AI biztonsági helyzet kezelése (előzetes verzió)

A Defender Cloud Security Posture Management (CSPM) csomagja Felhőhöz készült Microsoft Defender AI biztonsági helyzetkezelési képességeket biztosít, amelyek biztosítják a nagyvállalati szintű, több- vagy hibrid felhőbeli (jelenleg Azure- és AWS-) generatív AI-alkalmazásokat az alkalmazás teljes életciklusa során. Felhőhöz készült Defender a következőkkel csökkenti a felhőbeli AI-számítási feladatok közötti kockázatokat:

• Generatív AI Anyagjegyzék (AI BOM), amely alkalmazás-összetevőket, adatokat és AI-összetevőket tartalmaz kódtól felhőig.
• A generatív AI-alkalmazások biztonsági helyzetének megerősítése beépített javaslatokkal, valamint a biztonsági kockázatok feltárásával és elhárításával.
• A támadási útvonal elemzésével azonosíthatja és elháríthatja a kockázatokat.

Fontos

Az AI biztonsági helyzetkezelési képességeinek engedélyezése egy olyan AWS-fiókon, amely már:

• Csatlakozik az Azure-fiókjához.
• A Defender CSPM engedélyezve van.
• Az engedélyek típusa minimális jogosultsági hozzáférésként van beállítva.

A megfelelő engedélyek engedélyezéséhez újra kell konfigurálnia az összekötő engedélyeit az alábbi lépések végrehajtásával:

1. Az Azure Portalon lépjen a Környezetbeállítások lapra, és válassza ki a megfelelő AWS-összekötőt.
2. Válassza a Hozzáférés konfigurálása lehetőséget.
3. Győződjön meg arról, hogy az engedélytípus a Legkevésbé jogosultsági hozzáférésre van állítva.
4. A konfiguráció befejezéséhez kövesse az 5–8 . lépést.

Generatív AI-alkalmazások felfedezése

Felhőhöz készült Defender felderíti az AI számítási feladatait, és azonosítja a szervezet AI-anyagjegyzékének részleteit. Ez a láthatóság lehetővé teszi a biztonsági rések azonosítását és kezelését, valamint a generatív AI-alkalmazások védelmét a potenciális fenyegetésekkel szemben.

A Defenders for Cloud automatikusan és folyamatosan észleli az üzembe helyezett AI-számítási feladatokat az alábbi szolgáltatásokban:

• Azure OpenAI Service
• Azure Machine Learning
• Amazon Bedrock

Felhőhöz készült Defender a generatív AI-kódtár-függőségeken, például a TensorFlow-on, a PyTorchon és a Langchainen belüli biztonsági réseket is felderítheti az infrastruktúra kódkénti (IaC) helytelen konfigurációinak és a tárolólemezképek biztonsági réseinek vizsgálatával. A kódtárak rendszeres frissítése vagy javítása megakadályozhatja a biztonsági rések kihasználását, megvédheti a generatív AI-alkalmazásokat, és megőrizheti integritását.

Ezekkel a funkciókkal a Felhőhöz készült Defender teljes körűen áttekinti az AI-számítási feladatokat a kódtól a felhőig.

A generatív AI-alkalmazások kockázatainak csökkentése

A Defender CSPM környezetfüggő betekintést nyújt a szervezet AI-biztonsági helyzetébe. A biztonsági javaslatok és a támadási útvonal elemzése révén csökkentheti az AI-számítási feladatok kockázatait.

Kockázatok feltárása javaslatok használatával

Felhőhöz készült Defender felméri az AI-számítási feladatokat és az identitással, az adatbiztonságkal és az internetes kitettségtel kapcsolatos javaslatokat az AI-számítási feladatok kritikus biztonsági problémáinak azonosítása és rangsorolása érdekében.

IaC-konfigurációk észlelése

A DevOps-biztonság észleli az IaC helytelen konfigurációit, amelyek a generatív AI-alkalmazásokat biztonsági réseknek teszik ki, például a túl közzétett hozzáférés-vezérlőket vagy a véletlenül nyilvánosan közzétett szolgáltatásokat. Ezek a helytelen konfigurációk adatvédelmi incidensekhez, jogosulatlan hozzáféréshez és megfelelőségi problémákhoz vezethetnek, különösen a szigorú adatvédelmi szabályok kezelésekor.

Felhőhöz készült Defender értékeli a generatív AI-alkalmazások konfigurációját, és biztonsági javaslatokat nyújt az AI biztonsági helyzetének javítása érdekében.

Az észlelt helytelen konfigurációkat a fejlesztési ciklus korai szakaszában orvosolni kell, hogy később ne legyenek összetettebb problémák.

Az IaC AI aktuális biztonsági ellenőrzései a következők:

• Az Azure AI-szolgáltatás privát végpontjainak használata
• Az Azure AI-szolgáltatásvégpontok korlátozása
• Felügyelt identitás használata Azure AI-szolgáltatásfiókokhoz
• Identitásalapú hitelesítés használata Azure AI-szolgáltatásfiókokhoz

Kockázatok feltárása a támadási útvonal elemzésével

A támadási útvonalak elemzése észleli és mérsékli az AI-számítási feladatokkal kapcsolatos kockázatokat, különösen a földelés (AI-modellek adott adatokhoz való csatolása) és a finomhangolás során (egy adott adathalmaz előre betanított modelljének módosítása a kapcsolódó tevékenységek teljesítményének javítása érdekében) olyan fázisokban, ahol az adatok közzétehetők.

Az AI-számítási feladatok folyamatos monitorozásával a támadási útvonal elemzése azonosíthatja a gyengeségeket és a lehetséges biztonsági réseket, és nyomon követheti a javaslatokat. Emellett kiterjed azokra az esetekre is, amikor az adatok és a számítási erőforrások az Azure-ban, az AWS-ben és a GCP-ben vannak elosztva.

Kapcsolódó tartalom

• Az előre üzembe helyezéssel rendelkező generatív AI-összetevők kockázatainak feltárása
• Biztonsági javaslatok áttekintése
• Támadási útvonalak azonosítása és javítása
• Generatív AI-számítási feladatok felderítése