Безопасный генерированный ИИ с помощью Microsoft Entra

По мере быстрого развития цифрового ландшафта организации в различных отраслях все чаще внедряют генеративный искусственный интеллект (Gen AI) для стимулирования инноваций и повышения производительности. Недавнее исследование показывает, что 93% предприятий реализуют или разрабатывают стратегию искусственного интеллекта. Примерно тот же процент лидеров рисков сообщает, что они чувствуют себя недостаточно подготовленными или лишь частично подготовленными к решению связанных рисков. При интеграции ИИ поколения в свои операции необходимо снизить значительные риски безопасности и управления.

Microsoft Entra предлагает полный набор возможностей для безопасного управления приложениями ИИ, соответствующим образом контролировать доступ и защищать конфиденциальные данные:

В этой статье рассматриваются конкретные проблемы безопасности, которые представляет ИИ Gen и как их можно устранить с помощью возможностей, предлагаемых Microsoft Entra.

Обнаружить чрезмерно привилегированные идентификаторы

Убедитесь, что у пользователей есть соответствующие разрешения для соблюдения принципа наименьших привилегий. На основе данных телеметрии более 90% учетных записей используют менее 5% предоставленных разрешений. Более 50% этих разрешений являются высоким риском. Скомпрометированные учетные записи могут привести к катастрофическому ущербу.

Управление многооблачной средой сложно, так как управление удостоверениями и доступом (IAM) и команды безопасности часто должны совместно работать кросс-функционально. Многооблачные среды могут ограничить целостное представление об идентичностях, разрешениях и ресурсах. Это ограниченное представление увеличивает область атаки на удостоверения, имеющие слишком привилегированные роли, и учетные записи с чрезмерными разрешениями. Риск скомпрометированных неиспользуемых учетных записей с высокими разрешениями увеличивается по мере внедрения нескольких облаков организации.

Определение нечеловеческих учетных записей

Нечеловеческие учетные записи имеют повторяемые шаблоны и менее вероятно, что изменяются со временем. При определении этих учетных записей рассмотрите возможность использования рабочих нагрузок или управляемых удостоверений.

Сократите роли в соответствии с принципом безопасности доступа с наименьшими привилегиями в модели "Нулевого Доверия". Обратите особое внимание на суперидентификации (например, бессерверные функции и приложения). Учет сценариев использования для приложений генеративного ИИ.

Применение доступа по требованию для ролей Microsoft Entra

Microsoft Entra управление привилегированными пользователями (PIM) помогает управлять, контролировать и отслеживать доступ к ресурсам в Идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт (например, Microsoft 365 или Microsoft Intune). Привилегированные пользователи без поддержки PIM имеют постоянный доступ (всегда в назначенных ролях, даже если они не нуждаются в своих привилегиях). На странице обнаружения и аналитики PIM отображаются постоянные назначения глобальных администраторов, учетные записи с высоко привилегированными ролями и субъекты-службы с назначениями привилегированных ролей. При отображении этих разрешений обратите внимание на то, что должно быть нормально для вашей среды. Рассмотрите возможность сократить объем этих ролей или уменьшить их до JIT-доступа с помощью соответствующих назначений PIM.

Непосредственно на странице обнаружения и аналитики вы можете сделать привилегированные роли PIM доступными для уменьшения постоянного доступа. Вы можете полностью удалить назначение, если им не нужен привилегированный доступ. Вы можете создать проверку доступа для глобальных администраторов, которые побудят их регулярно просматривать собственный доступ.

Включение элементов управления доступом

Размывание разрешений ведет к риску несанкционированного доступа и манипуляции конфиденциальными данными компании. Защита приложений ИИ с одинаковыми правилами управления, применяемыми ко всем корпоративным ресурсам. Чтобы достичь этой цели, определите и разверните детализированные политики доступа для всех пользователей и корпоративных ресурсов (включая приложения ИИ поколения) с помощью управления идентификаторами и условного доступа Microsoft Entra.

Убедитесь, что только правильные люди имеют правильный уровень доступа для правильных ресурсов. Автоматизация жизненного цикла доступа в масштабе с помощью элементов управления правами, рабочих процессов жизненного цикла, запросов доступа, проверок и истечения срока действия.

Управляйте пользовательскими процессами Joiner, Mover и Leaver (JML) с помощью рабочих процессов жизненного цикла и контролируйте доступ в системе управления идентификацией.

Настройка политик и элементов управления для управления доступом пользователей

Используйте управление правами доступа в управлении идентификацией для контроля доступа к приложениям, группам, сайтам Microsoft Teams и SharePoint с помощью политик многоэтапного утверждения.

Настройте политики автоматического назначения в службе управления правами, чтобы автоматически предоставить пользователям доступ к ресурсам на основе свойств пользователей, таких как отдел или центр затрат. Удалите доступ пользователей при изменении этих свойств.

Для корректного определения уровня доступа мы рекомендуем применять срок действия и/или проводить периодический обзор доступа в политиках управления доступом. Эти требования обеспечивают, чтобы пользователи не сохраняли доступ через ограниченное время назначения и повторяющиеся проверки доступа к приложениям.

Применение политик организации с помощью условного доступа Microsoft Entra

Условный доступ объединяет сигналы для принятия решений и применения политик организации. Условный доступ — это подсистема политики нулевого доверия Майкрософт, которая учитывает сигналы из различных источников для применения решений политики.

Применение принципов наименьших привилегий и применение правильных элементов управления доступом для обеспечения безопасности организации с помощью политик условного доступа. Думайте о политиках условного доступа как о операторах if-then, где идентификации, соответствующие определенным критериям, могут получать доступ только к ресурсам, если они соответствуют определенным требованиям, таким как MFA или состояние соответствия устройства.

