Применение принципов нулевого доверия к Microsoft Copilot
Сводка. Чтобы применить принципы нулевого доверия к Microsoft Copilot, необходимо:
- Реализуйте защиту безопасности для веб-запросов в Интернет.
- Добавьте сведения о защите для браузера Microsoft Edge.
- Выполните рекомендуемые средства защиты для Copilot для Microsoft 365.
- Обеспечение защиты безопасности при использовании Microsoft Copilot и Copilot для Microsoft 365 вместе.
Введение
Microsoft Copilot или Copilot — это компаньон ИИ в copilot.microsoft.com, Windows, Edge, Bing и мобильное приложение Copilot. В этой статье показано, как реализовать защиту безопасности для обеспечения безопасности организации и данных при использовании Copilot. Реализуя эти защиты, вы создаете основу нулевого доверия.
Рекомендации по безопасности нулевого доверия для Copilot сосредоточены на защите учетных записей пользователей, устройств пользователей и данных, которые в область для настройки Copilot.
Вы можете ввести Copilot на этапе, от разрешения веб-запросов на основе Интернета, чтобы разрешить как веб-землю, так и Microsoft 365 Graph-заземление запросов как в Интернете, так и в данные организации. Эта статья поможет понять область каждой конфигурации и, следовательно, рекомендации по подготовке среды с соответствующей защитой безопасности.
Как с искусственным интеллектом помогает нулевое доверие?
Безопасность, особенно защита данных, часто является основной проблемой при внедрении средств искусственного интеллекта в организацию. Zero Trust — это стратегия безопасности, которая проверяет всех пользователей, устройств и запросов ресурсов, чтобы гарантировать, что каждая из них разрешена. Термин "нулевое доверие" относится к стратегии лечения каждого запроса подключения и ресурса, как будто он произошел из неконтролируемой сети и плохого субъекта. Независимо от того, откуда исходит запрос или к какому ресурсу он обращается, модель нулевого доверия учит нас "никогда не доверять, всегда проверять".
В качестве лидера в области безопасности корпорация Майкрософт предоставляет практическую стратегию и четкое руководство по реализации нулевого доверия. Набор Копилот майкрософт построен на основе существующих платформ, которые наследуют защиту, примененную к этим платформам. Сведения о применении нулевого доверия к платформам Майкрософт см. в центре рекомендаций по нулю доверия. Реализуя эти средства защиты, вы создаете основу безопасности нулевого доверия.
В этой статье приведено руководство по назначению защиты нулевого доверия, которые относятся к Copilot.
Сведения, включенные в эту статью
В этой статье рассматриваются рекомендации по безопасности, которые применяются на четырех этапах. Это обеспечивает путь для внедрения Copilot в среду при применении защиты для пользователей, устройств и данных, к которым обращается Copilot.
| Этап | Настройка | Компоненты для защиты |
|---|---|---|
| 1 | Веб-запросы в Интернет | Базовая гигиена безопасности для пользователей и устройств с помощью политик идентификации и доступа. |
| 2 | Веб-запросы к Интернету с включенной сводкой страниц браузера Edge | Данные организации о локальных, интрасети и облачных расположениях, которые могут суммироваться в Copilot в Edge. |
| 3 | Веб-интерфейсы запрашивают Интернет и доступ к Copilot для Microsoft 365 | Все компоненты, затронутые Copilot для Microsoft 365. |
| 4 | Веб-запросы к Интернету и доступ к Copilot для Microsoft 365 с включенной сводкой страниц браузера Edge | Все компоненты, перечисленные выше. |
Этап 1. Начните с рекомендаций по безопасности для веб-интерфейсов запросов в Интернет
Простейшая конфигурация Copilot обеспечивает помощь СИ с веб-запросами.
На рисунке:
- Пользователи могут взаимодействовать с Copilot через copilot.microsoft.com, Windows, Bing, браузер Edge и мобильное приложение Copilot.
