本文說明您應該實作的基本安全性措施來準備 AI 環境,包括啟用用於探索、保護和控管 AI 的安全性工具。 本文是系列中的第一篇文章。
準備 AI 著重於實作整個數位資產的基礎安全性保護:
- 身分識別和裝置存取原則
- 數據保護
- 威脅防護
這些保護對保護 AI 並不是唯一的。 它們可大幅改善所有應用程式、數據、使用者和裝置的安全性狀態,包括 AI 應用程式和數據。
同時,這些保護會建置 AI 特定安全性和治理功能運作的基礎。 例如,Microsoft Purview 數據保護包括組織所使用的 AI 網站,以及與這些網站互動的組織數據。 Microsoft Defender 威脅防護功能包括探索和治理 AI 應用程式,包括 AI 模型,以及跨雲端環境的其他 AI 應用程式元件,包括 OpenAI、Amazon Web Services 和 Google Cloud Platform。
這些基礎安全性保護應套用至您的數字資產,讓 AI 安全性和控管涵蓋整個組織的使用量。
在圖例中,您的數字資產包括:
- 貴組織使用的 SaaS 應用程式,包括Microsoft 365。
- Azure 中的應用程式分散到多個 Azure 訂用帳戶。
- 您在其他雲端提供者上的應用程式,包括 Amazon Web Services 和 Google Cloud Platform。
建議使用這些相同的基礎安全性保護來準備Microsoft Copilots—使用零信任安全性來準備 AI 隨附專案,包括Microsoft Copilots:
從身分識別和裝置存取保護開始
您可以執行保護環境的最強大動作之一,就是透過Microsoft Entra ID 實作多重要素驗證和條件式存取。 Microsoft建議原則集,以達成零 信任 - 通用零信任身分識別和裝置存取原則的目標。 此原則集包括:
- 可立即實作的起始點原則。 開始實作這些原則。
- 針對零信任建議的企業原則。 這些原則需要註冊裝置以管理,這可能需要一些時間。
規劃、架構和部署身分識別與裝置存取原則的工作,詳述於 Microsoft 零信任指導中心:以零信任確保遠端和混合式工作的安全。
若要為 AI 做好準備,請務必在數位資產中套用身分識別和裝置存取保護。 這可讓您的組織輕鬆地將新探索到的 AI 應用程式新增至條件式存取原則的範圍。
以下圖示顯示執行這項工作的順序。
下表列出上述步驟。
| 步驟 | 任務 |
|---|---|
| 1 | 設定 Microsoft 365 的身分識別和裝置存取原則。 請參閱 常見的零信任身分識別和裝置存取原則。 這項工作的必要 條件 包括啟用 Entra ID Protection。 這項工作包括將裝置註冊到管理系統中。 請參閱 使用 Intune 管理裝置。 |
| 2 | 整合 SaaS 應用程式與 Entra 識別碼。 您可以透過 Microsoft Entra 資源庫來新增這些專案。 請確定這些應用程式包含在身分識別和裝置存取原則的範圍內。 請參閱 將 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍。 |
| 3 | 在 Azure 中整合自訂應用程式與 Entra ID。 請確定這些應用程式包含在身分識別和裝置存取原則的範圍內。 請參閱 將您的應用程式與 Microsoft Entra ID 整合的五個步驟。 |
| 4 | 將其他雲端提供者中的自定義應用程式與 Entra ID 整合。 請確定這些應用程式包含在身分識別和裝置存取原則的範圍內。 將應用程式與 Microsoft Entra ID 整合的五個步驟 。 |
在數據保護方面取得進展
數據保護需要一段時間,組織才能完全實作。 傳統上,這牽涉到您在整個組織中推出的一波部署步驟。
在插圖中,資訊保護的技術採用涉及您可以平行執行的依序步驟:
- 探索和識別機密商務數據
- 開發分類和保護架構
- 在 Microsoft 365 中測試及試驗架構
- 將分類和保護架構部署至跨 Microsoft 365 的數據
