Безопасный генерированный ИИ с помощью Microsoft Entra

По мере быстрого развития цифрового ландшафта предприятия в различных отраслях все чаще принимают генерированный искусственный интеллект (Gen AI) для повышения эффективности инноваций и повышения производительности. Недавнее исследование показывает, что 93% предприятий реализуют или разрабатывают стратегию искусственного интеллекта. Примерно тот же процент лидеров рисков сообщает о том, что чувство недостаточно подготовлено или лишь несколько подготовлено к устранению связанных рисков. При интеграции ИИ поколения в свои операции необходимо снизить значительные риски безопасности и управления.

Microsoft Entra предлагает полный набор возможностей для безопасного управления приложениями ИИ, соответствующим образом контролировать доступ и защищать конфиденциальные данные:

• Управление разрешениями Microsoft Entra (MEPM)
• Управление идентификацией Microsoft Entra
• Условный доступ Microsoft Entra (ЦС)
• Microsoft Entra управление привилегированными пользователями (PIM)
• Риск предварительной оценки Microsoft Purview

В этой статье рассматриваются конкретные проблемы безопасности, которые представляют ИИ поколения и как их можно решить с помощью Microsoft Entra.

Обнаружение избыточных удостоверений

Убедитесь, что у пользователей есть соответствующие разрешения для соблюдения принципа наименьших привилегий. На основе данных телеметрии более 90% удостоверений используют менее 5% предоставленных разрешений. Более 50% этих разрешений являются высоким риском. Скомпрометированные учетные записи могут привести к катастрофическому ущербу.

Управление многооблачной средой сложно, так как управление удостоверениями и доступом (IAM) и команды безопасности часто должны совместно работать кросс-функционально. Многооблачные среды могут ограничить комплексное представление удостоверениями, разрешениями и ресурсами. Это ограниченное представление увеличивает область атаки на удостоверения, имеющие слишком привилегированные роли и учетные записи с разрешениями. Риск скомпрометированных неиспользуемых учетных записей с высокими разрешениями увеличивается по мере внедрения нескольких облаков организации.

Определение нечеловеческих учетных записей

Нечеловеческие учетные записи имеют повторяемые шаблоны и, скорее всего, изменяются с течением времени. При определении этих учетных записей рассмотрите возможность использования рабочих нагрузок или управляемых удостоверений и Управление разрешениями Microsoft Entra. Управление разрешениями — это средство управления правами облачной инфраструктуры (CIEM). Она предоставляет исчерпывающую информацию о разрешениях, назначенных всем удостоверениям в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

Обрезка ролей до принципа безопасности доступа с наименьшим уровнем доверия к нулю доверия. Обратите особое внимание на суперудостоверений (например, бессерверные функции и приложения). Фактор использования для приложений ИИ поколения.

Принудительное JIT-доступ для ролей Microsoft Entra

Microsoft Entra управление привилегированными пользователями (PIM) помогает управлять, контролировать и отслеживать доступ к ресурсам в Идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт (например, Microsoft 365 или Microsoft Intune). Привилегированные пользователи с поддержкой PIM имеют постоянный доступ (всегда в назначенных ролях, даже если они не нуждаются в своих привилегиях). На странице обнаружения и аналитики PIM отображаются постоянные назначения глобальных администраторов, учетные записи с высоко привилегированными ролями и субъекты-службы с назначениями привилегированных ролей. При отображении этих разрешений обратите внимание на то, что должно быть нормально для вашей среды. Рассмотрите возможность обрезать эти роли или сократить их до JIT-доступа с помощью соответствующих назначений PIM.

Непосредственно на странице обнаружения и аналитических сведений вы можете сделать привилегированные роли PIM допустимыми для уменьшения постоянного доступа. Вы можете полностью удалить назначение, если им не нужен привилегированный доступ. Вы можете создать проверку доступа для глобальных администраторов, которые побудят их регулярно просматривать собственный доступ.

Включение элементов управления доступом

Ползучее разрешение создает риск несанкционированного доступа и управления данными компании с ограниченным доступом. Защита приложений ИИ с одинаковыми правилами управления, применяемыми ко всем корпоративным ресурсам. Чтобы достичь этой цели, определите и разверните детализированные политики доступа для всех пользователей и корпоративных ресурсов (включая приложения ИИ поколения) с помощью управления идентификаторами и условного доступа Microsoft Entra.

Убедитесь, что только правильные люди имеют правильный уровень доступа для правильных ресурсов. Автоматизация жизненного цикла доступа в масштабе с помощью элементов управления правами, рабочих процессов жизненного цикла, запросов доступа, проверок и истечения срока действия.

Управление пользовательскими процессами Joiner, Mover и Leaver (JML) с помощью рабочих процессов жизненного цикла и управления доступом в управлении идентификаторами.

Настройка политик и элементов управления для управления доступом пользователей

Используйте управление правами в управлении идентификаторами для управления доступом к приложениям, группам, сайтам Teams и SharePoint с помощью политик многоэтапного утверждения.

