Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Узнайте, как контрольная плоскость Foundry от Microsoft помогает управлять соответствием, применять ограничивающие меры (guardrail) и интегрировать инструменты безопасности, такие как Microsoft Defender для облака, в пределах подписок.
Важно
Элементы, помеченные (предварительная версия) в этой статье, в настоящее время находятся в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или могут иметь ограниченные возможности. Дополнительные сведения см. в разделе Supplemental Terms of Use for Microsoft Azure Previews.
Используйте вкладки рабочей области для соответствия, чтобы быстро получить доступ к нужной поверхности.
| вкладка | Навигация | Результат |
|---|---|---|
| Политики | Работать>Соответствия>Политики | Просмотрите политики guardrail, проверьте соответствие требованиям и создайте или измените правила принудительного применения. |
| Активы | Управление>Соответствие>Активов | Проверьте развертывания отдельных моделей, ознакомьтесь с нарушениями политики и перейдите к их устранению. |
| Ограничения | Управлять>Правилами соответствия>и ограничениями | Сравните конфигурации ограничительных механизмов между развертываниями и выявите пробелы в охвате. |
| Состояние безопасности | Управление>Комплаенс>Позиция безопасности | Просмотрите рекомендации Defender для облака и управляйте включением Microsoft Purview. |
Необходимые условия
-
Учетная запись Azure с активной подпиской. Если у вас нет, создайте учетную запись free Azure, которая включает бесплатную пробную подписку.
Проект Foundry. Если у вас его нет, создайте проект.
Все агенты, которые вы хотите использовать. Не забудьте использовать последние версии агента для полной поддержки функций соответствия требованиям.
Соответствующие разрешения на основе задач, которые необходимо выполнить:
Чтобы просмотреть состояние соответствия и политики защиты: специальные разрешения не требуются за пределами доступа к проекту.
Для создания или редактирования политик защитных ограждений: вы должны быть Owner или Участник политики ресурсов Azure на уровне подписки или группы ресурсов. Ознакомьтесь с обзором Политика Azure.
To enable Defender для облака: вам нужна роль администратора безопасности или роль владельца подписки, чтобы включить планы Defender и защиту без агента.
Чтобы настроить интеграцию с Microsoft Purview: Вам нужна роль владельца учетной записи Foundry.
Важно
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Примечание
Эта возможность доступна только на портале Foundry (new). Найдите
на баннере портала, чтобы подтвердить, что вы используете Foundry (новый).
Общие сведения о рисках и защите ИИ
Создание рабочих нагрузок ИИ создает уникальные проблемы безопасности. К ключевым рискам относятся:
- Внедрение запроса: вредоносные входные данные, созданные для управления поведением модели или обхода элементов управления безопасностью.
- Утечка конфиденциальных данных: модели непреднамеренно раскрывают конфиденциальную информацию в ответах.
- Неправильное использование модели: несанкционированное или жестокое использование возможностей искусственного интеллекта, которые нарушают организационные политики.
Microsoft Foundry, Defender для облака и Microsoft Purview совместно устраняют эти риски.
- Foundry guardrails: фильтры содержимого, экраны подсказок и обнаружение злоупотреблений защищают конечные точки управляемых выводов на уровне модели.
- Defender для облака: Рекомендации по положению безопасности определяют неправильно настроенные конфигурации, а защита от угроз для инструментов Foundry обнаруживает атаки на взлом устройства и входные данные пользователей.
- Microsoft Purview: аудитирование, классификация типов конфиденциальной информации (SIT) и управление позицией безопасности данных (DSPM) для ИИ обеспечивают видимость и управление данными запросов и ответов.
Примечание
Политики безопасности данных Microsoft Purview требуют токенов контекста пользователя Microsoft Entra ID для присоединения политик к взаимодействию с пользователем.
Создание, проверка и управление ограничительными политиками
Вам следует применять политики ограждения для установления минимальных управляющих ограничений при развертывании моделей в рамках подписки или внутри группы ресурсов. Элементы управления системы Guardrail включают фильтрацию контента, мониторинг злоупотреблений и другие меры безопасности, которые помогают защитить развертывания моделей от создания вредного контента или неправильного использования.
Дополнительные сведения о политиках ограждения см. в статье Ограждения и механизмы управления в Microsoft Foundry.
Большинство пользователей не имеют разрешения на создание политик ограждений, так как им нужны соответствующие роли управления доступом Azure на основе ролей (RBAC) для Политика Azure. Ознакомьтесь с обзором Политика Azure. Большинство пользователей в Foundry по-прежнему могут просматривать состояние соблюдения отдельных политик ограничительных мер и развертываний моделей.
Совет
Перейдите к рабочей области соответствия, выбрав "Работа на панели инструментов", а затем выберите "Соответствие" на левой панели. Перед переключением вкладок используйте фильтры подписок и проектов, чтобы определить область просмотра.
