Dela via

Skydda generativ AI med Microsoft Entra

  • Artikel

I takt med att det digitala landskapet snabbt utvecklas antar organisationer i olika branscher i allt högre grad Generative Artificial Intelligence (Gen AI) för att driva innovation och förbättra produktiviteten. En nyligen genomförd forskningsstudie visar att 93 % av företagen implementerar eller utvecklar en AI-strategi. Ungefär samma procentandel av riskledarna rapporterar att de känner sig underbearbetade eller bara något beredda att ta itu med de associerade riskerna. När du integrerar Gen AI i din verksamhet måste du minska betydande säkerhets- och styrningsrisker.

Microsoft Entra erbjuder en omfattande uppsättning funktioner för säker hantering av AI-program, korrekt kontroll av åtkomst och skydd av känsliga data:

Den här artikeln går in på de specifika säkerhetsutmaningar som Gen AI utgör och hur du kan hantera dem med de funktioner som erbjuds av Microsoft Entra.

Identifiera överprivilegierade identiteter

Se till att användarna har rätt behörigheter för att följa principen om lägsta behörighet. Baserat på vår telemetri använder över 90 % av identiteterna mindre än 5 % av de behörigheter som beviljats. Över 50 % av dessa behörigheter är hög risk. Komprometterade konton kan orsaka katastrofala skador.

Hantering av flera molnmiljöer är svårt eftersom IAM (IAM) och säkerhetsteam ofta behöver samarbeta tvärfunktionellt. Miljöer med flera moln kan begränsa den omfattande vyn till identiteter, behörigheter och resurser. Den här begränsade vyn ökar attackytan på identiteter som har alltför privilegierade roller och över behörighetsbegränsade konton. Risken för komprometterade oanvända konton med höga behörigheter ökar när organisationer använder flera moln.

Identifiera icke-mänskliga konton

Icke-mänskliga konton har repeterbara mönster och är mindre benägna att förändras över tid. När du identifierar dessa konton bör du överväga att använda arbetsbelastningar eller hanterade identiteter och Microsoft Entra – behörighetshantering. Behörighetshantering är ett CIEM-verktyg (Cloud Infrastructure Entitlement Management). Den ger omfattande insyn i behörigheter som du tilldelar till alla identiteter i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).

Trimma roller till säkerhetsprincipen Nolltillit lägsta behörighet. Var uppmärksam på superidentiteter (till exempel serverlösa funktioner och appar). Ta hänsyn till användningsfall för Gen AI-program.

Framtvinga just-in-time-åtkomst för Microsoft Entra-roller

Microsoft Entra Privileged Identity Management (PIM) hjälper dig att hantera, kontrollera och övervaka åtkomst till resurser i Microsoft Entra ID, Azure och andra Microsoft Online-tjänster (till exempel Microsoft 365 eller Microsoft Intune). Icke-PIM-aktiverade privilegierade användare har stående åtkomst (alltid i sina tilldelade roller även när de inte behöver sina privilegier). Sidan för PIM upptäckter och insikter visar permanenta globala administratörstilldelningar, samt konton med mycket privilegierade roller och tjänsthuvudnamn med privilegierade rolltilldelningar. När du ser dessa behörigheter bör du anteckna vad som ska vara normalt för din miljö. Överväg att trimma dessa roller eller minska dem till just-in-time-åtkomst (JIT) med PIM-berättigade tilldelningar.

Direkt på identifierings- och insiktssidan kan du göra privilegierade roller PIM-berättigade för att minska den stående åtkomsten. Du kan ta bort tilldelningen helt och hållet om de inte behöver privilegierad åtkomst. Du kan skapa en åtkomstgranskning för globala administratörer som uppmanar dem att regelbundet granska sin egen åtkomst.

Aktivera åtkomstkontroller

Behörighetskrypning skapar en risk för obehörig åtkomst och begränsad manipulering av företagsdata. Skydda AI-program med samma styrningsregler som du tillämpar på alla företagsresurser. För att uppnå det här målet definierar och distribuerar du detaljerade åtkomstprinciper för alla användare och företagsresurser (inklusive Gen AI-appar) med ID-styrning och Villkorsstyrd åtkomst i Microsoft Entra.

Se till att endast rätt personer har rätt åtkomstnivå för rätt resurser. Automatisera åtkomstlivscykler i stor skala genom kontroller med berättigandehantering, livscykelarbetsflöden, åtkomstbegäranden, granskningar och förfallodatum.

