Generatív AI biztonságossá tétele a Microsoft Entra használatával

Ahogy a digitális környezet gyorsan fejlődik, a különböző iparágak szervezetei egyre inkább Generatív mesterséges intelligenciát (Gen AI) az innováció és a termelékenység növelése érdekében. Egy nemrégiben készült kutatás szerint a vállalkozások 93%-a implementál vagy fejleszt mi-stratégiát. A kockázatvezetők körülbelül ugyanennyi százaléka számolt be az alulkészültségről, vagy csak valamelyest felkészült a kapcsolódó kockázatok kezelésére. A Gen AI műveleteibe való integrálása során csökkentenie kell a jelentős biztonsági és szabályozási kockázatokat.

A Microsoft Entra átfogó képességeket kínál az AI-alkalmazások biztonságos kezeléséhez, a hozzáférés megfelelő szabályozásához és a bizalmas adatok védelméhez:

• Microsoft Entra Engedélykezelés (MEPM)
• Microsoft Entra ID-kezelés
• Microsoft Entra feltételes hozzáférés
• Microsoft Entra Privileged Identity Management (PIM)
• Microsoft Purview Insider Risk

Ez a cikk bemutatja azokat a biztonsági kihívásokat, amelyeket a Gen AI jelent, és hogyan kezelheti őket a Microsoft Entra által kínált képességekkel.

Túlprivilegált identitások felderítése

Győződjön meg arról, hogy a felhasználók rendelkeznek a megfelelő engedélyekkel ahhoz, hogy megfeleljenek a minimális jogosultságielvének. A telemetriai adatok alapján az identitások több mint 90%-a a megadott engedélyek kevesebb, mint 5%-át használja. Ezeknek az engedélyeknek több mint 50%-a magas kockázattal jár. A feltört fiókok katasztrofális károkat okozhatnak.

A többfelhős környezet kezelése nehéz, mivel az identitás- és hozzáférés-kezelés (IAM) és a biztonsági csapatoknak gyakran keresztfunkcionális együttműködésre van szükségük. A többfelhős környezetek az identitások, engedélyek és erőforrások átfogó nézetét korlátozhatják. Ez a korlátozott nézet növeli a támadási felületet olyan identitásokon, amelyek túlságosan kiemelt szerepkörökhöz és engedélyezett fiókokhoz tartoznak. A magas engedélyekkel rendelkező, nem használt fiókok feltörésének kockázata nő, mivel a szervezetek többfelhős fiókokat vezetnek be.

Nem emberi fiókok azonosítása

A nem embertelen fiókok ismétlődő mintákkal rendelkeznek, és kevésbé valószínű, hogy idővel megváltoznak. Ha azonosítja ezeket a fiókokat, fontolja meg a számítási feladatok vagy a felügyelt identitások és Microsoft Entra Engedélykezelés használatát. Az Engedélyek kezelése egy felhőinfrastruktúra-jogosultságkezelési (CIEM) eszköz. Átfogó betekintést nyújt az összes identitáshoz hozzárendelt engedélyekbe az Azure-ban, az Amazon Web Servicesben (AWS) és a Google Cloud Platformban (GCP).

A szerepkörök kivágása a Teljes felügyelet legkevésbé jogosultsági hozzáférési biztonsági elvre. Ügyeljen a szuper identitásokra (például kiszolgáló nélküli függvényekre és alkalmazásokra). A Gen AI-alkalmazások használati eseteinek tényezője.

A Microsoft Entra-szerepkörökhöz való igényalapú hozzáférés kényszerítése

A Microsoft Entra Privileged Identity Management (PIM) segítségével kezelheti, vezérelheti és figyelheti az erőforrásokhoz való hozzáférést a Microsoft Entra ID-ben, az Azure-ban és más Microsoft Online-szolgáltatásokban (például a Microsoft 365-ben vagy a Microsoft Intune-ban). A nem PIM-kompatibilis kiemelt felhasználók állandó hozzáféréssel rendelkeznek (mindig a hozzárendelt szerepkörökben, még akkor is, ha nincs szükségük a jogosultságaikra). A PIM felderítési és elemzési oldal állandó globális rendszergazdai hozzárendeléseket, magas jogosultsági szintű szerepkörrel rendelkező fiókokat és kiemelt szerepkör-hozzárendeléssel rendelkező szolgáltatásneveket jelenít meg. Amikor ezeket az engedélyeket látja, jegyezze fel, hogy mi legyen normális a környezetében. Fontolja meg ezeknek a szerepköröknek a levágását, vagy a PIM-jogosult hozzárendelésekkel való igény szerinti (JIT) hozzáférésre való csökkentését.

