Sdílet prostřednictvím


Správa stavu zabezpečení AI (Preview)

Plán Správy stavu zabezpečení cloudu (CSPM) v programu Defender for Cloud poskytuje možnosti správy stavu zabezpečení AI, které zajišťují v průběhu celého životního cyklu aplikací generování AI v podnikovém, multi-cloudovém nebo hybridním cloudu (v současné době Azure a AWS). Defender for Cloud snižuje riziko pro úlohy umělé inteligence napříč cloudy:

  • Zjišťování generujícího kusovníku AI (kusovníku AI), který zahrnuje komponenty aplikací, data a artefakty AI z kódu do cloudu.
  • Posílení stavu zabezpečení aplikací umělé inteligence s integrovanými doporučeními a prozkoumáním a nápravou rizik zabezpečení
  • Analýza cesty útoku k identifikaci a nápravě rizik

Diagram životního cyklu vývoje, na který se vztahuje správa stavu zabezpečení AI v programu Defender for Cloud

Důležité

Povolení funkcí správy stavu zabezpečení AI u účtu AWS, který už:

  • Je připojený k vašemu účtu Azure.
  • Má povolenou funkci CSPM v programu Defender.
  • Má typ oprávnění nastavený jako přístup s nejnižšími oprávněními.

Oprávnění pro tento konektor je potřeba překonfigurovat tak, aby povolte příslušná oprávnění pomocí následujícího postupu:

  1. Na webu Azure Portal přejděte na stránku Nastavení prostředí a vyberte příslušný konektor AWS.
  2. Vyberte Konfigurovat přístup.
  3. Ujistěte se, že je typ oprávnění nastavený na Přístup s nejnižšími oprávněními.
  4. Dokončete konfiguraci podle kroků 5 až 8 .

Zjišťování aplikací generující AI

Defender for Cloud zjišťuje úlohy AI a identifikuje podrobnosti o kusovníku AI vaší organizace. Tato viditelnost umožňuje identifikovat a řešit ohrožení zabezpečení a chránit generující aplikace AI před potenciálními hrozbami.

Defendery pro cloud automaticky a nepřetržitě zjišťují nasazené úlohy AI napříč následujícími službami:

  • Azure OpenAI Service
  • Azure Machine Learning
  • Amazon Bedrock

Defender for Cloud může také zjišťovat ohrožení zabezpečení v rámci závislostí generující knihovny AI, jako jsou TensorFlow, PyTorch a Langchain, vyhledáváním zdrojového kódu pro chybnou konfiguraci infrastruktury jako kódu (IaC) a imagí kontejnerů kvůli ohrožením zabezpečení. Pravidelné aktualizace nebo opravy knihoven můžou bránit zneužití, chránit aplikace generující AI a udržovat jejich integritu.

Díky těmto funkcím poskytuje Defender for Cloud úplný přehled úloh AI z kódu do cloudu.

Omezení rizik pro generování aplikací umělé inteligence

CsPM v programu Defender poskytuje kontextové přehledy o stavu zabezpečení umělé inteligence organizace. Rizika v rámci úloh umělé inteligence můžete snížit pomocí doporučení zabezpečení a analýzy cest útoku.

Zkoumání rizik s využitím doporučení

Defender for Cloud vyhodnocuje úlohy AI a doporučení týkající se identity, zabezpečení dat a vystavení internetu za účelem identifikace a stanovení priorit kritických problémů se zabezpečením v úlohách AI.

Detekce chybných konfigurací IaC

Zabezpečení DevOps detekuje chybné konfigurace IaC, které můžou vystavit generující aplikace umělé inteligence ohrožením zabezpečení, jako jsou over-exposed řízení přístupu nebo neúmyslně vystavené veřejně vystavené služby. Tyto chybné konfigurace můžou vést k narušení zabezpečení dat, neoprávněnému přístupu a problémům s dodržováním předpisů, zejména při zpracování striktních předpisů na ochranu osobních údajů.

Defender for Cloud vyhodnocuje konfiguraci generativních aplikací AI a poskytuje doporučení zabezpečení ke zlepšení stavu zabezpečení AI.

Zjištěné chybné konfigurace by se měly napravit v rané fázi vývojového cyklu, aby se zabránilo složitějším problémům později.

Mezi aktuální kontroly zabezpečení umělé inteligence IaC patří:

  • Použití privátních koncových bodů služby Azure AI
  • Omezení koncových bodů služby Azure AI
  • Použití spravované identity pro účty služby Azure AI
  • Použití ověřování na základě identit pro účty služby Azure AI

Zkoumání rizik s využitím analýzy cest útoku

Analýza cest útoku detekuje a snižuje rizika pro úlohy umělé inteligence, zejména při uzemnění (propojení modelů AI s konkrétními daty) a jemné ladění (úprava předem natrénovaného modelu na konkrétní datové sadě za účelem zlepšení výkonu související úlohy) fází, kdy se můžou data vystavit.

Díky nepřetržitému monitorování úloh umělé inteligence může analýza cesty útoku identifikovat slabá místa a potenciální ohrožení zabezpečení a postupovat podle doporučení. Kromě toho se rozšiřuje i na případy, kdy se data a výpočetní prostředky distribuují napříč Azure, AWS a GCP.