Просмотр и исправление нарушений соответствия требованиям
Определите, какие развертывания модели не соответствуют ограничивающим политикам организации. Чтобы оценить состояние соответствия и устранить проблемы, выполните следующие действия.
Перейдите на вкладку «Политики». Просмотрите все применимые защитные политики в вашей подписке и проекте.
Чтобы расширить область за пределами одного проекта, настройте фильтр проекта на все проекты для обзора всей подписки. Вы также можете переключать подписки.
Определите любую несоответствующую ограничивающую политику, найдя политики со значением «Нарушения обнаружены» в столбце Соответствие политики.
Выберите политику Guardrail. Во всплывающей области сведений выберите актив, чтобы сравнить его параметры защиты с требованиями, указанными в политике ограждений.
Чтобы обновить конфигурацию ограждения для ресурса, не соответствующего требованиям, выберите Исправить сейчас. Выбор этой опции открывает панель конфигурации контрольных параметров развертывания модели, где вы можете настроить параметры в соответствии с требованиями политики безопасности.
После сохранения изменений состояние соответствия обновляется в течение нескольких минут.
Вы также можете проверить состояние соответствия по активам, а не по политике регулирования.
Перейдите на вкладку «Активы» с помощью переключателя «Политика/Активы».
Проверьте развертывания моделей в рамках выбранной подписки и проекта.
Проверьте все ресурсы, помеченные как Обнаруженные нарушения в столбце Контроль соблюдения политики. Выберите эти строки, чтобы получить дополнительные сведения. Ресурсы могут отображаться несколько раз, если они подпадают под действие нескольких политик защиты.
В области сведений просмотрите управляющие политики ограждения и конкретные детали любой несоответствующей политики.
Выберите «Просмотр в сборке», чтобы изменить конфигурацию ограничений и привести развертывание модели в соответствие. Просмотрите все соответствующие политики ограничений для каждого ресурса, чтобы убедиться, что все необходимые корректировки сделаны для обеспечения полного соответствия.
Создание ограничительной политики
В рабочей области соответствия выберите "Создать политику".
Выберите и настройте элементы управления, такие как фильтры содержимого, защитные экраны или обнаружение злоупотреблений. Нажмите кнопку "Добавить элемент управления" после настройки каждого элемента управления.
Нажмите Далее, чтобы задать область политики. Область определяет, к каким ресурсам применяется политика. Выберите подписку для широкого применения политики или выберите определенную группу ресурсов для целевого управления.
Нажмите кнопку "Далее ", чтобы добавить исключения для развертываний моделей или, если политика ограничена подпиской, группами ресурсов. Вы можете исключить определенные развертывания моделей или группы ресурсов из требований политики. Используйте исключения для тестовых сред или устаревших развертываний, которые не могут соответствовать новым требованиям.
Нажмите кнопку "Далее", когда вы завершите добавление исключений.
Введите описательное имя политики. Это имя отображается на панели мониторинга соответствия требованиям.
Выберите Создать, чтобы утвердить политику ограждения.
Может потребоваться до 30 минут, чтобы политика гардрейл отображалась на портале Foundry. Результаты соответствия отображаются после завершения проверки Политика Azure. Длительность сканирования зависит от размера области и ресурсов.
После создания политики guardrail она отображается на вкладке Policies. Состояние соответствия обновляется автоматически, так как Политика Azure оценивает ресурсы.
Изменение политики guardrail
В рабочей области соответствия выберите вкладку "Политики ". Найдите и выберите политику guardrail, которую вы хотите изменить.
На панели с подробными сведениями о политике guardrail выберите "Изменить политику".
При необходимости измените элементы управления, область или исключения.
Нажмите кнопку "Сохранить", чтобы применить изменения.
Подождите в течение 30 минут, пока обновленная политика защиты вступит в силу. Результаты соответствия обновляются после того как Политика Azure переоценивает ваши ресурсы.
Проверка ограничений в подписке
При мониторинге внедрения модели на соответствие, проверьте и сравните элементы управления мерными ограничениями для ваших ресурсов в проекте или подписке. Даже если элементы управления не связаны напрямую с соблюдением политики guardrail, этот процесс помогает выявлять недочеты в назначениях политики guardrail, такие как отсутствие элементов управления. Вы также можете выявить потенциальные риски, которые могут быть незамечены, например подписки, которые не имеют фильтрации содержимого полностью.
Чтобы просмотреть ограничения в подписке, выполните следующее:
В рабочей области соответствия выберите вкладку Guardrails .
Убедитесь, что ваш охват настроен правильно, проверив и при необходимости изменив раскрывающиеся списки подписки и проекта.
Проверьте конфигурации в проектах с помощью сортировки столбцов, чтобы быстро найти проблемы. Например, можно увидеть, какие фильтры отключены.
Если возникла проблема, выберите один из следующих вариантов:
Обновление индивидуальных развертываний:
- На панели инструментов выберите "Сборка".
- В соответствующем проекте выберите Guardrails.
