IA Generativa Segura com o Microsoft Entra
À medida que o cenário digital evolui rapidamente, as organizações em vários setores adotam cada vez mais de Inteligência Artificial Generativa (Gen AI) para impulsionar a inovação e aumentar a produtividade. Um estudo recente indica que 93% das empresas estão implementando ou desenvolvendo uma estratégia de IA. Aproximadamente a mesma percentagem de líderes de risco refere sentir-se mal preparada ou apenas um pouco preparada para lidar com os riscos associados. Ao integrar a Gen AI em suas operações, você deve mitigar riscos significativos de segurança e governança.
O Microsoft Entra oferece um conjunto abrangente de recursos para gerenciar com segurança aplicativos de IA, controlar adequadamente o acesso e proteger dados confidenciais:
- Gerenciamento de permissões do Microsoft Entra (MEPM)
- Governança do Microsoft Entra ID
- Acesso condicional (CA) do Microsoft Entra
- Gerenciamento de identidade privilegiado (PIM) do Microsoft Entra
- Risco do Microsoft Purview Insider
Este artigo aprofunda os desafios de segurança específicos que a Geração AI coloca e como você pode enfrentá-los com os recursos oferecidos pelo Microsoft Entra.
Descubra identidades superprivilegiadas
Certifique-se de que os usuários tenham as permissões apropriadas para cumprir o princípio de menor privilégio. Com base em nossa telemetria, mais de 90% das identidades usam menos de 5% das permissões concedidas. Mais de 50% dessas permissões são de alto risco. Contas comprometidas podem causar danos catastróficos.
O gerenciamento de ambientes multicloud é difícil, pois o Gerenciamento de Identidade e Acesso (IAM) e as equipes de segurança geralmente precisam colaborar entre funções. Os ambientes multicloud podem limitar a visão abrangente de identidades, permissões e recursos. Essa visão limitada aumenta a superfície de ataque a identidades que têm funções excessivamente privilegiadas e contas com permissão. O risco de contas não utilizadas comprometidas com altas permissões aumenta à medida que as organizações adotam a multicloud.
Identificar contas não humanas
As contas não humanas têm padrões repetíveis e são menos propensas a mudar ao longo do tempo. Ao identificar essas contas, considere o uso de cargas de trabalho ou identidades gerenciadas e o Gerenciamento de Permissões do Microsoft Entra. O Gerenciamento de Permissões é uma ferramenta de Gerenciamento de Direitos de Infraestrutura de Nuvem (CIEM). Ele fornece visibilidade abrangente das permissões que você atribui a todas as identidades no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Reduza as funções para o princípio de segurança de acesso de privilégios mínimos do Zero Trust . Preste muita atenção às superidentidades (como funções e aplicativos sem servidor). Considere os casos de uso para aplicativos de IA da geração.
Impor acesso just-in-time para funções do Microsoft Entra
O Microsoft Entra Privileged Identity Management (PIM) ajuda você a gerenciar, controlar e monitorar o acesso a recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services (como Microsoft 365 ou Microsoft Intune). Usuários privilegiados não habilitados para PIM têm acesso permanente (sempre em suas funções atribuídas, mesmo quando não precisam de seus privilégios). A página de descoberta e insights do PIM mostra atribuições permanentes de administrador global, contas com funções altamente privilegiadas e entidades de serviço com atribuições de função privilegiadas. Quando você vir essas permissões, anote o que deve ser normal para seu ambiente. Considere reduzir essas funções ou reduzi-las a acesso just-in-time (JIT) com atribuições qualificadas para PIM.
Diretamente na página de descoberta e insights, você pode tornar as funções privilegiadas elegíveis para PIM, a fim de reduzir o acesso permanente. Você pode remover a atribuição completamente se eles não precisarem de acesso privilegiado. Você pode criar uma revisão de acesso para Administradores Globais que solicita que eles revisem regularmente seu próprio acesso.
Habilitar controles de acesso
O aumento da permissão cria um risco de acesso não autorizado e manipulação restrita de dados da empresa. Proteja os aplicativos de IA com as mesmas regras de governança que você aplica a todos os recursos corporativos. Para atingir esse objetivo, defina e implemente políticas de acesso granulares para todos os usuários e recursos da empresa (incluindo aplicativos Gen AI) com ID Governance e Microsoft Entra Conditional Access.
Garantir que apenas as pessoas certas tenham o nível de acesso certo para os recursos certos. Automatize os ciclos de vida de acesso em escala por meio de controles com Gerenciamento de direitos, fluxos de trabalho do ciclo de vida, solicitações de acesso, revisões e expirações.
Controle seus processos de usuário JML (Joiner, Mover, and Leaver) com fluxos de trabalho de ciclo de vida e controle o acesso no ID Governance.
Configurar políticas e controles para controlar o acesso do usuário
Use o Gerenciamento de Direitos na Governança de ID para controlar quem pode acessar aplicativos, grupos, equipes e sites do SharePoint com políticas de aprovação de vários estágios.
