Вопросы безопасности и соответствия требованиям для рабочих нагрузок интеллектуальных приложений

Безопасность имеет решающее значение для любой архитектуры. Microsoft Power Platform предлагает широкий спектр инструментов для эффективной защиты рабочей нагрузки интеллектуальных приложений. В этой статье описываются вопросы безопасности и рекомендации по разработке рабочих нагрузок интеллектуальных приложений с помощью Power Platform.

В функциональности Copilot для Dynamics 365 и Power Platform реализован набор базовых методик обеспечения безопасности и конфиденциальности; кроме того, она соответствует также стандарту ответственного применения ИИ Майкрософт. Данные Dynamics 365 и Power Platform защищены комплексом соответствующих передовым отраслевым стандартам механизмов обеспечения безопасности, конфиденциальности и соблюдения нормативных требований. Дополнительные сведения о функциях безопасности Microsoft Copilot Studio и Power Platform см. в разделах Безопасность и управление Copilot Studio, Вопросы и ответы о безопасности и конфиденциальности данных Copilot для Dynamics 365 и Power Platform и Безопасность в Microsoft Power Platform.

Вы должны периодически оценивать используемые службы и технологии, чтобы убедиться, что ваши меры безопасности соответствуют меняющемуся ландшафту угроз.

Общие сведения о требованиях безопасности

Ознакомьтесь с основными требованиями к рабочей нагрузке интеллектуального приложения, которую вы реализуете. Задайте себе следующие вопросы, чтобы определить меры безопасности, которые необходимо принять.

Контроль доступа и аутентификация

• Как вы реализуете механизмы управления доступом и проверки подлинности, чтобы только авторизованные пользователи могли получить доступ к рабочей нагрузке интеллектуального приложения?
• Как обеспечить безопасную и бесшовную аутентификацию пользователей?
• Как вы контролируете, какие приложения могут взаимодействовать с генеративным ИИ (агент) и какие меры обеспечивают эффективность этих ограничений?

Управление безопасностью и инцидентами

• Как вы будете управлять секретами приложений, такими как ключи API и пароли, и защищать их?
• Какие требования к сетевой безопасности влияют на рабочую нагрузку интеллектуальных приложений? Например, внутренние API доступны только в виртуальной сети?
• Как вы будете отслеживать и проверять доступ и использование интеллектуального приложения?
• Каков план реагирования на инциденты для устранения нарушений безопасности или уязвимостей?

Соответствие нормативным требованиям и место расположения данных

• Какие требования к месту расположения данных применяются к данным, используемым в рабочей нагрузке интеллектуального приложения? Знаете ли вы, где будут храниться ваши данные и соответствует ли это местоположение вашим юридическим или нормативным обязательствам?
• Какие нормативные требования и требования к соответствию должны быть соблюдены для рабочей нагрузки интеллектуальных приложений?

Системная интеграция и требования к сети

• Как интеллектуальная рабочая нагрузка приложений будет безопасно интегрироваться с другими внутренними и внешними системами?
• Каковы требования к сети и интеграции для рабочей нагрузки? Есть ли необходимость в интеграции с внутренними или внешними источниками данных или API?

Этические соображения и ответственный ИИ

• Как этические соображения и принципы ответственного применения ИИ будут включены в рабочую нагрузку интеллектуальных приложений?

Внедрение надежных мер аутентификации и контроля доступа

Аутентификация позволяет пользователям входить в систему, предоставляя вашему агенту доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с любым поставщиком удостоверений OAuth2, например Google или Facebook.

Реализуйте надежные меры аутентификации и контроля доступа, чтобы гарантировать, что авторизованные пользователи могут получить доступ к агент. Обеспечение доступа к агент только авторизованным пользователям является основой безопасности. Реализация многофакторной проверки подлинности добавляет дополнительный уровень безопасности. Чтобы свести к минимуму риск несанкционированного доступа, определите роли и разрешения, чтобы пользователи имели доступ только к тем ресурсам, которые им необходимы. Реализуйте политики условного доступа для управления доступом на основе определенных условий, таких как расположение пользователя, соответствие устройства требованиям или уровень риска.