После развертывания политик условного доступа используйте книгу анализатора пробелов условного доступа для идентификации входов и приложений, где эти политики не применяются. Рекомендуется развернуть по крайней мере одну политику условного доступа, предназначенную для всех ресурсов , чтобы обеспечить базовый контроль доступа.

Включение автоматизации для управления жизненным циклом удостоверений сотрудников в масштабе

Предоставление пользователям доступа к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Этот подход предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние на нарушение безопасности. Используйте автоматическую подготовку пользователей для уменьшения ненужных прав доступа.

Автоматизируйте процессы жизненного цикла для пользователей Microsoft Entra в большом масштабе с помощью Lifecycle Workflows в ID Governance. Автоматизируйте задачи рабочего процесса для оптимизации доступа пользователей в случае ключевых событий. Примеры событий включают, когда новый сотрудник назначен начать работу в организации, когда сотрудники меняют статус, и когда сотрудники покидают организацию.

Управление доступом к высокопривилегированным административным ролям

В некоторых случаях для идентификаций требуется доступ с повышенными привилегиями из-за бизнес- или операционных требований, таких как аварийные учетные записи.

Привилегированные учетные записи должны иметь самый высокий уровень защиты. Скомпрометированные привилегированные учетные записи могут привести к потенциально значительному или материальному влиянию на операции организации.

Назначьте авторизованных пользователей административным ролям в Microsoft Azure и Microsoft Entra. Корпорация Майкрософт рекомендует, по крайней мере, требовать устойчивый к фишингу MFA для следующих ролей:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Ваша организация может выбрать включение или исключение ролей в зависимости от требований. Чтобы просмотреть членство в роли, настройте и используйте проверки доступа для ролей в каталоге.

Применяйте управление доступом на основе ролей с помощью Управления Привилегиями (PIM) и JIT-доступа. PIM предоставляет JIT-доступ к ресурсам путем назначения ограниченного времени доступа. Устраните постоянный доступ, чтобы снизить риск чрезмерного или неправильного использования доступа. PIM позволяет выполнять требования к утверждению и оправданию, применение MFA для активации ролей и журнала аудита.

Управление жизненным циклом внешних гостевых удостоверений и доступом

В большинстве организаций конечные пользователи приглашают бизнес-партнеров (B2B) и поставщиков для совместной работы и предоставляют доступ к приложениям. Как правило, партнеры по совместной работе получают доступ к приложениям во время процесса подключения. Если у совместной работы нет четкой даты окончания, это не ясно, когда пользователю больше не нужен доступ.

Функции управления правами обеспечивают автоматизированный жизненный цикл внешних удостоверений с доступом к ресурсам. Создайте процессы и процедуры для управления доступом с помощью управления правами. Публикация ресурсов с помощью пакетов доступа. Этот подход помогает отслеживать доступ внешних пользователей к ресурсам и уменьшать сложность проблемы.

При авторизации сотрудников для совместной работы с внешними пользователями они могут приглашать любое количество пользователей за пределами организации. Если внешние идентичности используют приложения, обзоры доступа Microsoft Entra помогают вам оценить доступ. Вы можете позволить владельцу ресурса, внешним удостоверениям или другому уполномоченному лицу, которому вы доверяете, подтвердить, нуждаются ли они в дальнейшем доступе.

Используйте проверки доступа Microsoft Entra, чтобы заблокировать вход внешних пользователей в тенант и удалять их из тенанта через 30 дней.

Обеспечение защиты данных и соответствия требованиям с помощью Microsoft Purview

Используйте Microsoft Purview для устранения рисков, связанных с использованием ИИ, и управления ими. Реализуйте соответствующие меры защиты и управления. Центр искусственного интеллекта Microsoft Purview в настоящее время находится в предварительной версии. Он предоставляет удобные графические инструменты и отчеты для быстрого получения аналитических сведений об использовании ИИ в организации. Политики с одним щелчком помогают защитить данные и соответствовать нормативным требованиям.

В рамках условного доступа можно включить адаптивную защиту Microsoft Purview для пометки поведения, которое свидетельствует о внутреннем риске. Примените адаптивную защиту при применении других элементов управления условным доступом для запроса пользователя на MFA или предоставления других действий в зависимости от вариантов использования.

Мониторинг доступа

Мониторинг имеет решающее значение для обнаружения потенциальных угроз и уязвимостей на ранних этапах. Следите за необычными действиями и изменениями конфигурации, чтобы предотвратить нарушения безопасности и обеспечить целостность данных.

Постоянно просматривайте и отслеживайте доступ к вашей среде, чтобы обнаружить подозрительные действия. Избегайте чрезмерного накопления разрешений и получайте оповещения при непреднамеренных изменениях.

В некоторых сценариях можно использовать только приложения ИИ сезонно. Например, финансовые приложения могут иметь низкое использование за пределами налогового и аудита сезона, в то время как розничные приложения могут иметь пики использования в праздничный сезон. Отключите учетные записи, которые не используются в течение значительного периода, особенно учетные записи внешних партнеров, с помощью рабочих процессов жизненного цикла. Рассмотрите сезонность, если JIT или временная деактивация учетной записи более подходяща.

В идеале все пользователи следуют политикам доступа для защиты доступа к ресурсам организации. Если необходимо использовать политики условного доступа с исключениями для отдельных пользователей или гостей, вы можете избежать надзора за исключениями политики. Используйте проверки доступа Microsoft Entra, чтобы предоставить аудиторам подтверждение регулярного проверки исключений.