Configure políticas de atribuição automática no Gerenciamento de Direitos para dar automaticamente aos usuários acesso a recursos com base nas propriedades do usuário, como departamento ou centro de custo. Remova o acesso do usuário quando essas propriedades forem alteradas.
Para o acesso de tamanho correto, recomendamos que você aplique uma data de validade e/ou revisão periódica de acesso às políticas de gerenciamento de direitos. Esses requisitos garantem que os usuários não mantenham o acesso indefinidamente por meio de atribuições limitadas no tempo e revisões recorrentes de acesso ao aplicativo.
Impor políticas organizacionais com o Acesso Condicional do Microsoft Entra
O Acesso Condicional reúne sinais para tomar decisões e aplicar políticas organizacionais. O Acesso Condicional é o mecanismo de política Zero Trust da Microsoft que leva em conta sinais de várias fontes para aplicar decisões de política.
Imponha princípios de privilégios mínimos e aplique os controles de acesso corretos para manter sua organização segura com políticas de Acesso Condicional. Pense nas políticas de Acesso Condicional como instruções if-then em que as identidades que atendem a determinados critérios só podem acessar recursos se atenderem a requisitos específicos, como MFA ou status de conformidade de dispositivo.
Restrinja o acesso a aplicativos de IA da geração com base em sinais como usuários, grupos, funções, localização ou risco para aprimorar as decisões políticas.
- Use o controle de Acesso Condicional de força de autenticação que especifica combinações de métodos de autenticação para acessar um recurso. Exija que os usuários concluam a autenticação multifator (MFA) resistente a phishing para acessar aplicativos de IA da geração.
- Implante a proteção adaptável do Microsoft Purview para mitigar e gerenciar os riscos de uso de IA. Use a condição Insider Risk para bloquear o acesso a aplicativos Gen AI para usuários com risco interno elevado.
- Implante políticas de conformidade de dispositivo do Microsoft Intune para incorporar sinais de conformidade de dispositivo nas decisões de política de Acesso Condicional. Use a condição de conformidade do dispositivo para exigir que os usuários tenham um dispositivo compatível para acessar aplicativos de IA da geração.
Depois de implantar políticas de Acesso Condicional, use a pasta de trabalho do analisador de lacunas de Acesso Condicional para identificar entradas e aplicativos nos quais você não está aplicando essas políticas. Recomendamos implantar pelo menos uma política de Acesso Condicional direcionada a todos os recursos para garantir o controle de acesso da linha de base.
Habilite a automação para gerenciar o ciclo de vida da identidade dos funcionários em escala
Dar aos utilizadores acesso a informações e recursos apenas se tiverem uma necessidade genuína de desempenharem as suas tarefas. Essa abordagem impede o acesso não autorizado a dados confidenciais e minimiza o potencial impacto de violação de segurança. Use o provisionamento automatizado de usuários para reduzir a concessão desnecessária de direitos de acesso.
Automatize os processos de ciclo de vida para usuários do Microsoft Entra em escala com fluxos de trabalho de ciclo de vida em ID Governance. Automatize as tarefas do fluxo de trabalho para dimensionar corretamente o acesso do usuário quando ocorrerem eventos importantes. Exemplos de eventos incluem antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que os funcionários mudam de status e os funcionários deixam a organização.
Controlar o acesso altamente privilegiado a funções administrativas
Pode haver casos em que as identidades exijam maior acesso a privilégios devido a requisitos comerciais/operacionais, como contas de vidro quebrado .
Contas privilegiadas devem ter o mais alto nível de proteção. Contas privilegiadas comprometidas podem causar um impacto potencialmente significativo ou material nas operações organizacionais.
Atribua apenas usuários autorizados a funções administrativas no Microsoft Azure e no Microsoft Entra. A Microsoft recomenda que você exija MFA resistente a phishing nas seguintes funções, no mínimo:
- Administrador Global
- Administrador da Aplicação
- Administrador de Autenticação
- Administrador de Faturação
- Administrador de Aplicações na Cloud
- Administrador de Acesso Condicional
- Administrador do Exchange
- Administrador do Helpdesk
- Administrador de senha
- Administrador de Autenticação Privilegiada
- Administrador de Funções com Privilégios
- Administrador de Segurança
- Administrador do SharePoint
- Administrador de Utilizadores
Sua organização pode optar por incluir ou excluir funções com base nos requisitos. Para revisar associações de função, configure e use revisões de acesso à função de diretório.
Aplique o controle de acesso baseado em função usando o gerenciamento privilegiado de identidades (PIM) e o acesso just-in-time (JIT). O PIM fornece acesso JIT a recursos atribuindo acesso com limite de tempo. Elimine o acesso permanente para reduzir o risco de acesso excessivo ou mal utilizado. O PIM permite requisitos de aprovação e justificação, imposição de MFA para ativação de funções e histórico de auditoria.
Gerencie o ciclo de vida e o acesso à identidade do hóspede externo
Na maioria das organizações, os usuários finais convidam parceiros de negócios (B2B) e fornecedores para colaboração e fornecem acesso a aplicativos. Normalmente, os parceiros de colaboração recebem acesso ao aplicativo durante o processo de integração. Quando as colaborações não têm uma data de término clara, não fica claro quando um usuário não precisa mais de acesso.