Közvetlenül a felderítési és elemzési oldalon jogosulttá teheti a kiemelt szerepkörök PIM-et az állandó hozzáférés csökkentésére. A hozzárendelést teljesen eltávolíthatja, ha nincs szükségük kiemelt hozzáférésre. Létrehozhat egy hozzáférési felülvizsgálatot a globális rendszergazdák számára, amely arra kéri őket, hogy rendszeresen tekintsenek át saját hozzáférésüket.

Hozzáférés-vezérlés engedélyezése

Az engedély-kúszás jogosulatlan hozzáféréssel és korlátozott vállalati adatmanipulációval jár. Az AI-alkalmazások védelme az összes vállalati erőforrásra vonatkozó szabályozási szabályokkal. E cél elérése érdekében részletes hozzáférési szabályzatokat határozhat meg és hozhat létre az összes felhasználóra és vállalati erőforrásra (beleértve a Gen AI-alkalmazásokat is) az ID Governance és a Microsoft Entra Feltételes hozzáférés használatával.

Győződjön meg arról, hogy csak a megfelelő személyek rendelkeznek a megfelelő hozzáférési szinttel a megfelelő erőforrásokhoz. A jogosultságkezelési, életciklus-munkafolyamatokkal, hozzáférési kérelmekkel, felülvizsgálatokkal és lejáratokkal rendelkező vezérlőkkel nagy léptékben automatizálhatja a hozzáférési életciklusokat.

Az Illesztő, a Mover és a Leaver (JML) felhasználói folyamatait életciklus-munkafolyamatokkal szabályozhatja, és szabályozhatja az id governance hozzáférését.

Szabályzatok és vezérlők konfigurálása a felhasználói hozzáférés szabályozásához

A jogosultságkezelés használatával szabályozhatja, hogy ki férhet hozzá többfázisú jóváhagyási szabályzatokkal rendelkező alkalmazásokhoz, csoportokhoz, Teamshez és SharePoint-webhelyekhez.

Automatikus hozzárendelési szabályzatok konfigurálása a Jogosultságkezelésben, hogy a felhasználók automatikusan hozzáférjenek az erőforrásokhoz olyan felhasználói tulajdonságok alapján, mint a részleg vagy a költséghely. Felhasználói hozzáférés eltávolítása a tulajdonságok megváltozásakor.

A megfelelő méretű hozzáférés érdekében javasoljuk, hogy alkalmazza a lejárati dátumot és/vagy a jogosultságkezelési szabályzatok rendszeres hozzáférés-felülvizsgálatát . Ezek a követelmények biztosítják, hogy a felhasználók ne őrizzék meg határozatlan időre szóló hozzárendelésekkel és ismétlődő alkalmazáshozzáférési felülvizsgálatokkal a hozzáférést.

Szervezeti szabályzatok kényszerítése a Microsoft Entra feltételes hozzáféréssel

A feltételes hozzáférés jeleket hoz létre a döntések meghozatalához és a szervezeti szabályzatok kikényszerítéséhez. A feltételes hozzáférés a Microsoft Teljes felügyelet szabályzatmotorja, amely figyelembe veszi a különböző forrásokból érkező jeleket a szabályzati döntések érvényre juttatásához.

