Compartilhar via

Proteja a IA Generativa com o Microsoft Entra

  • Artigo

À medida que o cenário digital evolui rapidamente, as organizações de vários setores adotam cada vez mais Gen AI ( Inteligência Artificial Generativa) para impulsionar a inovação e aumentar a produtividade. Um estudo de pesquisa recente indica que 93% das empresas estão implementando ou desenvolvendo uma estratégia de IA. Aproximadamente o mesmo percentual de líderes de risco relatam sentir-se despreparados ou apenas um pouco preparados para lidar com os riscos associados. Ao integrar a Gen AI em suas operações, você deve mitigar riscos significativos de segurança e governança.

O Microsoft Entra oferece um conjunto abrangente de funcionalidades para gerenciar com segurança aplicativos de IA, controlar o acesso adequadamente e proteger dados confidenciais:

Este artigo aborda os desafios de segurança específicos que a IA gen apresenta e como você pode resolvê-los com os recursos oferecidos pelo Microsoft Entra.

Descobrir identidades com superprivilégios

Verifique se os usuários têm as permissões apropriadas para cumprir o princípio de privilégios mínimos. Com base em nossa telemetria, mais de 90% das identidades usam menos de 5% das permissões concedidas. Mais de 50% dessas permissões são de alto risco. Contas comprometidas podem causar danos catastróficos.

O gerenciamento de ambientes multinuvem é difícil, pois as equipes de IAM e segurança muitas vezes precisam colaborar de forma cruzada. Os ambientes multinuvem podem limitar a visão abrangente de identidades, permissões e recursos. Essa visão limitada aumenta a superfície de ataque em identidades com funções com superprivilégios e contas com permissões excessivas. O risco de contas não utilizadas comprometidas com altas permissões aumenta à medida que as organizações adotam a multinuvem.

Identificar contas não humanas

Contas não humanas têm padrões repetíveis e são menos propensas a mudar ao longo do tempo. Ao identificar essas contas, considere usar identidades de carga de trabalho ou gerenciadas e o Gerenciamento de Permissões do Microsoft Entra. O Gerenciamento de Permissões é uma ferramenta de Gerenciamento de Direitos de Infraestrutura de Nuvem (CIEM). Ele fornece visibilidade abrangente das permissões que você atribui a todas as identidades no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Arrume as funções para o princípio mínimo de segurança de acesso de Confiança Zero. Preste atenção especial às super identidades (como funções sem servidor e aplicativos). Fatorar nos casos de uso para aplicativos de Gen AI.

Impor acesso just-in-time para funções do Microsoft Entra

O Microsoft Entra Privileged Identity Management (PIM) ajuda você a gerenciar, controlar e monitorar o acesso a recursos no Microsoft Entra ID, Azure e outros Serviços Online da Microsoft (como o Microsoft 365 ou o Microsoft Intune). Usuários com privilégios não habilitados para PIM têm acesso permanente (sempre em suas funções atribuídas, mesmo quando não precisam de seus privilégios). A página de descoberta e insights do PIM mostra atribuições permanentes de Administrador Global, contas com funções altamente privilegiadas e entidades de serviço com atribuições de função com privilégios. Ao ver essas permissões, anote o que deve ser normal para o seu ambiente. Considere arrumar essas funções ou reduzi-las para acesso just-in-time (JIT) com atribuições qualificadas do PIM.

Diretamente na página de descoberta e insights, você pode tornar as funções com privilégios qualificadas para PIM para reduzir o acesso permanente. Você pode remover a atribuição completamente se não precisarem de acesso privilegiado. Você pode criar uma revisão de acesso para os Administradores Globais que os solicita a revisar regularmente seu próprio acesso.

Habilitar controles de acesso

O aumento de permissões cria um risco de acesso não autorizado e manipulação restrita de dados da empresa. Proteja aplicativos de IA com as mesmas regras de governança que você aplica a todos os recursos corporativos. Para atingir essa meta, defina e implemente políticas de acesso granulares para todos os usuários e recursos da empresa (incluindo aplicativos de Gen AI) com a Governança de ID e o Acesso Condicional do Microsoft Entra.

Certifique-se de que apenas as pessoas certas tenham o nível de acesso certo para os recursos certos. Automatize os ciclos de vida de acesso em escala por meio de controles com o Gerenciamento de Direitos, Fluxos de Trabalho do Ciclo de Vida, solicitações de acesso, revisões e expirações.