- Запросы создаются в Интернете. Copilot использует только общедоступные данные для реагирования на запросы.
С этой конфигурацией данные организации не включаются в область данных, на которые ссылается Copilot.
Используйте этот этап для реализации политик идентификации и доступа для пользователей и устройств, чтобы предотвратить использование Copilot плохих субъектов. Как минимум, необходимо настроить политики условного доступа, которые требуют:
Дополнительные рекомендации по Microsoft 365 E3
- Для проверки подлинности и доступа учетных записей пользователей также настройте политики удостоверения и доступа для блокировки клиентов, которые не поддерживают современную проверку подлинности.
- Используйте возможности защиты Windows.
Дополнительные рекомендации для Microsoft 365 E5
Реализуйте рекомендации для E3 и настройте следующие политики идентификации и доступа:
- Требовать многофакторную проверку подлинности, если риск входа является средним или высоким
- Пользователи с высоким уровнем риска должны изменить пароль
Этап 2. Добавление средств защиты для сводки браузера Edge
С боковой панели Microsoft Edge Microsoft Copilot помогает получать ответы и вдохновения из интернета и, если они включены, из некоторых типов сведений, отображаемых на открытых вкладках браузера.
Ниже приведены некоторые примеры частных или корпоративных веб-страниц и типов документов, которые Copilot в Edge могут суммировать:
- Сайты интрасети, такие как SharePoint, кроме внедренных документов Office
- Outlook Web App
- PDF-файлы, включая хранящиеся на локальном устройстве
- Сайты, не защищенные политиками защиты от потери данных Microsoft Purview, политиками управления мобильными приложениями (MAM) или политиками MDM
Примечание.
Текущий список типов документов, поддерживаемых Copilot в Edge для анализа и суммирования, см. в разделе Copilot в поведении сводки веб-страниц Edge.
Потенциально конфиденциальные сайты и документы организации, которые Copilot в Edge могут обобщать, могут храниться в локальных, интрасети или облачных расположениях. Эти данные организации могут предоставляться злоумышленнику, который имеет доступ к устройству и использует Copilot в Edge для быстрого создания сводных данных документов и сайтов.
Данные организации, которые могут быть обобщены Copilot в Edge, могут включать:
Локальные ресурсы на компьютере пользователя
PDF-файлы или сведения, отображаемые на вкладке браузера Edge локальными приложениями, которые не защищены политиками MAM
Ресурсы интрасети
PDF-файлы или сайты для внутренних приложений и служб, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Сайты Microsoft 365, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Ресурсы Microsoft Azure
PDF-файлы на виртуальных машинах или сайтах для приложений SaaS, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Сторонние облачные сайты продуктов для облачных приложений и служб SaaS, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDA
Используйте этот этап для реализации уровней безопасности, чтобы предотвратить использование Copilot плохих субъектов для более быстрого обнаружения и доступа к конфиденциальным данным. Как минимум, необходимо:
- Развертывание защиты данных и соответствия требованиям с помощью Microsoft Purview
- Настройка минимальных разрешений пользователей для данных
- Развертывание защиты от угроз для облачных приложений с помощью приложений Microsoft Defender для облака
Дополнительные сведения о Copilot в Edge см. в следующем разделе:
На этом рисунке показаны наборы данных, доступные Microsoft Copilot в Edge с включенным сводные данные браузера.
Рекомендации для E3 и E5
Реализуйте политики защиты приложений Intune (APP) для защиты данных. ПРИЛОЖЕНИЕ может предотвратить непреднамеренное или преднамеренное копирование содержимого, созданного Copilot, в приложения на устройстве, которое не входит в список разрешенных приложений. ПРИЛОЖЕНИЕ может ограничить радиус взрыва злоумышленника с помощью скомпрометированного устройства.