A minimális jogosultsági alapelvek érvényesítése és a megfelelő hozzáférés-vezérlés alkalmazása a szervezet biztonságossá tételéhez feltételes hozzáférési szabályzatokkal. A feltételes hozzáférési szabályzatok olyan if-then utasítások, amelyekben bizonyos feltételeknek megfelelő identitások csak akkor férhetnek hozzá az erőforrásokhoz, ha megfelelnek bizonyos követelményeknek, például az MFA-nak vagy az eszközmegfeleltségi állapotnak.

Korlátozhatja a geni AI-alkalmazásokhoz való hozzáférést olyan jelek alapján, mint a felhasználók, csoportok, szerepkörök, hely vagy kockázat a szabályzattal kapcsolatos döntések javítása érdekében.

• Használja a hitelesítési erősségű feltételes hozzáférés-vezérlést, amely a hitelesítési módszerek kombinációját határozza meg egy erőforrás eléréséhez. Megkövetelheti a felhasználóktól, hogy végezzenek el adathalászat-rezisztens többtényezős hitelesítést (MFA) a Gen AI-alkalmazások eléréséhez.
• A Microsoft Purview adaptív védelmének üzembe helyezése az AI-használat kockázatainak csökkentése és kezelése érdekében. Az Insider Kockázati feltétel használatával letilthatja a geni AI-alkalmazások hozzáférését az emelt szintű belső kockázattal rendelkező felhasználók számára.
• A Microsoft Intune eszközmegfelelési szabályzatainak üzembe helyezése az eszközmegfelelési jelek feltételes hozzáférési szabályzatokkal kapcsolatos döntésekbe való beépítéséhez. Az eszközmegfelelőségi feltétel használatával megkövetelheti a felhasználóknak, hogy megfelelő eszközzel rendelkezzenek a Gen AI-alkalmazások eléréséhez.

A feltételes hozzáférési szabályzatok üzembe helyezése után a Feltételes hozzáférés réselemző munkafüzetével azonosíthatja azokat a bejelentkezéseket és alkalmazásokat, amelyek nem kényszerítik ezeket a házirendeket. Javasoljuk, hogy helyezzen üzembe legalább egy feltételes hozzáférési szabályzatot, amely az összes erőforrást célozza az alapszintű hozzáférés-vezérlés biztosítása érdekében.

Az automatizálás engedélyezése az alkalmazottak identitásának nagy léptékű életciklusának kezeléséhez

Csak akkor adjon hozzáférést a felhasználóknak az információkhoz és az erőforrásokhoz, ha valóban szükségük van rájuk a feladataik elvégzéséhez. Ez a megközelítés megakadályozza a bizalmas adatokhoz való jogosulatlan hozzáférést, és minimálisra csökkenti a biztonsági incidensek lehetséges hatásait. Használja az automatikus felhasználói kiépítést a hozzáférési jogosultságok szükségtelen megadásának csökkentéséhez.

A Microsoft Entra-felhasználók életciklus-folyamatainak automatizálása nagy léptékben az életciklus-munkafolyamatokkal az ID Governance szolgáltatásban. A munkafolyamat-feladatok automatizálása a felhasználó hozzáférésének megfelelő méretének beállításához a fő események bekövetkezésekor. A példaesemények közé tartozik, hogy egy új alkalmazott a szervezetnél való munka megkezdésének ütemezése előtt, az alkalmazottak állapotának módosításakor és a szervezetből való kilépéskor.

Magas jogosultságú rendszergazdai szerepkör-hozzáférés szabályozása

Előfordulhatnak olyan esetek, amikor az identitások magasabb jogosultsági hozzáférést igényelnek az üzleti/üzemeltetési követelmények, például az üvegtörési fiókok miatt.

A kiemelt fiókoknak a legmagasabb szintű védelemmel kell rendelkezniük. A feltört kiemelt fiókok potenciálisan jelentős vagy jelentős hatással lehetnek a szervezeti műveletekre.

