Вопросы безопасности и соответствия для интеллектуальных рабочих нагрузок приложений

Безопасность имеет решающее значение для любой архитектуры. Microsoft Power Platform предлагает полный спектр инструментов для эффективной защиты рабочей нагрузки ваших интеллектуальных приложений. В этой статье описываются вопросы безопасности и рекомендации по разработке интеллектуальных рабочих нагрузок приложений Power Platform.

Copilot для Dynamics 365 и Power Platform функции следуют набору основных правил безопасности и конфиденциальности, а также Microsoft Стандарту ответственного ИИ. Данные Dynamics 365 и Power Platform защищены комплексом соответствующих передовым отраслевым стандартам механизмов обеспечения безопасности, конфиденциальности и соблюдения нормативных требований. Дополнительную информацию о Copilot Studio и Power Platform функциях безопасности см. в разделах Copilot Studio Безопасность и управление, Часто задаваемые вопросы по безопасности и конфиденциальности данных Copilot для Dynamics 365 и Power Platform и Безопасность в Microsoft Power Platform.

Вам следует периодически оценивать используемые вами услуги и технологии, чтобы убедиться, что ваши меры безопасности соответствуют меняющемуся ландшафту угроз.

Понимание требований безопасности

Поймите основные требования к рабочей нагрузке интеллектуальных приложений, которую вы внедряете. Задайте себе следующие вопросы, чтобы определить, какие меры безопасности следует предпринять.

Контроль доступа и аутентификация

• Как вы будете реализовывать механизмы контроля доступа и аутентификации, чтобы гарантировать, что доступ к интеллектуальной рабочей нагрузке приложения смогут получить только авторизованные пользователи?
• Как вы обеспечиваете безопасную и бесперебойную аутентификацию пользователей?
• Как вы контролируете, какие приложения могут взаимодействовать с Copilot, и какие меры обеспечивают эффективность этих ограничений?

Безопасность и управление инцидентами

• Как вы будете управлять и защищать секреты приложений, такие как ключи API и пароли?
• Какие требования к безопасности сети влияют на рабочую нагрузку интеллектуальных приложений? Например, доступны ли внутренние API только в виртуальной сети?
• Как вы будете контролировать и проверять доступ и использование интеллектуального приложения?
• Каков план устранения нарушений безопасности или уязвимостей в связи с инцидентом ответ?

Соответствие требованиям и резидентность данных

• Какие требования к размещению данных применяются к данным, используемым в рабочей нагрузке интеллектуальных приложений? Знаете ли вы, где будут храниться ваши данные и соответствует ли это место вашим правовым или нормативным обязательствам?
• Какие нормативные требования и требования соответствия должны соблюдаться для рабочей нагрузки интеллектуальных приложений?

Системная интеграция и требования к сети

• Каким образом интеллектуальная прикладная рабочая нагрузка будет безопасно интегрироваться с другими внутренними и внешними системами?
• Каковы требования к сети и интеграции для вашей рабочей нагрузки? Есть ли необходимость в интеграции с внутренними или внешними источниками данных или API?

Этические соображения и ответственный ИИ

• Каким образом этические соображения и ответственные практики ИИ будут включены в рабочую нагрузку интеллектуальных приложений?

Внедрите надежные меры аутентификации и контроля доступа

Аутентификация позволяет пользователям входить в систему, предоставляя вашему помощнику доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с помощью любого поставщика удостоверений OAuth2 , например Google или Facebook.

Реализуйте надежные меры аутентификации и контроля доступа, чтобы гарантировать авторизованным пользователям доступ к Copilot. Обеспечение доступа к Copilot только авторизованным пользователям является основой безопасности. Реализация многофакторной аутентификации добавляет дополнительный слой уровень безопасности. Чтобы свести к минимуму риск несанкционированного доступа, определите роли и разрешения, чтобы гарантировать, что пользователи будут иметь доступ только к тем ресурсам, которые им необходимы. Реализуйте политики условного доступа для управления доступом на основе определенных условий, таких как местоположение пользователя, соответствие устройства или уровень риска.