Styr dina JML-användarprocesser (Joiner, Mover och Leaver) med livscykelarbetsflöden och styr åtkomsten i ID-styrning.

Konfigurera principer och kontroller för att styra användaråtkomst

Använd Berättigandehantering i ID-styrning för att styra vem som kan komma åt program, grupper, Teams och SharePoint-webbplatser med principer för godkännande i flera steg.

Konfigurera automatiska tilldelningsprinciper i Berättigandehantering för att automatiskt ge användarna åtkomst till resurser baserat på användaregenskaper som avdelning eller kostnadsställe. Ta bort användaråtkomst när dessa egenskaper ändras.

För att få rätt storlek på åtkomsten rekommenderar vi att du tillämpar ett förfallodatum och/eller regelbunden åtkomstgranskning på principer för berättigandehantering. Dessa krav säkerställer att användarna inte på obestämd tid behåller åtkomsten via tidsbegränsade tilldelningar och återkommande granskningar av programåtkomst.

Framtvinga organisationsprinciper med villkorsstyrd åtkomst i Microsoft Entra

Villkorsstyrd åtkomst samlar signaler för att fatta beslut och framtvinga organisationsprinciper. Villkorlig åtkomst är Microsofts Nolltillit principmotor som tar hänsyn till signaler från olika källor för att tillämpa principbeslut.

Framtvinga principer för lägsta behörighet och tillämpa rätt åtkomstkontroller för att skydda din organisation med principer för villkorlig åtkomst. Tänk på principer för villkorsstyrd åtkomst som if-then-instruktioner där identiteter som uppfyller vissa kriterier bara kan komma åt resurser om de uppfyller specifika krav som MFA eller enhetsefterlevnadsstatus.

Begränsa åtkomsten till Gen AI-appar baserat på signaler som användare, grupper, roller, plats eller risk för att förbättra principbesluten.

När du har distribuerat principer för villkorsstyrd åtkomst använder du arbetsboken gap analyzer för villkorsstyrd åtkomst för att identifiera inloggningar och program där du inte tillämpar dessa principer. Vi rekommenderar att du distribuerar minst en princip för villkorsstyrd åtkomst som riktar sig till alla resurser för att säkerställa baslinjeåtkomstkontroll.

Aktivera automatisering för att hantera anställdas identitetslivscykel i stor skala

Ge användarna åtkomst till information och resurser endast om de har ett verkligt behov av att utföra sina uppgifter. Den här metoden förhindrar obehörig åtkomst till känsliga data och minimerar potentiella säkerhetsöverträdelser. Använd automatiserad användaretablering för att minska onödig beviljande av åtkomsträttigheter.

Automatisera livscykelprocesser för Microsoft Entra-användare i stor skala med livscykelarbetsflöden i ID-styrning. Automatisera arbetsflödesuppgifter för att ändra storlek på användaråtkomst när viktiga händelser inträffar. Exempelhändelser inkluderar innan en ny anställd schemaläggs för att börja arbeta i organisationen, när anställda ändrar status och när anställda lämnar organisationen.

Styra åtkomst till högprivilegierad administrativ roll

Det kan finnas fall där identiteter kräver högre behörighet på grund av affärs-/driftskrav, till exempel break glass-konton .

Privilegierade konton bör ha den högsta skyddsnivån. Komprometterade privilegierade konton kan orsaka potentiellt betydande eller väsentlig inverkan på organisationens åtgärder.

Tilldela endast behöriga användare till administrativa roller i Microsoft Azure och Microsoft Entra. Microsoft rekommenderar att du behöver nätfiskeresistent MFA på följande roller som minst:

  • Global administratör
  • Appadministratör
  • Autentiseringsadministratör
  • Faktureringsadministratör
  • Molnappadministratör
  • Administratör för villkorsstyrd åtkomst
  • Exchange-administratör
  • Supportadministratör
  • Lösenordsadministratör
  • Administratör av privilegierad autentisering
  • Administratör för privilegierad roll
  • Säkerhetsadministratör
  • SharePoint-administratör
  • Användaradministratör

Din organisation kan välja att inkludera eller exkludera roller baserat på krav. Om du vill granska rollmedlemskap konfigurerar och använder du katalogrollåtkomstgranskningar.

Tillämpa rollbaserad åtkomstkontroll med privileged Identity Management (PIM) och jit-åtkomst (just-in-time). PIM ger JIT-åtkomst till resurser genom att tilldela tidsbunden åtkomst. Eliminera stående åtkomst till lägre risk för överdriven eller missbrukad åtkomst. PIM tillåter krav på godkännande och motivering, MFA-tillämpning för rollaktivering och granskningshistorik.