Включите Microsoft Defender для Office 363 план 1, который включает Exchange Online Protection (EOP) для Сейф вложений, Сейф ссылок, расширенных пороговых значений фишинга и защиты олицетворения и обнаружения в режиме реального времени.
Этап 3. Полные средства защиты, рекомендуемые для Copilot для Microsoft 365
Copilot для Microsoft 365 может использовать следующие наборы данных для обработки запросов на основе Графа:
- Данные клиента Microsoft 365
- Интернет-данные через поиск Bing (если он включен)
- Данные, используемые подключаемыми модулями и соединителями с поддержкой Copilot
Дополнительные сведения см. в разделе "Применение принципов нулевого доверия к Microsoft Copilot для Microsoft 365".
Рекомендации для E3
Реализуйте следующее:
Политики требований к управлению устройствами Intune и требованиям к соответствию устройств
Защита данных в клиенте Microsoft 365
Метки конфиденциальности
Политики защиты от потери данных (DLP)
Политики хранения
Рекомендации для E5
Реализуйте рекомендации по E3 и следующим образом:
- Используйте более широкий диапазон классификаторов для поиска конфиденциальных сведений.
- Автоматизируйте метки хранения.
- Попробуйте использовать возможности плана 2 в Defender для Office 365, которые включают в себя расследование после нарушения, охоту и реагирование, автоматизацию и имитацию.
- Включите Microsoft Defender для облака приложения.
- Настройте Defender для облака приложения для обнаружения облачных приложений и мониторинга и аудита их поведения.
Этап 4. Обеспечение защиты безопасности при использовании Microsoft Copilot и Copilot для Microsoft 365 вместе
С лицензией для Copilot для Microsoft 365 вы увидите элемент управления work/Web toggle в браузере Edge, Windows и Bing, который позволяет переключаться между использованием:
- Графические запросы, отправляемые в Copilot для Microsoft 365 (переключение для параметра Work).
- Веб-запросы, которые в основном используют интернет-данные (переключение для интернета).
Ниже приведен пример copilot.microsoft.com.
На этом рисунке показан поток запросов Graph и Web-grounded.
На схеме:
- Пользователи на устройствах с лицензией для Copilot для Microsoft 365 могут выбрать рабочий или веб-режим для запросов Microsoft Copilot.
- Если выбрана работа , запросы на основе графа отправляются в Copilot для Microsoft 365 для обработки.
- Если веб-сайт выбран, веб-запросы , введенные через Windows, Bing или Edge, используют данные Интернета в обработке.
- В случае Edge и при включении Windows Copilot включает некоторые типы данных на открытых вкладках Edge в обработке.
Если у пользователя нет лицензии на Copilot для Microsoft 365, переключатель Work/Web не отображается и все запросы создаются в Интернете .
Ниже приведены наборы доступных данных организации для Microsoft Copilot, которые включают в себя запросы Graph и Web-grounded.
На рисунке желтые затеняемые блоки предназначены для данных организации, доступных через Copilot. Доступ к этим данным пользователем через Copilot зависит от разрешений на данные, назначенные учетной записи пользователя. Оно также может зависеть от состояния устройства пользователя, если условный доступ настроен для пользователя или для доступа к среде, в которой находятся данные. Следуя принципам нулевого доверия, это данные, которые необходимо защитить, если злоумышленник компрометирует учетную запись пользователя или устройство.
Для запросов на основе графа (переключение для параметра Work) включает в себя следующее:
Данные клиента Microsoft 365
Данные для подключаемых модулей с поддержкой Copilot и соединителей
Интернет-данные (если веб-подключаемый модуль включен)
Для веб-запросов в браузере Edge с включенным сводных данных на вкладке "Браузер" (переключатель для интернета) это может включать данные организации, которые можно суммировать в Copilot в Edge из локальных, интрасети и облачных расположений.