- 將架構擴充至其他 SaaS 應用程式中的數據
- 繼續探索和保護其他存放庫中的數據
規劃、架構和部署身分識別和裝置存取原則的工作,請參閱Microsoft的零信任指引中心: 使用零信任識別及保護機密商務數據。
隨著 AI 工具的快速採用,許多組織都採用數據保護的加速方法,立即優先保護最敏感數據,然後填入空白並隨著時間建立成熟度。
Microsoft Purview 包含數據安全性狀態管理 (DSPM) 功能,可協助組織開發數據保護的成熟度,無論您在旅程中的位置為何。 DSPM 功能可協助跨數個數據安全性和風險與合規性解決方案提供簡單的設定和新原則建立。
透過自動掃描整個組織的數據和活動,您將快速取得以未受保護數據為焦點的基準深入解析和建議,協助您快速開始進行 DLP、資訊保護和內部風險管理。 適用於 AI 的 DSPM 提供現成的原則,可協助您開始使用。
如果您已使用政策開始資料保護流程,請使用 DSPM 功能識別涵蓋範圍的差距。
DSPM (預覽版) 會比對 Microsoft 365 環境中的敏感性資訊類型來識別敏感數據。
- 提供您可以從頭開始的原則建議
- 提供數據安全性風險的深入解析
- 測量數據安全策略的有效性
- 提供對高風險使用者的深度分析
- 提供內嵌的 Microsoft 安全性 Copilot 體驗,以協助識別其他風險
適用於 AI 的 DSPM 提供組織中 AI 活動的深入解析和分析。
- 可在 AI 提示中保護數據並防止數據遺失的現成使用原則
- 用來識別、補救及監控潛在過度共享的數據評估
- 以租用戶中的數據為基礎的建議動作
- 套用最佳數據處理和儲存原則的合規性控制件
- Microsoft Copilots 和第三方 SaaS 應用程式的深入解析,例如 ChatGPT Enterprise 和 Google Gemini
使用下列資源來在 Microsoft Purview 上取得進展。
| 任務 | 建議的資源 |
|---|---|
| 瞭解資訊保護的建議部署策略 | 使用 Microsoft Purview 部署資訊保護解決方案 |
| 開始使用 DSPM | 開始使用 資料安全性態勢管理 (預覽) |
| 開始使用適用於 AI 的 DSPM | Microsoft Purview 適用於 Microsoft 365 Copilot 和其他生成 AI 應用程式的資料安全性和合規性保護 |
開啟威脅偵測和回應
最後,開啟 Microsoft Defender 威脅防護功能。 其中一些工具很容易啟動。 其他則需要一些規劃和設定。 其中一些工具包括您可以立即開啟的 AI 特定功能,並從中獲得價值。
這項工作說明於Microsoft零信任採用架構: 實作威脅防護和 XDR。
使用下列資源來啟用威脅防護。
| 任務 | 建議的資源 |
|---|---|
| 部署 Microsoft Defender XDR: |
試驗和部署 Microsoft Defender XDR(全面偵測回應) |
| 部署 Microsoft Entra ID Protection | 規劃 Microsoft Entra ID Protection 的部署 |
| 部署 Microsoft Defender for Cloud |
適用於雲端的 Microsoft Defender 文件 連接您的 Azure 訂用帳戶 開啟 AI 工作負載的威脅防護 (預覽) 使用 Defender CSPM 保護您的資源 檢閱資料與 AI 安全性儀錶板 (預覽) 線上 AWS 帳戶 連接你的 GCP 專案 |
| 部署適用於IoT的Defender | 部署適用於IoT的Defender以進行OT監視 |
| 將威脅防護工具與 Microsoft Sentinel(安全資訊和事件管理系統,SIEM)整合 | 使用 XDR 和整合式 SIEM 的事件回應 |
如需如何在這些工具中啟用 AI 威脅防護的資訊,請參閱 保護 AI 數據和應用程式。
後續步驟
請參閱本系列中的下一篇文章:如何發現組織中 AI 應用程式及其使用的敏感數據?