Os recursos de gerenciamento de direitos permitem o ciclo de vida automatizado de identidades externas com acesso a recursos. Estabelecer processos e procedimentos para gerir o acesso através da Gestão de Direitos. Publique recursos por meio de pacotes de acesso. Essa abordagem ajuda você a rastrear o acesso de usuários externos aos recursos e reduzir a complexidade do problema.
Quando você autoriza os funcionários a colaborar com usuários externos, eles podem convidar qualquer número de usuários de fora da sua organização. Se identidades externas usam aplicativos, as revisões de acesso do Microsoft Entra ajudam você a revisar o acesso. Você pode permitir que o proprietário do recurso, as próprias identidades externas ou outra pessoa delegada em quem você confia atestem se eles precisam de acesso contínuo.
Use as revisões de acesso do Microsoft Entra para impedir que identidades externas entrem em seu locatário e excluam identidades externas de seu locatário após 30 dias.
Aplique proteções de conformidade e segurança de dados com o Microsoft Purview
Use o Microsoft Purview para mitigar e gerenciar os riscos associados ao uso da IA. Implementar controles de proteção e governança correspondentes. O Microsoft Purview AI Hub está atualmente em pré-visualização. Ele fornece ferramentas gráficas e relatórios fáceis de usar para obter rapidamente informações sobre o uso da IA em sua organização. As políticas de um clique ajudam-no a proteger os seus dados e a cumprir os requisitos regulamentares.
No Acesso Condicional, você pode habilitar o Microsoft Purview Adaptive Protection para sinalizar comportamentos indicativos de risco interno. Aplique a Proteção Adaptável ao aplicar outros controles de Acesso Condicional para solicitar MFA ao usuário ou fornecer outras ações com base em seus casos de uso.
Monitorar o acesso
A monitorização é crucial para detetar precocemente potenciais ameaças e vulnerabilidades. Esteja atento a atividades incomuns e alterações de configuração para evitar violações de segurança e manter a integridade dos dados.
Analise e monitore continuamente o acesso ao seu ambiente para descobrir atividades suspeitas. Evite que as permissões cresçam e receba alertas quando algo mudar involuntariamente.
- Para monitorar proativamente seu ambiente em busca de alterações de configuração e atividades suspeitas, integre os Logs de Auditoria do Microsoft Entra ID ao Azure Monitor.
- Configure alertas de segurança para monitorar quando os usuários ativam funções privilegiadas.
- Observe os padrões de uso atípicos do usuário com a Proteção de ID do Microsoft Entra. O uso atípico pode indicar que um ator mal-intencionado está cutucando e usando inadequadamente as ferramentas de IA da geração.
Em alguns cenários, você pode usar apenas aplicativos de IA sazonalmente. Por exemplo, os aplicativos financeiros podem ter baixo uso fora da temporada de impostos e auditoria, enquanto os aplicativos de varejo podem ter picos de uso durante a temporada de férias. Desative as contas que não são utilizadas por um período significativo, especialmente as contas de parceiros externos, com os Fluxos de Trabalho do Ciclo de Vida. Considere a sazonalidade se a JIT ou a desativação temporária da conta for mais apropriada.
Idealmente, todos os usuários seguem políticas de acesso para proteger o acesso aos recursos organizacionais. Quando precisar usar políticas de Acesso Condicional com exclusões para usuários individuais ou convidados, você poderá evitar a supervisão de exceções de política. Use as revisões de acesso do Microsoft Entra para fornecer aos auditores uma prova de revisão de exceção regular.
Revise continuamente o Gerenciamento de Permissões. À medida que as identidades permanecem em uma organização, elas tendem a coletar permissões enquanto trabalham em novos projetos ou movem equipes. Monitore a pontuação do PCI (Permissions Creep Index) no Gerenciamento de permissões e configure os recursos de monitoramento e alerta. Essa abordagem reduz o aumento gradual de permissões e diminui o raio de explosão em torno de contas de usuário comprometidas.
- Configure relatórios para execução regular. Configure relatórios personalizados para casos de uso específicos, especialmente para identidades que precisam acessar aplicativos Gen AI.
- Para monitorar o aumento de permissões no Azure, AWS e GCP, use o Gerenciamento de permissões. Aplique recomendações às identidades de carga de trabalho para garantir que seus aplicativos de IA de geração não tenham permissões excessivas ou tenham mais permissões adicionadas ao longo do tempo do que o necessário.
Conteúdos relacionados
- O Microsoft Security Copilot ajuda a dar suporte aos profissionais de segurança em cenários de ponta a ponta, como resposta a incidentes, caça a ameaças, coleta de informações e gerenciamento de postura.
- As Barreiras de Informação do Microsoft Purview são políticas que podem impedir que indivíduos ou grupos se comuniquem entre si. As barreiras de informação no Microsoft Teams podem determinar e impedir colaborações não autorizadas.
- Para obter os requisitos do Microsoft 365 Copilot, consulte Proteção de dados corporativos no Copilot para Microsoft 365 e Microsoft Copilot.