Zarządzanie stanem zabezpieczeń sztucznej inteligencji (wersja zapoznawcza)

Plan zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender w Microsoft Defender dla Chmury zapewnia możliwości zarządzania stanem zabezpieczeń sztucznej inteligencji, które zabezpieczają aplikacje sztucznej inteligencji utworzone przez przedsiębiorstwo, wiele lub chmurę hybrydową (obecnie platformę Azure i AWS) w całym cyklu życia aplikacji. Defender dla Chmury zmniejsza ryzyko obciążeń sztucznej inteligencji między chmurami przez:

• Odnajdywanie generowania rachunku za materiały sztucznej inteligencji (AI BOM), w tym składników aplikacji, danych i artefaktów sztucznej inteligencji z kodu do chmury.
• Wzmocnienie poziomu zabezpieczeń aplikacji generujących sztuczną inteligencję dzięki wbudowanym rekomendacjom oraz eksplorowaniu i korygowaniu zagrożeń bezpieczeństwa.
• Korzystanie z analizy ścieżki ataku w celu identyfikowania i korygowania zagrożeń.

Ważne

Aby włączyć funkcje zarządzania stanem zabezpieczeń sztucznej inteligencji na koncie platformy AWS, które już:

• Jest połączony z kontem platformy Azure.
• Włączono CSPM w usłudze Defender.
• Ma typ uprawnień ustawiony jako Najniższy dostęp uprzywilejowany.

Należy ponownie skonfigurować uprawnienia dla tego łącznika, aby włączyć odpowiednie uprawnienia, wykonując następujące kroki:

1. W witrynie Azure Portal przejdź do strony Ustawienia środowiska i wybierz odpowiedni łącznik platformy AWS.
2. Wybierz pozycję Konfiguruj dostęp.
3. Upewnij się, że typ uprawnień jest ustawiony na Wartość Najmniejszy dostęp uprzywilejowany.
4. Wykonaj kroki 5–8 , aby zakończyć konfigurację.

Odnajdywanie aplikacji generacyjnych sztucznej inteligencji

Defender dla Chmury odnajduje obciążenia sztucznej inteligencji i identyfikuje szczegóły modelu BOM sztucznej inteligencji organizacji. Ta widoczność umożliwia identyfikowanie i rozwiązywanie problemów z lukami w zabezpieczeniach oraz ochronę generowanych aplikacji sztucznej inteligencji przed potencjalnymi zagrożeniami.

Usługa Defenders for Cloud automatycznie i stale odnajduje wdrożone obciążenia sztucznej inteligencji w następujących usługach:

• Azure OpenAI Service
• Azure Machine Learning
• Amazon Bedrock

Defender dla Chmury mogą również wykrywać luki w zabezpieczeniach w zależnościach biblioteki generowania sztucznej inteligencji, takich jak TensorFlow, PyTorch i Langchain, skanując kod źródłowy infrastruktury jako kodu (IaC) pod kątem błędów konfiguracji i obrazów kontenerów pod kątem luk w zabezpieczeniach. Regularne aktualizowanie lub stosowanie poprawek bibliotek może zapobiegać wykorzystaniu luk w zabezpieczeniach, chronić generujące aplikacje sztucznej inteligencji i utrzymywać ich integralność.

Dzięki tym funkcjom Defender dla Chmury zapewnia pełny wgląd obciążeń sztucznej inteligencji z kodu do chmury.

Zmniejszanie ryzyka generowania aplikacji sztucznej inteligencji

CSPM w usłudze Defender zapewnia kontekstowy wgląd w stan zabezpieczeń sztucznej inteligencji organizacji. W ramach obciążeń sztucznej inteligencji można zmniejszyć ryzyko, korzystając z zaleceń dotyczących zabezpieczeń i analizy ścieżki ataków.

Eksplorowanie zagrożeń przy użyciu zaleceń

Defender dla Chmury ocenia obciążenia sztucznej inteligencji i problemy z zaleceniami dotyczącymi tożsamości, zabezpieczeń danych i ekspozycji na Internet w celu identyfikowania i określania priorytetów krytycznych problemów z zabezpieczeniami w obciążeniach sztucznej inteligencji.

Wykrywanie błędów konfiguracji IaC

Zabezpieczenia devOps wykrywa błędy konfiguracji IaC, które mogą uwidaczniać generowanie aplikacji sztucznej inteligencji w celu luk w zabezpieczeniach, takich jak nadmiernie uwidocznione mechanizmy kontroli dostępu lub niezamierzone uwidocznione publicznie usługi. Te błędy konfiguracji mogą prowadzić do naruszeń danych, nieautoryzowanego dostępu i problemów ze zgodnością, zwłaszcza w przypadku obsługi rygorystycznych przepisów dotyczących prywatności danych.

Defender dla Chmury ocenia konfigurację aplikacji generacyjnych sztucznej inteligencji i udostępnia zalecenia dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń sztucznej inteligencji.

Wykryte błędy konfiguracji powinny zostać skorygowane na wczesnym etapie cyklu tworzenia, aby zapobiec bardziej złożonym problemom w dalszej części.

Bieżące kontrole zabezpieczeń IaC AI obejmują:

• Korzystanie z prywatnych punktów końcowych usługi Azure AI
• Ograniczanie punktów końcowych usługi Azure AI
• Używanie tożsamości zarządzanej dla kont usługi Azure AI
• Używanie uwierzytelniania opartego na tożsamościach dla kont usługi Azure AI

Eksplorowanie zagrożeń za pomocą analizy ścieżki ataku

Analiza ścieżek ataków wykrywa i ogranicza zagrożenia dla obciążeń sztucznej inteligencji, szczególnie podczas uziemienia (łączenie modeli sztucznej inteligencji z określonymi danymi) i dostrajanie (dostosowywanie wstępnie wytrenowanego modelu w określonym zestawie danych w celu zwiększenia wydajności powiązanego zadania), w których dane mogą być ujawniane.

Dzięki ciągłego monitorowania obciążeń sztucznej inteligencji analiza ścieżki ataków może identyfikować słabe strony i potencjalne luki w zabezpieczeniach oraz śledzić zalecenia. Ponadto rozszerza się ona na przypadki, w których dane i zasoby obliczeniowe są dystrybuowane między platformami Azure, AWS i GCP.

Powiązana zawartość

• Eksplorowanie zagrożeń dotyczących wstępnie wdrożonych artefaktów sztucznej inteligencji
• Przegląd zaleceń dotyczących zabezpieczeń
• Identyfikowanie i korygowanie ścieżek ataków
• Odnajdywanie obciążeń generowania sztucznej inteligencji