Gerencie seus processos de usuário de Ingresso, Movimentação e Saída (JML) com Fluxos de Trabalho de Ciclo de Vida e controle o acesso na Governança de Identidade.

Configurar políticas e controles para controlar o acesso do usuário

Use o Gerenciamento de Direitos na Governança de ID para controlar quem pode acessar aplicativos, grupos, Equipes e sites do SharePoint com políticas de aprovação em várias etapas.

Configurar políticas de atribuição automática no Gerenciamento de Direitos para conceder automaticamente acesso aos usuários com base em propriedades do usuário, como departamento ou centro de custo. Remover o acesso do usuário quando essas propriedades forem alteradas.

Para dimensionar corretamente o acesso, recomendamos que você aplique uma data de expiração e/ou revisão de acesso periódica às políticas de gerenciamento de direitos. Esses requisitos garantem que os usuários não retenham acesso indefinidamente por meio de atribuições limitadas por tempo e avaliações de acesso ao aplicativo recorrentes.

Impor políticas organizacionais com o Acesso Condicional do Microsoft Entra

O Acesso Condicional reúne sinais para tomar decisões e impor políticas organizacionais. O Acesso Condicional é o mecanismo de política de Confiança Zero da Microsoft que leva em conta sinais de várias fontes para impor decisões de política.

Imponha os princípios de privilégios mínimos e aplique os controles de acesso certos para manter sua organização segura com políticas de Acesso Condicional. Considere as políticas de Acesso Condicional como instruções if-then, em que as identidades que atendem a certos critérios só podem acessar recursos se cumprirem requisitos específicos, como MFA ou status de conformidade do dispositivo.

Restringir o acesso aos aplicativos de IA Gen com base em sinais como usuários, grupos, funções, localização ou risco para aprimorar as decisões de política.

Após implantar as políticas de Acesso Condicional, use a Pasta de trabalho do analisador de Gap de Acesso Condicional para identificar entradas e aplicativos os quais você não está impondo essas políticas. Recomendamos implantar pelo menos uma política de Acesso Condicional que tenha como destino todos os recursos para garantir o controle de acesso à linha de base.

Habilitar a automação para gerenciar o ciclo de vida da identidade do funcionário em escala

Dê aos usuários acesso a informações e recursos somente se eles tiverem uma necessidade genuína para realizar suas tarefas. Essa abordagem impede o acesso não autorizado a dados confidenciais e minimiza o impacto potencial de violação de segurança. Use o provisionamento automático de usuários para reduzir a concessão desnecessária de direitos de acesso.

Automatize os processos de ciclo de vida para os usuários do Microsoft Entra em escala com Fluxos de Trabalho de Ciclo de Vida na Governança de ID. Automatize as tarefas do fluxo de trabalho para dimensionar corretamente o acesso do usuário quando eventos importantes ocorrerem. Exemplos de eventos incluem antes de um novo funcionário estar agendado para começar a trabalhar na organização, quando os funcionários alteram o status e quando os funcionários deixam a organização.

Controlar o acesso de função administrativa altamente privilegiada

Pode haver casos em que identidades exigem acesso de privilégio mais alto devido a requisitos operacionais de negócios, como contas de acesso de emergência.

As contas com privilégios devem ter o nível de proteção mais alto. Contas com privilégios comprometidas podem causar impacto potencialmente significativo ou material nas operações organizacionais.

Atribua apenas usuários autorizados às funções administrativas no Microsoft Azure e Microsoft Entra. A Microsoft recomenda que você exija a MFA resistente a phishing nas seguintes funções, no mínimo:

  • Administrador Global
  • Administrador de aplicativos
  • Administrador de Autenticação
  • Administrador de cobrança
  • Administrador de Aplicativos de Nuvem
  • Administrador de acesso condicional
  • Administrador do Exchange
  • Administrador de assistência técnica
  • Administrador de senha
  • Administrador de Autenticação Privilegiada
  • Administrador de função com privilégios
  • Administrador de Segurança
  • Administrador do SharePoint
  • Administrador de usuários

Sua organização pode optar por incluir ou excluir funções com base nos requisitos. Para revisar as associações de função, configure e use as revisões de acesso de função de diretório.

