एआई डेटा सुरक्षा लागू करें

  • 6 मिनट्स

एआई के लिए डेटा सुरक्षा महत्वपूर्ण है क्योंकि एआई सिस्टम डेटा वर्गीकरण, अनुमतियों और शासन के साथ मौजूदा चुनौतियों को बढ़ाते हैं। एआई डेटा खोज को आसान बनाता है - जिसका अर्थ है कि डेटा हैंडलिंग के साथ कोई भी समस्या बढ़ जाती है, जिससे संभावित डेटा रिसाव और अनधिकृत पहुंच हो सकती है। एआई न केवल डेटा पर निर्भर करता है बल्कि नया डेटा भी बनाता है जो समय के साथ मूल्य प्राप्त करता है, जिससे यह हमलावरों के लिए एक लक्ष्य बन जाता है। हालांकि डेटा सुरक्षा कोई नया अनुशासन नहीं है, एआई डेटा सुरक्षा को और भी महत्वपूर्ण बना देता है।

एआई डेटा सुरक्षा का एक मूलभूत सिद्धांत यह है कि अभिगम नियंत्रण निर्णयों को कभी भी एआई सिस्टम में हस्तांतरित नहीं किया जाना चाहिए। एआई के पास केवल उसी डेटा तक पहुंच होनी चाहिए जिस उपयोगकर्ता की ओर से वह कार्य कर रहा है।

एआई शासन और सुरक्षा की चुनौतियों का स्क्रीनशॉट, यह दर्शाता है कि एआई मौजूदा डेटा सुरक्षा चिंताओं को कैसे बढ़ाता है।

एआई सिस्टम के डेटा परिदृश्य को समझें

जनरेटिव एआई सिस्टम डेटा प्रकारों की एक विस्तृत श्रृंखला के साथ इंटरैक्ट करते हैं जिन्हें सुरक्षा की आवश्यकता होती है:

  • प्रशिक्षण डेटा: मॉडल बनाने और ठीक करने के लिए उपयोग किए जाने वाले डेटासेट, जिसमें मालिकाना जानकारी, व्यक्तिगत डेटा या कॉपीराइट सामग्री हो सकती है
  • ग्राउंडिंग डेटा: दस्तावेज़, डेटाबेस और ज्ञान के आधार जिन्हें AI पुनर्प्राप्ति-संवर्धित पीढ़ी (RAG) जैसी तकनीकों के माध्यम से रनटाइम पर पुनर्प्राप्त करता है
  • इंटरैक्शन डेटा: उपयोगकर्ता संकेत, मॉडल प्रतिक्रियाएं, वार्तालाप इतिहास और उपयोग के दौरान उत्पन्न टूल-कॉल पेलोड
  • जेनरेट किए गए आउटपुट: सारांश, कोड, रिपोर्ट और एआई द्वारा बनाई गई अन्य कलाकृतियाँ, जो कई संवेदनशील स्रोतों से जानकारी को जोड़ सकती हैं

प्रत्येक डेटा प्रकार की अलग-अलग सुरक्षा आवश्यकताएं, पहुंच पैटर्न और नियामक निहितार्थ होते हैं। एक व्यापक एआई डेटा सुरक्षा रणनीति उन सभी को संबोधित करती है।

जनरेटिव एआई द्वारा उपयोग किए जाने वाले डेटा के प्रकारों का स्क्रीनशॉट, उपभोग, निर्मित और एक्सेस की गई डेटा श्रेणियों को दर्शाता है।

एजेंट पहचान के साथ पहुँच नियंत्रण लागू करें

यह सिद्धांत कि एआई को केवल उसी डेटा तक पहुंचना चाहिए जिस उपयोगकर्ता की ओर से वह कार्य करता है, यह बताना आसान है, लेकिन इसे लागू करने के लिए उद्देश्य-निर्मित पहचान प्रबंधन की आवश्यकता होती है। एजेंट पहचान ढांचे एआई एजेंटों को नियंत्रित करने, प्रमाणित करने और अधिकृत करने के मानकीकृत तरीके प्रदान करते हैं।

एजेंट पहचान ढांचे आमतौर पर दो प्रमाणीकरण मोड का समर्थन करते हैं:

  • प्रत्यायोजित पहुंच (उपयोगकर्ता की ओर से): एजेंट प्रवाह की ओर से साइन-इन उपयोगकर्ता की पहचान के तहत काम करता है। एजेंट को केवल वे अनुमतियाँ विरासत में मिलती हैं जिनके लिए उपयोगकर्ता ने सहमति दी है और जिसके लिए अधिकृत है। यह सीधे तौर पर इस सिद्धांत को लागू करता है कि एआई उस डेटा तक नहीं पहुंच सकता है जिसे उपयोगकर्ता एक्सेस नहीं कर सकता है।
  • केवल-एप्लिकेशन पहुंच: एजेंट अपनी स्वयं की समर्पित पहचान के तहत कार्य करता है, जो अपने स्वयं के भूमिका असाइनमेंट द्वारा नियंत्रित होता है। इस मोड का उपयोग पृष्ठभूमि या अनअटेंडेड वर्कफ़्लोज़ के लिए किया जाता है जहाँ कोई उपयोगकर्ता शामिल नहीं होता है.

जब आप एक आधुनिक एआई प्लेटफॉर्म पर एक एजेंट बनाते हैं, तो सेवा स्वचालित रूप से एक एजेंट पहचान प्रदान कर सकती है। व्यवस्थापक तब भूमिका-आधारित अभिगम नियंत्रण (RBAC) का उपयोग करके उस पहचान को भूमिकाएँ असाइन करते हैं, एजेंट स्तर पर कम से कम विशेषाधिकार पहुँच लागू करते हैं - इसे बनाने वाले मानव डेवलपर्स की अनुमतियों से अलग।

यह पृथक्करण ऑडिटेबिलिटी के लिए मायने रखता है: एआई एजेंट द्वारा किए गए ऑपरेशन एजेंट की पहचान के तहत लॉग में दिखाई देते हैं, न कि मानव उपयोगकर्ता के खाते में, जिससे अप्रत्याशित एजेंट व्यवहार का पता लगाना और उसकी जांच करना संभव हो जाता है।

उदाहरण के लिए, Microsoft Entra Agent ID Azure RBAC के माध्यम से प्रबंधित रोल असाइनमेंट के साथ, प्रत्यायोजित और केवल-एप्लिकेशन-पहुँच मोड का समर्थन करने वाले AI एजेंट्स के लिए समर्पित पहचान जारी करके यह क्षमता प्रदान करता है।

एआई एजेंट पहचान के लिए प्रत्यायोजित और केवल-एप्लिकेशन-एक्सेस मोड की तुलना करने वाला आरेख।

डेटा वर्गीकरण और शासन

प्रभावी एआई डेटा सुरक्षा के लिए मजबूत डेटा शासन प्रथाओं की भी आवश्यकता होती है:

  • एआई द्वारा डेटा तक पहुंचने से पहले उसे वर्गीकृत करें: सुनिश्चित करें कि एआई सिस्टम द्वारा एक्सेस किए गए डेटा को उसके संवेदनशीलता स्तर के अनुसार वर्गीकृत और लेबल किया गया है। एआई केवल मौजूद एक्सेस नियंत्रणों को लागू कर सकता है - यदि डेटा को ठीक से वर्गीकृत नहीं किया गया है, तो एआई अनधिकृत उपयोगकर्ताओं के लिए संवेदनशील जानकारी को सामने ला सकता है।
  • डेटा हानि रोकथाम (DLP) नीतियां लागू करें: AI इंटरैक्शन चैनलों को कवर करने के लिए मौजूदा DLP नीतियों का विस्तार करें। एआई प्रॉम्प्ट, प्रतिक्रियाओं और टूल-कॉल पेलोड में दिखाई देने वाले संवेदनशील डेटा की निगरानी करें।
  • अवधारण और हटाने की नीतियां लागू करें: परिभाषित करें कि इंटरैक्शन डेटा (वार्तालाप लॉग, शीघ्र इतिहास) कितने समय तक बनाए रखा जाता है. उस डेटा को स्वचालित रूप से शुद्ध करके एक्सपोज़र की विंडो को कम करें जिसकी अब आवश्यकता नहीं है।
  • डेटा एक्सेस पैटर्न का ऑडिट करें: निगरानी करें कि एआई किस डेटा तक पहुंचता है, कब और किसकी ओर से। विषम पहुंच पैटर्न - जैसे कि एक एजेंट अचानक अपने सामान्य दायरे के बाहर बड़ी मात्रा में डेटा को क्वेरी करता है - एक समझौते का संकेत दे सकता है।