poziom ochrony. Naruszone uprzywilejowane konta mogą spowodować potencjalnie znaczący lub istotny wpływ na operacje organizacyjne.

Przypisz autoryzowanych użytkowników tylko do ról administracyjnych na platformie Microsoft Azure i w usłudze Microsoft Entra. Firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji na następujących rolach co najmniej:

  • Administrator globalny
  • Administrator aplikacji
  • Administrator uwierzytelniania
  • Administrator rozliczeń
  • Administrator aplikacji w chmurze
  • Administrator dostępu warunkowego
  • Administrator programu Exchange
  • Administrator pomocy technicznej
  • Administrator haseł
  • Administrator uwierzytelniania uprzywilejowanego
  • Administrator ról uprzywilejowanych
  • Administrator zabezpieczeń
  • SharePoint Administrator
  • Administrator użytkowników

Twoja organizacja może zdecydować się na dołączenie lub wykluczenie ról na podstawie wymagań. Aby przejrzeć członkostwa w rolach, skonfiguruj i użyj przeglądów dostępu do ról katalogu.

Stosowanie kontroli dostępu opartej na rolach przy użyciu usługi Privileged Identity Management (PIM) i dostępu just in time (JIT). Usługa PIM zapewnia dostęp JIT do zasobów, przypisując dostęp ograniczony czasowo. Eliminowanie stałego dostępu do mniejszego ryzyka nadmiernego lub nieprawidłowego dostępu. Usługa PIM umożliwia zatwierdzanie i wymagania uzasadnienia, wymuszanie uwierzytelniania wieloskładnikowego na potrzeby aktywacji roli i historii inspekcji.

Zarządzanie cyklem życia tożsamości gościa zewnętrznego i dostępem

W większości organizacji użytkownicy końcowi zapraszają partnerów biznesowych (B2B) i dostawców do współpracy i zapewniają dostęp do aplikacji. Zazwyczaj partnerzy współpracy otrzymują dostęp do aplikacji podczas procesu dołączania. Gdy współpraca nie ma jasnej daty zakończenia, nie jest jasne, kiedy użytkownik nie potrzebuje już dostępu.

Funkcje zarządzania upoważnieniami umożliwiają zautomatyzowany cykl życia tożsamości zewnętrznych z dostępem do zasobów. Ustanów procesy i procedury zarządzania dostępem za pośrednictwem zarządzania upoważnieniami. Publikowanie zasobów za pośrednictwem pakietów dostępu. Takie podejście pomaga śledzić dostęp użytkowników zewnętrznych do zasobów i zmniejszyć złożoność problemu.

Gdy autoryzujesz pracowników do współpracy z użytkownikami zewnętrznymi, mogą zapraszać dowolną liczbę użytkowników spoza organizacji. Jeśli tożsamości zewnętrzne korzystają z aplikacji, przeglądy dostępu firmy Microsoft Entra ułatwiają przeglądanie dostępu. Możesz zezwolić właścicielowi zasobu, tożsamościom zewnętrznym lub innej delegowanej osobie, której ufasz, aby potwierdzić, czy wymagają one dalszego dostępu.

Użyj przeglądów dostępu firmy Microsoft Entra, aby zablokować logowanie się tożsamości zewnętrznych do dzierżawy i usuwanie tożsamości zewnętrznych z dzierżawy po upływie 30 dni.

Wymuszanie zabezpieczeń danych i ochrony zgodności za pomocą usługi Microsoft Purview

Użyj usługi Microsoft Purview , aby ograniczyć ryzyko związane z użyciem sztucznej inteligencji i zarządzać nimi. Zaimplementuj odpowiednie mechanizmy ochrony i kontroli ładu. Usługa Microsoft Purview AI Hub jest obecnie dostępna w wersji zapoznawczej. Zapewnia łatwe w użyciu narzędzia graficzne i raporty, aby szybko uzyskać wgląd w użycie sztucznej inteligencji w organizacji. Zasady jednym kliknięciem pomagają chronić dane i spełniać wymagania prawne.

W ramach dostępu warunkowego można włączyć funkcję adaptacyjnej ochrony usługi Microsoft Purview, aby oznaczyć zachowanie wskazujące na ryzyko wewnętrzne. Zastosuj ochronę adaptacyjną, stosując inne mechanizmy kontroli dostępu warunkowego, aby monitować użytkownika o uwierzytelnianie wieloskładnikowe lub udostępniać inne akcje na podstawie przypadków użycia.

Monitorowanie dostępu

Monitorowanie ma kluczowe znaczenie dla wczesnego wykrywania potencjalnych zagrożeń i luk w zabezpieczeniach. Poszukaj nietypowych działań i zmian konfiguracji, aby zapobiec naruszeniom zabezpieczeń i zachować integralność danych.

Stale przeglądaj i monitoruj dostęp do środowiska w celu wykrycia podejrzanych działań. Unikaj pełzania uprawnień i pobierania alertów, gdy coś nieumyślnie się zmienia.

W niektórych scenariuszach aplikacje sztucznej inteligencji mogą być używane tylko sezonowo. Na przykład aplikacje finansowe mogą mieć niskie użycie poza sezonem podatkowym i kontrolnym, podczas gdy aplikacje detaliczne mogą mieć skoki użycia w okresie świątecznym. Wyłącz konta, które są nieużywane przez dłuższy okres, zwłaszcza konta partnerów zewnętrznych, z przepływami pracy cyklu życia. Rozważ sezonowość, jeśli dezaktywacja konta tymczasowego lub trybu JIT jest bardziej odpowiednia.

Najlepiej, aby wszyscy użytkownicy przestrzegali zasad dostępu w celu zabezpieczenia dostępu do zasobów organizacji. Jeśli musisz używać zasad dostępu warunkowego z wykluczeniami dla poszczególnych użytkowników lub gości, możesz uniknąć nadzoru wyjątków zasad. Użyj przeglądów dostępu firmy Microsoft Entra, aby zapewnić audytorom dowód regularnego przeglądu wyjątków.

Stale przeglądaj pozycję Zarządzanie uprawnieniami. Ponieważ tożsamości pozostają w organizacji, zwykle zbierają uprawnienia podczas pracy nad nowymi projektami lub przenoszą zespoły. Monitoruj wskaźnik pełzania uprawnień (PCI) w obszarze Zarządzanie uprawnieniami i skonfiguruj możliwości monitorowania i zgłaszania alertów. Takie podejście zmniejsza stopniowe pełzanie uprawnień i zmniejsza promień wybuchu wokół naruszonych kont użytkowników.

  • Skonfiguruj raporty do regularnego uruchamiania. Skonfiguruj niestandardowe raporty pod kątem określonych przypadków użycia, szczególnie w przypadku tożsamości, które muszą uzyskiwać dostęp do aplikacji sztucznej inteligencji w usłudze Gen.
  • Aby monitorować uprawnienia pełzające między platformami Azure, AWS i GCP, użyj usługi Permissions Management. Zastosuj zalecenia do tożsamości obciążeń, aby upewnić się, że aplikacje sztucznej inteligencji generacji nie mają nadmiernych uprawnień lub mają więcej uprawnień dodanych w czasie niż jest to konieczne.

Powiązana zawartość