Aplicar controle de acesso baseado em função usando o Privileged Identity Management (PIM) e acesso Just-in-Time (JIT). O PIM fornece acesso JIT aos recursos atribuindo acesso com limite de tempo. Elimine o acesso permanente para reduzir o risco de acesso excessivo ou indevido. O PIM permite requisitos de aprovação e justificação, imposição de MFA para ativação de função e histórico de auditoria.

Gerenciar o ciclo de vida e o acesso da identidade de convidados externos

Na maioria das organizações, os usuários finais convidam parceiros de negócios (B2B) e fornecedores para colaboração e fornecem acesso aos aplicativos. Normalmente, os parceiros de colaboração recebem acesso ao aplicativo durante o processo de integração. Quando as colaborações não têm uma data de término clara, não fica claro quando um usuário não precisa mais de acesso.

Os recursos do Gerenciamento de Direitos permitem o ciclo de vida automatizado de identidades externas com acesso aos recursos. Estabeleça processos e procedimentos para gerenciar o acesso por meio do Gerenciamento de Direitos. Publicar recursos por meio de pacotes de acesso. Essa abordagem ajuda a rastrear o acesso de usuários externos aos recursos e reduzir a complexidade do problema.

Quando você autoriza os funcionários a colaborar com usuários externos, eles poderão convidar qualquer número de usuários de fora da sua organização. Se as identidades externas usarem aplicativos, as revisões de acesso do Microsoft Entra ajudarão a revisar o acesso. Você pode deixar o proprietário do recurso, as próprias identidades externas ou outra pessoa delegada em quem você confia atestar se elas precisam de acesso contínuo.

Use as revisões de acesso do Microsoft Entra para impedir que identidades externas se conectem ao seu locatário e para excluir identidades externas do seu locatário após 30 dias.

Impor proteções de segurança de dados e conformidade com o Microsoft Purview

Use o Microsoft Purview para mitigar e gerenciar os riscos associados ao uso de IA. Implemente os controles de proteção e governança correspondentes. O Hub de IA do Microsoft Purview está atualmente em versão prévia. Ele fornece ferramentas gráficas fáceis de usar e relatórios para obter insights rapidamente sobre o uso de IA na sua organização. As políticas de um clique ajudam a proteger seus dados e a cumprir os requisitos regulamentares.

Dentro do Acesso Condicional, você pode habilitar a Proteção Adaptável do Microsoft Purview para sinalizar comportamentos indicativos de risco interno. Aplique a Proteção Adaptável como você aplicaria outros controles de Acesso Condicional para solicitar ao usuário a MFA ou fornecer outras ações com base nos seus casos de uso.

Monitorar acesso

O monitoramento é crucial para detectar ameaças e vulnerabilidades potenciais cedo. Fique de olho em atividades incomuns e alterações de configuração para evitar violações de segurança e manter a integridade dos dados.

Revise e monitore continuamente o acesso ao seu ambiente para descobrir atividades suspeitas. Evite a proliferação de permissões e receba alertas quando algo for alterado inadvertidamente.

Em alguns cenários, você pode usar aplicativos de IA apenas sazonalmente. Por exemplo, aplicativos financeiros podem ter baixo uso fora da temporada de tributos e auditoria, enquanto aplicativos de varejo podem ter picos de uso durante a temporada de feriados. Desabilite contas que não são usadas por um período significativo, especialmente contas de parceiros externos, com os Fluxos de Trabalho do Ciclo de Vida. Considere a sazonalidade se a desativação de conta JIT ou temporária for mais apropriada.

Idealmente, todos os usuários seguem as políticas de acesso para garantir o acesso seguro aos recursos organizacionais. Quando você precisar usar políticas de Acesso Condicional com exclusões para usuários individuais ou convidados, poderá evitar a supervisão de exceções de política. Use as revisões de acesso do Microsoft Entra para fornecer aos auditores a prova da revisão regular de exceções.

Revise continuamente o Gerenciamento de Permissões. À medida que as identidades permanecem em uma organização, elas tendem a acumular permissões enquanto trabalham em novos projetos ou mudam de equipe. Monitore a pontuação do Índice de Proliferação de Permissões (PCI) no Gerenciamento de Permissões e configure funcionalidades de monitoramento e alerta. Essa abordagem reduz a proliferação gradual de permissões e diminui o raio de impacto em torno de contas de usuário comprometidas.

Conteúdo relacionado