Hantera extern gästidentitetslivscykel och åtkomst

I de flesta organisationer bjuder slutanvändarna in affärspartner (B2B) och leverantörer för samarbete och ger åtkomst till program. Vanligtvis får samarbetspartners programåtkomst under registreringsprocessen. När samarbeten inte har ett tydligt slutdatum är det inte klart när en användare inte längre behöver åtkomst.

Berättigandehanteringsfunktioner möjliggör automatisk livscykel för externa identiteter med åtkomst till resurser. Upprätta processer och procedurer för att hantera åtkomst via Berättigandehantering. Publicera resurser via åtkomstpaket. Den här metoden hjälper dig att spåra extern användaråtkomst till resurser och minska problemets komplexitet.

När du ger anställda behörighet att samarbeta med externa användare kan de bjuda in valfritt antal användare utanför organisationen. Om externa identiteter använder program hjälper Microsoft Entra-åtkomstgranskningar dig att granska åtkomsten. Du kan låta resursägaren, externa identiteter själva eller en annan delegerad person som du litar på intyga om de behöver fortsatt åtkomst.

Använd Microsoft Entra-åtkomstgranskningar för att blockera externa identiteter från att logga in på din klientorganisation och ta bort externa identiteter från din klient efter 30 dagar.

Framtvinga dataskydd och efterlevnadsskydd med Microsoft Purview

Använd Microsoft Purview för att minimera och hantera riskerna med AI-användning. Implementera motsvarande skydds- och styrningskontroller. Microsoft Purview AI Hub är för närvarande en förhandsversion. Den innehåller lätthanterliga grafiska verktyg och rapporter för att snabbt få insikter om AI-användning i din organisation. Principer med ett klick hjälper dig att skydda dina data och uppfylla regelkrav.

Inom villkorlig åtkomst kan du aktivera Microsoft Purview Adaptive Protection för att flagga beteende som tyder på insiderrisk. Använd adaptivt skydd när du tillämpar andra kontroller för villkorsstyrd åtkomst för att fråga användaren om MFA eller tillhandahålla andra åtgärder baserat på dina användningsfall.

Övervaka åtkomst

Övervakning är avgörande för att upptäcka potentiella hot och sårbarheter tidigt. Håll utkik efter ovanliga aktiviteter och konfigurationsändringar för att förhindra säkerhetsöverträdelser och upprätthålla dataintegriteten.

Granska och övervaka åtkomsten till din miljö kontinuerligt för att identifiera misstänkt aktivitet. Undvik behörigheter och få aviseringar när saker oavsiktligt ändras.

I vissa scenarier kanske du bara använder AI-program säsongsvis. Till exempel kan finansiella appar ha låg användning utanför skatte- och granskningssäsongen medan detaljhandelsappar kan ha användningstoppar under semesterperioden. Inaktivera konton som inte används under en längre period, särskilt externa partnerkonton, med livscykelarbetsflöden. Överväg säsongsvariationer om JIT eller tillfällig kontoinaktivering är lämpligare.

Helst följer alla användare åtkomstprinciper för att skydda åtkomsten till organisationens resurser. När du behöver använda principer för villkorlig åtkomst med undantag för enskilda användare eller gäster kan du undvika principundantagstillsyn. Använd Microsoft Entra-åtkomstgranskningar för att ge granskare bevis på regelbunden undantagsgranskning.

Granska behörighetshantering kontinuerligt. När identiteter finns kvar i en organisation tenderar de att samla in behörigheter medan de arbetar med nya projekt eller flyttar team. Övervaka PCI-poängen (Permissions Creep Index) i Behörighetshantering och konfigurera övervaknings- och aviseringsfunktioner. Den här metoden minskar gradvisa behörigheter och minskar explosionsradien runt komprometterade användarkonton.

  • Konfigurera rapporter så att de körs regelbundet. Konfigurera anpassade rapporter för specifika användningsfall, särskilt för identiteter som behöver åtkomst till Gen AI-appar.
  • Om du vill övervaka behörigheter i Azure, AWS och GCP använder du Behörighetshantering. Använd rekommendationer för arbetsbelastningsidentiteter för att säkerställa att dina Gen AI-appar inte har för höga behörigheter eller har fler behörigheter som lagts till över tid än nödvändigt.

Relaterat innehåll