Csak jogosult felhasználókat rendelhet rendszergazdai szerepkörökhöz a Microsoft Azure-ban és a Microsoft Entra-ban. A Microsoft azt javasolja, hogy legalább az alábbi szerepkörökhöz legyen szükség adathalászat-ellenálló MFA-ra:

• Globális rendszergazda
• alkalmazás-rendszergazda
• Hitelesítési rendszergazda
• Számlázási rendszergazda
• Felhőalkalmazás-rendszergazda
• Feltételes hozzáférésű rendszergazda
• Exchange-rendszergazda
• Ügyfélszolgálati rendszergazda
• Jelszóadminisztrátor
• Kiemelt hitelesítési rendszergazda
• Kiemelt szerepkörű rendszergazda
• Biztonsági rendszergazda
• SharePoint-rendszergazda
• Felhasználói rendszergazda

A szervezet dönthet úgy, hogy a követelmények alapján belefoglalja vagy kizárja a szerepköröket. A szerepkör-tagságok áttekintéséhez konfigurálja és használja a címtárszerepkör-hozzáférési felülvizsgálatokat.

Szerepköralapú hozzáférés-vezérlés alkalmazása a Privileged Identity Management (PIM) és az igény szerinti (JIT) hozzáférés használatával. A PIM időkorlátos hozzáféréssel biztosít JIT-hozzáférést az erőforrásokhoz. Kiküszöbölheti az állandó hozzáférést a túlzott vagy helytelen hozzáférés kockázatának csökkentéséhez. A PIM lehetővé teszi a jóváhagyási és indoklási követelményeket, a szerepkör-aktiválás MFA-kikényszerítését és a naplózási előzményeket.

Külső vendégidentitás életciklusának és hozzáférésének kezelése

A legtöbb szervezetben a végfelhasználók üzleti partnereket (B2B) és szállítókat hívnak meg együttműködésre, és hozzáférést biztosítanak az alkalmazásokhoz. Az együttműködési partnerek általában alkalmazáshozzáférést kapnak az előkészítési folyamat során. Ha az együttműködések nem rendelkeznek egyértelmű befejezési dátummal, akkor nem egyértelmű, hogy a felhasználónak már nincs szüksége hozzáférésre.

A jogosultságkezelési funkciók lehetővé teszik az erőforrásokhoz való hozzáféréssel rendelkező külső identitások automatizált életciklusát. Folyamatok és eljárások létrehozása a jogosultságkezelésen keresztüli hozzáférés kezeléséhez. Erőforrások közzététele hozzáférési csomagokon keresztül. Ez a megközelítés segít nyomon követni a külső felhasználók erőforrásaihoz való hozzáférését, és csökkenteni a probléma összetettségét.

Ha engedélyezi az alkalmazottaknak, hogy külső felhasználókkal működjenek együtt, tetszőleges számú felhasználót meghívhatnak a szervezeten kívülről. Ha a külső identitások alkalmazásokat használnak, a Microsoft Entra hozzáférési véleményei segítenek áttekinteni a hozzáférést. Hagyhatja, hogy az erőforrás tulajdonosa, a külső identitások maguk, vagy egy másik meghatalmazott személy, akiben megbízik, igazolja, hogy folyamatos hozzáférést igényelnek-e.

A Microsoft Entra hozzáférési felülvizsgálatokkal megakadályozhatja, hogy a külső identitások bejelentkezhessenek a bérlőbe, és 30 nap után töröljék a külső identitásokat a bérlőről.

Adatbiztonsági és megfelelőségi védelem kikényszerítése a Microsoft Purview-nal

A Microsoft Purview használatával mérsékelheti és kezelheti az AI-használattal járó kockázatokat. A megfelelő védelmi és szabályozási vezérlők implementálása. A Microsoft Purview AI Hub jelenleg előzetes verzióban érhető el. Könnyen használható grafikus eszközöket és jelentéseket biztosít, így gyorsan betekintést nyerhet a szervezeten belüli AI-használatba. Az egykattintásos szabályzatok segítenek az adatok védelmében és a jogszabályi követelményeknek való megfelelésben.

A feltételes hozzáférésen belül engedélyezheti a Microsoft Purview Adaptive Protectiont, hogy megjelölje a belső kockázatra utaló viselkedést. Alkalmazza az Adaptív védelmet más feltételes hozzáférési vezérlők alkalmazásakor, hogy kérje a felhasználótól az MFA-t, vagy adjon meg más műveleteket a használati esetek alapján.