Подробнее:

• Настроить аутентификацию пользователя
• Настройте единый вход
• Настройте безопасность веб-канала

Понять, как нормативные требования влияют на ваш проект

Определите и соблюдайте нормативные требования и нормы, применимые к вашей отрасли, такие как GDPR (Общий регламент по защите данных), HIPAA (Закон о переносимости и подотчетности медицинского страхования) или CCPA (Закон Калифорнии о защите конфиденциальности потребителей). Внедрить необходимые меры контроля для обеспечения соответствия. Запланируйте регулярные проверки соответствия для проверки соблюдения нормативных стандартов и устранения любых пробелов. Оцените, существуют ли особые требования к местоположению данных, например, требование хранить данные в определенной стране или регионе. Убедитесь, что ваша стратегия хранения данных соответствует этим требованиям.

Обеспечьте защиту и управление данными в соответствии с нормативными требованиями. Защита данных, обрабатываемых интеллектуальной рабочей нагрузкой приложений, имеет решающее значение для поддержания доверия и соблюдения правовых и нормативных стандартов.

Microsoft соответствует законам о защите данных и конфиденциальности, применимым к облачным сервисам. Наше соответствие мировым отраслевым стандартам подтверждено. Среды могут быть созданы в определенных регионах, даже если они отличаются от региона проживания арендатора. По умолчанию стенограммы разговоров хранятся только 30 дней в Dataverse. Вы можете настроить этот период хранения для каждой среды.

Подробнее:

• Безопасность и географическое размещение данных в Copilot Studio
• Географическое размещение данных в Copilot Studio
• Copilot Studio предложения по соблюдению требований
• Copilot Studio GDPR соответствие
• Copilot Studio Расположение данных
• Управление соответствием в облаке
• Портал доверия услуг
• Изменить срок хранения по умолчанию для стенограмм разговоров
• Перемещение данных между географическими точками для генеративных функций ИИ за пределами США
• Дизайн для защиты конфиденциальности

Обеспечьте безопасность всех интеграций

Обеспечьте безопасную связь между рабочей нагрузкой интеллектуальных приложений и источниками данных. Ваша интеллектуальная прикладная рабочая нагрузка должна интегрироваться с другими системами для доступа к данным и их обработки. Чтобы упростить управление идентификацией и повысить безопасность, используйте субъекты-службы для нечеловеческого доступа к ресурсам и управляемые удостоверения для ресурсов Azure. Обеспечьте безопасность API, используя OAuth2 для аутентификации и гарантируя шифрование всех коммуникаций API. Использование принципалов-служб обеспечивает безопасность подключений и не требует индивидуальных учетных данных.

Подробнее:

• Проектирование для обеспечения безопасности интеграции
• Поддержка принципала обслуживания

Осуществлять постоянный мониторинг и аудит

Основной целью мониторинга безопасности является обнаружение угроз. Основная цель — предотвратить потенциальные нарушения безопасности и поддерживать безопасную среду. Постоянно отслеживайте и проверяйте активность рабочей нагрузки интеллектуальных приложений для обнаружения и упреждающего реагирования. Обеспечение безопасности — это непрерывный процесс, а не разовая задача настройки. Регулярный мониторинг и аудит доступа и взаимодействия пользователей имеют решающее значение для обеспечения безопасности рабочей нагрузки интеллектуальных приложений.

Подробнее:

• Рекомендации по мониторингу и обнаружению угроз
• Вид Copilot Studio журналы аудита
• Захватывать Copilot Studio телеметрия с Azure Application Insights

Используйте инструменты безопасности Azure для обеспечения соблюдения политик безопасности

Используйте встроенные инструменты безопасности Azure, такие как Microsoft Защитник для облака (ранее известный как Центр безопасности Azure) и Политика Azure, для мониторинга и обеспечения соблюдения политик безопасности.

Обеспечить обучение сотрудников

Обучайте сотрудников передовым методам защиты данных и важности соблюдения требований к размещению данных. Адаптируйте учебные материалы к конкретным ролям и обязанностям разных сотрудников. Законы и правила защиты данных постоянно развиваются. Обеспечьте регулярное обновление программ обучения с учетом последних требований законодательства и передовой практики. Используйте интерактивные методы, такие как семинары, симуляции и реальные сценарии, чтобы сделать обучение интересным и эффективным. Предоставляйте постоянную поддержку и ресурсы, такие как доступ к специалистам по защите данных или юридическим консультантам, чтобы помочь сотрудникам оставаться в курсе событий и соблюдать требования.