Настройте политики автоматического назначения в службе управления правами, чтобы автоматически предоставить пользователям доступ к ресурсам на основе свойств пользователей, таких как отдел или центр затрат. Удалите доступ пользователей при изменении этих свойств.

Для правильного доступа к размеру рекомендуется применить дату окончания срока действия и (или) периодический обзор доступа к политикам управления правами. Эти требования обеспечивают, чтобы пользователи не сохраняли доступ через ограниченное время назначения и повторяющиеся проверки доступа к приложениям.

Применение политик организации с помощью условного доступа Microsoft Entra

Условный доступ объединяет сигналы для принятия решений и применения политик организации. Условный доступ — это подсистема политики нулевого доверия Майкрософт, которая учитывает сигналы из различных источников для применения решений политики.

Применение принципов наименьших привилегий и применение правильных элементов управления доступом для обеспечения безопасности организации с помощью политик условного доступа. Думайте о политиках условного доступа как о операторах, где удостоверения, соответствующие определенным критериям, могут получать доступ только к ресурсам, если они соответствуют определенным требованиям, таким как MFA или состояние соответствия устройств.

Ограничение доступа к приложениям Поколения ИИ на основе таких сигналов , как пользователи, группы, роли, расположение или риск для повышения принятия решений по политике.

• Используйте элемент управления условным доступом для проверки подлинности, указывающий сочетания методов проверки подлинности для доступа к ресурсу. Требовать от пользователей завершения фишинго-устойчивой многофакторной проверки подлинности (MFA) для доступа к приложениям Gen AI.
• Разверните адаптивную защиту Microsoft Purview для устранения рисков использования ИИ и управления ими. Используйте условие предварительной оценки риска , чтобы заблокировать доступ к приложениям Gen AI для пользователей с повышенным уровнем риска предварительной оценки.
• Разверните политики соответствия устройств Microsoft Intune, чтобы включить сигналы соответствия устройств в решения политики условного доступа. Используйте условие соответствия устройств, чтобы пользователи имели соответствующее устройство для доступа к приложениям ИИ поколения.

После развертывания политик условного доступа используйте книгу анализатора пробелов условного доступа для идентификации входов и приложений, где эти политики не применяются. Рекомендуется развернуть по крайней мере одну политику условного доступа, предназначенную для всех ресурсов , чтобы обеспечить базовый контроль доступа.

Включение автоматизации для управления жизненным циклом удостоверений сотрудников в масштабе

Предоставление пользователям доступа к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Этот подход предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние на нарушение безопасности. Используйте автоматическую подготовку пользователей для уменьшения ненужных прав доступа.

Автоматизация процессов жизненного цикла для пользователей Microsoft Entra в масштабе с помощью рабочих процессов жизненного цикла в управлении идентификаторами . Автоматизация задач рабочего процесса для правильного размера доступа пользователей при возникновении ключевых событий. Примеры событий включаются до того, как новый сотрудник планирует начать работу в организации, так как сотрудники изменяют состояние и по мере того, как сотрудники покидают организацию.

Управление доступом к роли администратора с высоким уровнем привилегий

В некоторых случаях для удостоверений требуется более высокий уровень привилегий из-за бизнес-требований или операционных требований, таких как учетные записи разбиения .

Привилегированные учетные записи должны иметь самый высокий уровень защиты. Скомпрометированные привилегированные учетные записи могут привести к потенциально значительному или материальному влиянию на операции организации.

Назначьте авторизованных пользователей административным ролям в Microsoft Azure и Microsoft Entra. Корпорация Майкрософт рекомендует по крайней мере требовать фишинговый MFA для следующих ролей:

• глобальный администратор
• Администратор приложений
• Администратор проверки подлинности
• администратора выставления счетов;
• Администратор облачных приложений
• Администратор условного доступа
• Администратор Exchange
• Администратор службы технической поддержки
• Администратор паролей
• Привилегированный администратор проверки подлинности
• Администратор привилегированных ролей
• Администратор безопасности
• Администратор SharePoint
• Администратор пользователей

Ваша организация может выбрать включение или исключение ролей в зависимости от требований. Чтобы просмотреть членство в роли, настройте и используйте проверки доступа к роли каталога.

Применение управления доступом на основе ролей с помощью управление привилегированными пользователями (PIM) и JIT-доступа. PIM предоставляет JIT-доступ к ресурсам путем назначения ограниченного времени доступа. Исключите постоянный доступ к более низкому риску чрезмерного или неправильного доступа. PIM позволяет выполнять требования к утверждению и оправданию, применение MFA для активации ролей и журнала аудита.

Управление жизненным циклом внешних гостевых удостоверений и доступом

В большинстве организаций конечные пользователи приглашают бизнес-партнеров (B2B) и поставщиков для совместной работы и предоставляют доступ к приложениям. Как правило, партнеры по совместной работе получают доступ к приложениям во время процесса подключения. Если у совместной работы нет четкой даты окончания, это не ясно, когда пользователю больше не нужен доступ.