Hozzáférés figyelése

A monitorozás kulcsfontosságú a potenciális fenyegetések és biztonsági rések korai észleléséhez. A biztonsági incidensek megelőzése és az adatintegritás fenntartása érdekében tekintse meg a szokatlan tevékenységeket és konfigurációs módosításokat .

A gyanús tevékenységek felderítéséhez folyamatosan tekintse át és figyelje a környezethez való hozzáférést. Kerülje az engedélyek kúszását, és kapjon riasztásokat, ha a dolgok véletlenül megváltoznak.

• Ha proaktívan szeretné monitorozni környezetét a konfigurációs változások és a gyanús tevékenységek szempontjából, integrálja a Microsoft Entra ID auditnaplóit az Azure Monitorral.
• Biztonsági riasztások konfigurálása a kiemelt szerepkörök aktiválásának figyeléséhez.
• Az atipikus felhasználói használati mintákat Microsoft Entra ID-védelem. Az atipikus használat azt jelezheti, hogy egy rossz szereplő a Gen AI-eszközökkel poklódik és helytelenül használja.

Bizonyos esetekben előfordulhat, hogy csak szezonálisan használja az AI-alkalmazásokat. Előfordulhat például, hogy a pénzügyi alkalmazások alacsony használatot mutatnak az adó- és naplózási szezonon kívül, míg a kiskereskedelmi alkalmazások kihasználtsága megugrik az ünnepi időszakban. Tiltsa le a jelentős ideig nem használt fiókokat, különösen a külső partnerfiókokat az életciklus-munkafolyamatokkal. Fontolja meg a szezonalitást, ha a JIT vagy az ideiglenes fiók inaktiválása megfelelőbb.

Ideális esetben minden felhasználó hozzáférési szabályzatokat követ a szervezeti erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ha feltételes hozzáférési szabályzatokat kell használnia az egyes felhasználók vagy vendégek kizárásával, elkerülheti a szabályzatkivétel felügyeletét. A Microsoft Entra hozzáférési felülvizsgálataival az auditorok számára biztosíthatja a rendszeres kivétel-felülvizsgálat igazolását.

Folyamatosan tekintse át az engedélyek kezelését. Mivel az identitások a szervezetnél maradnak, általában engedélyeket gyűjtenek, miközben új projekteken dolgoznak, vagy csapatokat helyeznek át. Figyelje az Engedélyek kúszási indexe (PCI) pontszámát az Engedélyek kezelése szolgáltatásban, és állítsa be a figyelési és riasztási képességeket. Ez a megközelítés csökkenti a fokozatos engedélyek kúszását, és csökkenti a feltört felhasználói fiókok körüli robbanási sugarat.

• Jelentések konfigurálása rendszeres futtatásra. Egyéni jelentéseket konfigurálhat adott használati esetekhez, különösen a Gen AI-alkalmazások eléréséhez szükséges identitásokhoz.
• Az engedélyek Azure-ban, AWS-ben és GCP-ben való figyeléséhez használja az Engedélykezelést. Javaslatokat alkalmazhat a számítási feladatok identitására, hogy a Gen AI-alkalmazások ne rendelkezzenek túlzott engedélyekkel, vagy hogy a szükségesnél több engedély legyen hozzáadva.

Kapcsolódó tartalom

• A Microsoft Security Copilot segítséget nyújt a biztonsági szakembereknek olyan teljes körű forgatókönyvekben, mint az incidenskezelés, a fenyegetéskeresés, a hírszerzési adatgyűjtés és a testtartáskezelés.
• A Microsoft Purview információs akadályai olyan szabályzatok, amelyek megakadályozhatják, hogy az egyének vagy csoportok kommunikálnak egymással. A Microsoft Teams információs akadályai meghatározhatják és megakadályozhatják a jogosulatlan együttműködést.
• A Microsoft 365 Copilot követelményeit a Microsoft 365-höz és a Microsoft Copilothoz készült Copilot vállalati adatvédelmi szabályzatában tekintheti át.