Используйте этот этап, чтобы проверить реализацию следующих уровней безопасности, чтобы предотвратить использование Copilot для доступа к конфиденциальным данным:
- Развертывание защиты данных и соответствия требованиям с помощью Microsoft Purview
- Настройка минимальных разрешений пользователей для данных
- Развертывание защиты от угроз для облачных приложений с помощью приложений Microsoft Defender для облака
Рекомендации для E3
- Просмотрите конфигурацию и функции Defender для Office 365 плана 1 и Defender для конечной точки 1 и при необходимости реализуйте дополнительные возможности.
- Настройте соответствующие уровни защиты для Microsoft Teams.
Рекомендации для E5
Реализуйте рекомендации для E3 и расширьте возможности XDR в клиенте Microsoft 365:
Просмотрите конфигурацию и реализуйте дополнительные возможности, чтобы повысить защиту от угроз с помощью полного набора XDR в Microsoft Defender:
Настройка политик сеанса для приложений Defender для облака
Сводка конфигурации
На этом рисунке перечислены конфигурации Microsoft Copilot и полученные доступные данные, которые Copilot использует для реагирования на запросы.
Эта таблица содержит рекомендации по нулю доверия для выбранной конфигурации.
| Настройка | Доступные данные | Рекомендации по нулю доверия |
|---|---|---|
| Без лицензий Copilot для Microsoft 365 (недоступен рабочий или веб-переключатель ) AND Сводные данные страницы браузера Edge отключены |
Для веб-запросов только данные Интернета | Не требуется, но настоятельно рекомендуется для общей гигиены безопасности. |
| Без лицензий Copilot для Microsoft 365 (недоступен рабочий или веб-переключатель ) AND Включена сводка страниц браузера Edge |
Для веб-запросов: — Интернет-данные — Данные организации о локальных, интрасети и облачных расположениях, которые могут суммироваться в Copilot в Edge. |
Сведения о клиенте Microsoft 365 см. в разделе "Нулевое доверие" для Copilot для Microsoft 365 и применение защиты нулевого доверия. Сведения о данных организации в локальных, интрасети и облачных расположениях см. в разделе "Управление устройствами с помощью Intune" для политик MAM и MDM. Кроме того, см. статью "Управление конфиденциальностью данных и защитой данных" с помощью Microsoft Priva и Microsoft Purview для политик защиты от потери данных. |
| С лицензиями Copilot для Microsoft 365 (доступны рабочие и веб-переключатели ) AND Сводные данные страницы браузера Edge отключены |
Для запросов на основе графа: — данные клиента Microsoft 365 — Интернет-данные, если веб-подключаемый модуль включен — Данные для подключаемых модулей и соединителей с поддержкой Copilot Для веб-запросов только интернет-данные |
Сведения о клиенте Microsoft 365 см. в разделе "Нулевое доверие" для Copilot для Microsoft 365 и применение защиты нулевого доверия. |
| С лицензиями Copilot для Microsoft 365 (доступны рабочие и веб-переключатели ) AND Включена сводка страниц браузера Edge |
Для запросов на основе графа: — данные клиента Microsoft 365 — Данные Интернета, если включен веб-подключаемый модуль — Данные для подключаемых модулей и соединителей с поддержкой Copilot Для веб-запросов: — Интернет-данные — Данные организации, которые можно отобразить на странице браузера Edge, включая локальные, облачные и интрасети ресурсы |
Сведения о клиенте Microsoft 365 см. в разделе "Нулевое доверие" для Copilot для Microsoft 365 и применение защиты нулевого доверия. Сведения о данных организации в локальных, интрасети и облачных расположениях см. в разделе "Управление устройствами с помощью Intune" для политик MAM и MDM. Кроме того, см. статью "Управление конфиденциальностью данных и защитой данных" с помощью Microsoft Priva и Microsoft Purview для политик защиты от потери данных. |
Следующие шаги
Дополнительные статьи по нулю доверия и Копилоты Майкрософт см. в следующих статьях:
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упоминание в этой статье.