Функции управления правами обеспечивают автоматизированный жизненный цикл внешних удостоверений с доступом к ресурсам. Создайте процессы и процедуры для управления доступом с помощью управления правами. Публикация ресурсов с помощью пакетов доступа. Этот подход помогает отслеживать доступ внешних пользователей к ресурсам и уменьшать сложность проблемы.

При авторизации сотрудников для совместной работы с внешними пользователями они могут приглашать любое количество пользователей за пределами организации. Если внешние удостоверения используют приложения, проверки доступа Microsoft Entra помогают просматривать доступ. Вы можете позволить владельцу ресурсов, внешним удостоверениям или другому делегированному лицу, которому вы доверяете, требуется ли им постоянный доступ.

Используйте проверки доступа Microsoft Entra, чтобы заблокировать вход внешних удостоверений в клиент и удаление внешних удостоверений из клиента через 30 дней.

Обеспечение защиты данных и соответствия требованиям с помощью Microsoft Purview

Используйте Microsoft Purview для устранения рисков, связанных с использованием ИИ, и управления ими. Реализуйте соответствующие элементы управления защитой и управлением. Центр искусственного интеллекта Microsoft Purview в настоящее время находится в предварительной версии. Он предоставляет удобные графические инструменты и отчеты для быстрого получения аналитических сведений об использовании ИИ в организации. Политики с одним щелчком помогают защитить данные и соответствовать нормативным требованиям.

В условном доступе можно включить адаптивную защиту Microsoft Purview для флага поведения, которое свидетельствует о риском для предварительной оценки. Примените адаптивную защиту при применении других элементов управления условным доступом для запроса пользователя на MFA или предоставления других действий в зависимости от вариантов использования.

Мониторинг доступа

Мониторинг имеет решающее значение для обнаружения потенциальных угроз и уязвимостей на ранних этапах. Следите за необычными действиями и изменениями конфигурации, чтобы предотвратить нарушения безопасности и обеспечить целостность данных.

Постоянно просматривайте и отслеживайте доступ к вашей среде, чтобы обнаружить подозрительные действия. Избегайте создания разрешений и получения оповещений при непреднамеренных изменениях.

• Чтобы заранее отслеживать среду для изменений конфигурации и подозрительных действий, интегрируйте журналы аудита идентификатора Microsoft Entra с Azure Monitor.
• Настройте оповещения системы безопасности для мониторинга при активации привилегированных ролей пользователями.
• Следите за нетипичными шаблонами использования пользователей с помощью Защита идентификации Microsoft Entra. Нетипичное использование может указывать на то, что плохой субъект ткнул вокруг и неуместно использует инструменты ИИ поколения.

В некоторых сценариях можно использовать только приложения ИИ сезонно. Например, финансовые приложения могут иметь низкое использование за пределами налогового и аудита сезона, в то время как розничные приложения могут иметь пики использования в праздничный сезон. Отключите учетные записи, которые не будут использоваться в течение значительного периода, особенно внешних учетных записей партнеров, с рабочими процессами жизненного цикла. Рассмотрите сезонность, если JIT или временная деактивация учетной записи более подходяща.

В идеале все пользователи следуют политикам доступа для защиты доступа к ресурсам организации. Если необходимо использовать политики условного доступа с исключениями для отдельных пользователей или гостей, вы можете избежать надзора за исключениями политики. Используйте проверки доступа Microsoft Entra, чтобы предоставить аудиторам подтверждение регулярного проверки исключений.

Постоянно просматривайте управление разрешениями. Поскольку удостоверения остаются в организации, они, как правило, собирают разрешения во время работы над новыми проектами или перемещают команды. Отслеживайте оценку индекса разрешений (PCI) в службе "Управление разрешениями" и настройте возможности мониторинга и оповещения. Этот подход уменьшает постепенное расширение разрешений и уменьшает радиус взрыва вокруг скомпрометированных учетных записей пользователей.

• Настройте отчеты для регулярного запуска. Настройте пользовательские отчеты для конкретных вариантов использования, особенно для удостоверений, которым требуется доступ к приложениям Gen AI.
• Чтобы отслеживать разрешения в Azure, AWS и GCP, используйте управление разрешениями. Примените рекомендации к удостоверениям рабочей нагрузки, чтобы убедиться, что у приложений ИИ поколения нет чрезмерных разрешений или с течением времени больше разрешений, чем необходимо.

Связанный контент

• Microsoft Security Copilot помогает поддерживать специалистов по безопасности в комплексных сценариях, таких как реагирование на инциденты, охота на угрозы, сбор аналитики и управление состоянием.
• Информационные барьеры Microsoft Purview — это политики, которые могут препятствовать взаимодействию отдельных лиц или групп друг с другом. Информационные барьеры в Microsoft Teams могут определять и предотвращать несанкционированную совместную работу.
• Для требований Microsoft 365 Copilot проверьте защиту корпоративных данных в Copilot для Microsoft 365 и Microsoft Copilot.