- Обновите существующие параметры guardrail или добавьте новые параметры для развертываний модели.
Создайте политику guardrail для принудительного применения:
- В рабочей области соответствия выберите вкладку "Политики ".
- Создайте новую политику для обеспечения выполнения требований к guardrail во всех развертываниях.
Настройка рекомендаций по безопасности и оповещений
Defender для облака предоставляет пробелы в состоянии безопасности и рекомендации по исправлению. Состояние безопасности представляет общее состояние безопасности ресурсов Azure, включая потенциальные уязвимости, неправильные конфигурации и рекомендуемые улучшения. Defender оценивает ресурсы и рабочие нагрузки по встроенным и пользовательским стандартам безопасности.
Чтобы получить рекомендации по обеспечению безопасности из Defender для облака, включите его в вашей подписке Azure. Чтобы получить оповещения защиты от угроз для атак jailbreak, исходящих из обнаружения рисков в Foundry для атак с пользовательским вводом, включите защиту от угроз для средств Foundry. Атаки в тюрьме пытаются обойти меры безопасности ИИ с помощью тщательно созданных подсказок. Foundry обнаруживает эти шаблоны атак в пользовательском вводе.
Рекомендации и оповещения охватывают рабочие нагрузки ИИ, созданные на конечных точках управляемого вывода Foundry. Обнаружения для джейлбрейка и атак на подсказки отображаются как оповещения Defender и могут быть сопоставлены с записями аудита Microsoft Purview взаимодействий ИИ для поддержки расследований и управления.
Чтобы просмотреть рекомендации по безопасности Defender, выполните следующие действия.
В рабочей области соответствия выберите вкладку "Состояние безопасности ".
Enable Defender для облака для вашей подписки, если это необходимо.
Просмотрите рекомендации в разделе Microsoft Defender для облака, включая затронутый ресурс и связанный уровень риска. Рекомендации могут включать включение дополнительных функций безопасности, исправление неправильной настройки или устранение потенциальных уязвимостей в развертываниях ИИ.
Выберите рекомендацию для просмотра сведений и выберите ссылки для выполнения действий по исправлению на портале Azure.
Включение безопасности и соответствия требованиям корпоративного уровня для Foundry с помощью Microsoft Purview (предварительная версия)
Включив Microsoft Purview в подписке Azure, вы получите доступ к данным о запросах и ответах из приложений и агентов Microsoft Foundry для их обработки и хранения. Данные включают связанные метаданные. Эта интеграция поддерживает ключевые сценарии безопасности и соответствия данным, такие как:
- Аудит Microsoft Purview
- Классификация типа конфиденциальной информации (SIT)
- Аналитика и отчеты с помощью Управление состоянием безопасности данных Microsoft Purview (DSPM) для искусственного интеллекта
- Управление внутренними рисками Microsoft Purview
- Соответствие требованиям к обмену данными Microsoft Purview
- Управление жизненным циклом данных Microsoft Purview
- Microsoft Purview eDiscovery
Эта возможность помогает организации управлять и отслеживать созданные ИИ данные в соответствии с корпоративными политиками и нормативными требованиями. Имейте в виду следующее:
Политики безопасности данных Microsoft Purview применяются к взаимодействиям, которые используют проверку подлинности в контексте пользователя с Microsoft Entra ID на управляемой точке вывода для вывода Foundry (
/chat/completions). Дополнительные сведения см. в статье AzureUserSecurityContext.Для всех других сценариев проверки подлинности взаимодействие пользователей отображается в Аудит Microsoft Purview и DSPM для классификаций обозревателей действий ИИ, но не применяется политиками безопасности данных.
Аудит Microsoft Purview входит в состав лицензии Microsoft Purview для служб Foundry. Для настройки политик безопасности данных в Microsoft Purview администраторами корпоративной безопасности выставление счетов основано на счетчиках pay-as-you-go.
Интеграция с Microsoft Purview для предыдущих функций в Foundry пока не поддерживает сетевую изоляцию.
Для этой функции требуется лицензия Microsoft Purview в клиенте. Дополнительные сведения о Microsoft Purview см. в статье Microsoft Purview: обеспечение безопасности данных и соблюдение нормативных требований для генеративных приложений ИИ.
Включение Microsoft Purview в Foundry
Необходимо иметь роль владельца учетной записи Foundry, чтобы включить интеграцию Microsoft Purview.
Чтобы включить Microsoft Purview в Foundry, выполните приведенные действия.
На панели инструментов выберите "Работа".
На левой панели выберите "Соответствие".
Перейдите на вкладку "Состояние безопасности ".
Выберите подписку Azure.
Включите переключатель Microsoft Purview.
Повторите предыдущие шаги для других Azure подписок, как это необходимо.
Связанное содержимое
- Задачи с повышенными привилегиями в Microsoft Foundry — требования к роли для задач соответствия требованиям и мониторинга.
- Что такое Политика Azure?
- документация Microsoft Defender для облака