Подробнее:

• Настройка проверки подлинности пользователей
• Настройка единого входа
• Настройка безопасности для веб-каналов и каналов Direct Line

Узнайте, как нормативные требования влияют на ваш проект

Определите и соблюдайте нормативные требования и нормы, применимые к вашей отрасли, такие как GDPR (Общий регламент по защите данных), HIPAA (Закон о преемственности и подотчетности медицинского страхования) или CCPA (Закон штата Калифорния о защите конфиденциальности потребителей). Внедрите необходимые средства контроля для обеспечения соответствия требованиям. Запланируйте регулярные аудиты соответствия для проверки соответствия нормативным стандартам и устранения любых пробелов. Оцените, существуют ли особые требования к расположению данных, например требование о хранении данных в определенной стране или регионе. Убедитесь, что ваша стратегия хранения данных соответствует этим требованиям.

Обеспечьте защиту данных и управление ими в соответствии с нормативными требованиями. Защита данных, обрабатываемых рабочей нагрузкой интеллектуального приложения, имеет решающее значение для поддержания доверия и соблюдения законодательных и нормативных стандартов.

Microsoft соответствует законам о защите данных и конфиденциальности, применимым к облачным сервисам. Мы подтверждаем соответствие отраслевым стандартам мирового уровня. Среды можно создавать в определенных регионах, даже если они отличаются от региона, в котором проживает клиент. По умолчанию расшифровки разговоров хранятся в Dataverse только в течение 30 дней. Этот срок хранения можно настроить для каждой среды.

Подробнее:

• Безопасность и географическое место расположения данных в Copilot Studio
• Географическое место расположения данных в Copilot Studio
• Предложения для соответствия требованиям Copilot Studio
• Copilot StudioСоблюдение GDPR
• Места расположения данных Copilot Studio
• Управление соответствием требованиям в облаке
• Service Trust Portal
• Изменение периода хранения по умолчанию для расшифровок разговоров
• Перемещение данных между географическими расположениями для функций генеративного ИИ за пределами США
• Проектирование для обеспечения конфиденциальности

Обеспечение безопасности всех интеграций

Обеспечьте безопасную связь между рабочей нагрузкой интеллектуального приложения и источниками данных. Рабочая нагрузка интеллектуального приложения должна быть интегрирована с другими системами для доступа к данным и их обработки. Чтобы упростить управление удостоверениями и повысить безопасность, используйте субъекты-службы для доступа к ресурсам без участия человека и управляемые удостоверения для ресурсов Azure. Обеспечьте безопасность API-интерфейсов с помощью OAuth2 для проверки подлинности и шифрования всех соединений API. Использование субъектов-служб обеспечивает безопасность подключений и не зависит от отдельных учетных данных.

Подробнее:

• Дизайн для безопасности интеграции
• Поддержка субъекта-службы

Внедрение непрерывного мониторинга и аудита

Основной целью мониторинга безопасности является обнаружение угроз. Основная цель — предотвратить потенциальные нарушения безопасности и поддерживать безопасную среду. Непрерывный мониторинг и аудит действий интеллектуальной рабочей нагрузки приложений для обнаружения и упреждающего реагирования. Безопасность — это непрерывный процесс, а не разовая задача настройки. Регулярный мониторинг и аудит доступа и взаимодействия пользователей необходимы для обеспечения безопасности рабочей нагрузки интеллектуальных приложений.

Подробнее:

• Рекомендации по мониторингу и обнаружению угроз
• Просмотр журналов аудита Copilot Studio
• Получение телеметрии Copilot Studio с помощью Azure Application Insights

Использование средств безопасности Azure для применения политик безопасности

Используйте встроенные инструменты безопасности Azure, такие как Microsoft Defender для облака (ранее назывался "Центр безопасности Azure") и Политика Azure, для мониторинга и применения политик безопасности.

Проведение обучения сотрудников

Обучение сотрудников о лучших практиках защиты данных и важности соблюдения требований к размещению данных. Адаптируйте учебные материалы к конкретным ролям и обязанностям различных сотрудников. Законы и нормативные акты о защите данных постоянно развиваются. Обеспечьте регулярное обновление учебных программ с учетом последних законодательных требований и передовой практики. Используйте интерактивные методы, такие как семинары, симуляции и сценарии из реальной жизни, чтобы сделать обучение увлекательным и эффективным. Обеспечьте непрерывную поддержку и ресурсы, такие как доступ к специалистам по защите данных или юрисконсультам, чтобы помочь сотрудникам оставаться в курсе событий и соблюдать нормативные требования.