Verwaltung des KI-Sicherheitsstatus (Vorschau)
Der Defender Cloud Security Posture Management (CSPM)-Plan in Microsoft Defender for Cloud bietet Funktionalitäten für die KI-Sicherheitsstatusverwaltung, die generative KI-Anwendungen für Unternehmen, Multi-Cloud- oder Hybrid Cloud-Umgebungen (derzeit Azure und AWS) während des gesamten Anwendungslebenszyklus schützen. Defender for Cloud reduziert das Risiko für Cloud-übergreifende KI-Workloads durch:
- Entdecken von generativen KI-Stücklisten (AI Bill of Materials, AI BOM), die Anwendungskomponenten, Daten und KI-Artefakte von Code bis Cloud umfassen.
- Stärken des generativen Sicherheitsstatus von KI-Anwendungen mit integrierten Empfehlungen und durch Erkunden und Beheben von Sicherheitsrisiken.
- Verwenden der Angriffspfadanalyse, um Risiken zu identifizieren und zu beheben.
Wichtig
So aktivieren Sie die Funktionen für die Verwaltung des KI-Sicherheitsstatus für ein AWS-Konto, für das bereits Folgendes gilt:
- Es ist mit Ihrem Azure-Konto verbunden.
- Defender CSPM ist für das Konto aktiviert.
- Der Berechtigungstyp ist auf Zugriff mit den geringsten Rechten festgelegt.
Sie müssen die Berechtigungen für diesen Connector mithilfe der folgenden Schritte neu konfigurieren, um die relevanten Berechtigungen zu aktivieren:
- Navigieren Sie im Azure-Portal zur Seite „Umgebungseinstellungen“, und wählen Sie den entsprechenden AWS-Connector aus.
- Wählen Sie Zugriff konfigurieren aus.
- Stellen Sie sicher, dass der Berechtigungstyp auf Zugriff mit den geringsten Rechten festgelegt ist.
- Führen Sie die Schritte 5 bis 8 aus, um die Konfiguration abzuschließen.
Entdecken generativer KI-Apps
Defender for Cloud entdeckt KI-Workloads und identifiziert Details zur KI-Stückliste Ihrer Organisation. Diese Sichtbarkeit ermöglicht es Ihnen, Sicherheitsrisiken zu identifizieren und zu beheben und generative KI-Anwendungen vor potenziellen Bedrohungen zu schützen.
Defenders for Cloud entdeckt automatisch und kontinuierlich bereitgestellte KI-Workloads in den folgenden Diensten:
- Azure OpenAI Service
- Azure Machine Learning
- Amazon Bedrock
Defender for Cloud kann auch Sicherheitsrisiken innerhalb von generativen KI-Bibliotheksabhängigkeiten wie TensorFlow, PyTorch und Langchain entdecken, indem Quellcode auf Infrastruktur-als-Code (IaC)-Fehlkonfigurationen und Containerimages auf Sicherheitsrisiken überprüft werden. Das regelmäßige Aktualisieren oder Patchen der Bibliotheken kann Exploits verhindern, generative KI-Anwendungen schützen und ihre Integrität beibehalten.
Mit diesen Features bietet Defender for Cloud vollständige Sichtbarkeit von KI-Workloads von Code bis Cloud.
Reduzieren von Risiken für generative KI-Apps
Defender CSPM bietet kontextbezogene Erkenntnisse in den KI-Sicherheitsstatus einer Organisation. Sie können Risiken innerhalb Ihrer KI-Workloads reduzieren, indem Sie Sicherheitsempfehlungen und Angriffspfadanalysen verwenden.
Untersuchen von Risiken mithilfe von Empfehlungen
Defender for Cloud bewertet KI-Workloads und gibt Empfehlungen zu Identität, Datensicherheit und Internetgefährdung, um kritische Sicherheitsprobleme in KI-Workloads zu identifizieren und zu priorisieren.
Erkennen von IaC-Fehlkonfigurationen
DevOps-Sicherheit erkennt IaC-Fehlkonfigurationen, die generative KI-Anwendungen Sicherheitsschwachstellen aussetzen können, z. B. übermäßig exponierte Zugriffssteuerungen oder versehentlich öffentlich zugängliche Dienste. Diese Fehlkonfigurationen könnten zu Datenschutzverletzungen, unbefugtem Zugriff und Complianceproblemen führen, insbesondere bei der Handhabung strenger Datenschutzbestimmungen.
Defender for Cloud bewertet die Konfiguration Ihrer generativen KI-Apps und stellt Sicherheitsempfehlungen zur Verbesserung des KI-Sicherheitsstatus bereit.
Erkannte Fehlkonfigurationen sollten frühzeitig im Entwicklungszyklus behoben werden, um komplexere Probleme zu einem späteren Zeitpunkt zu vermeiden.
Zu den aktuellen IaC AI-Sicherheitsüberprüfungen gehören:
- Verwenden privater Endpunkte für den Azure KI-Dienst
- Einschränken von Azure KI-Dienstendpunkten
- Verwenden der verwalteten Identität für Azure KI-Dienstkonten
- Verwenden der identitätsbasierten Authentifizierung für Azure KI-Dienstkonten
Untersuchen von Risiken mit der Angriffspfadanalyse
Die Angriffspfadanalyse erkennt und verringert Risiken für KI-Workloads, insbesondere während den Phasen der Erdung (Verknüpfen von KI-Modellen mit bestimmten Daten) und Feinabstimmung (Anpassen eines vortrainierten Modells für ein bestimmtes Dataset zur Verbesserung der Leistung auf einer zugehörigen Aufgabe), in denen Daten möglicherweise gefährdet sind.
Durch die kontinuierliche Überwachung von KI-Workloads kann die Angriffspfadanalyse Schwachstellen und potenzielle Sicherheitsrisiken identifizieren und Empfehlungen dazu geben. Darüber hinaus erstreckt es sich auf Fälle, in denen die Daten und Computeressourcen über Azure, AWS und GCP verteilt sind.