Microsoft Entra ile Güvenli Üretken Yapay Zeka

Dijital manzara hızla geliştikçe, çeşitli sektörlerdeki kuruluşlar yeniliği artırmak ve üretkenliği artırmak için Üretken Yapay Zeka (Gen AI) benimsemektedir. Yakın tarihli bir araştırma, işletmelerin %93'ünün yapay zeka stratejisi uyguladığını veya geliştirdiğini gösteriyor. Risk liderlerinin yaklaşık aynı yüzdesi, ilgili riskleri ele almak için yetersiz veya yalnızca biraz hazır olduğunu bildirmektedir. Gen AI'yi operasyonlarınızla tümleştirirken önemli güvenlik ve idare risklerini azaltmanız gerekir.

Microsoft Entra, yapay zeka uygulamalarını güvenli bir şekilde yönetmek, erişimi uygun şekilde denetlemek ve hassas verileri korumak için kapsamlı bir özellik paketi sunar:

• Microsoft Entra İzin Yönetimi (MEPM)
• Microsoft Entra Kimlik Yönetimi
• Microsoft Entra Koşullu Erişim
• Microsoft Entra Privileged Identity Management (PIM)
• Microsoft Purview Insider Riski

Bu makale, Gen AI'nin oluşturduğu belirli güvenlik zorluklarını ve Bunları Microsoft Entra tarafından sunulan özelliklerle nasıl ele alabileceğinizi ele alır.

Fazla ayrıcalıklı kimlikleri bulma

Kullanıcılarınen az ayrıcalıklı ilkesine uymak için uygun izinlere sahip olduğundan emin olun. Telemetrimize bağlı olarak kimliklerin %90'ından fazlası verilen izinlerin %5'inden daha azını kullanır. Bu izinlerin %50'sinin üzerinde yüksek risklidir. Güvenliği aşılmış hesaplar yıkıcı hasara neden olabilir.

Kimlik ve Erişim Yönetimi (IAM) ve güvenlik ekiplerinin genellikle işlevsel olarak işbirliğine ihtiyacı olduğundan çoklu bulut ortam yönetimi zordur. Çoklu bulut ortamları, kimlikler, izinler ve kaynaklara yönelik kapsamlı görünümü sınırlayabilir. Bu sınırlı görünüm, aşırı ayrıcalıklı rollere ve izinli hesaplara sahip kimliklerde saldırı yüzeyini artırır. Kuruluşlar çoklu bulutu benimsedikçe, yüksek izinlere sahip, risk altındaki kullanılmayan hesapların riski artar.

insan olmayan hesapları tanımlama

İkincil olmayan hesaplar yinelenebilir desenlere sahiptir ve zaman içinde değişme olasılığı daha düşüktür. Bu hesapları tanımlarken iş yükü veya yönetilen kimlikleri ve Microsoft Entra İzin Yönetimi kullanmayı göz önünde bulundurun. İzin Yönetimi bir Bulut Altyapısı Yetkilendirme Yönetimi (CIEM) aracıdır. Azure, Amazon Web Services (AWS) ve Google Cloud Platform (GCP) genelindeki tüm kimliklere atadığınız izinlere yönelik kapsamlı görünürlük sağlar.

Rolleri Sıfır Güven en az ayrıcalık erişim güvenlik ilkesine göre kırpın. Süper kimliklere (sunucusuz işlevler ve uygulamalar gibi) çok dikkat edin. Gen AI uygulamaları için kullanım örneklerini dikkate alın.

Microsoft Entra rolleri için tam zamanında erişimi zorunlu kılma

Microsoft Entra Privileged Identity Management (PIM), Microsoft Entra Id, Azure ve diğer Microsoft Online Services 'daki (Microsoft 365 veya Microsoft Intune gibi) kaynaklara erişimi yönetmenize, denetlemenize ve izlemenize yardımcı olur. PIM etkin olmayan ayrıcalıklı kullanıcılar sürekli erişime sahiptir (ayrıcalıklarına ihtiyaç duymasalar bile her zaman atanmış rollerindedir). PIM bulma ve içgörüler sayfası kalıcı Genel Yönetici atamalarını, yüksek ayrıcalıklı rollere sahip hesapları ve ayrıcalıklı rol atamalarına sahip hizmet sorumlularını gösterir. Bu izinleri gördüğünüzde ortamınız için nelerin normal olması gerektiğini not edin. PIM'e uygun atamalarla bu rolleri kırpmayı veya tam zamanında (JIT) erişime düşürmeyi göz önünde bulundurun.

Doğrudan bulma ve içgörüler sayfasında, ayrıcalıklı rolleri PIM'e uygun hale getirerek ayaktaki erişimi azaltabilirsiniz. Ayrıcalıklı erişime ihtiyaç duymamaları durumunda atamayı tamamen kaldırabilirsiniz. Genel Yöneticiler için kendi erişimlerini düzenli olarak gözden geçirmelerini isteyen bir erişim gözden geçirmesi oluşturabilirsiniz.

Erişim denetimlerini etkinleştirme

İzin ürpertici, yetkisiz erişim ve kısıtlanmış şirket verileri işleme riski oluşturur. Tüm şirket kaynaklarına uyguladığınız idare kurallarıyla yapay zeka uygulamalarının güvenliğini sağlayın. Bu hedefe ulaşmak için Kimlik İdaresi ve Microsoft Entra Koşullu Erişim ile tüm kullanıcılar ve şirket kaynakları (Gen AI uygulamaları dahil) için ayrıntılı erişim ilkeleri tanımlayın ve dağıtabilirsiniz.

Yalnızca doğru kişilerin doğru kaynaklar için doğru erişim düzeyine sahip olduğundan emin olun. Yetkilendirme Yönetimi, Yaşam Döngüsü İş Akışları, erişim istekleri, incelemeler ve süre sonu ile denetimler aracılığıyla erişim yaşam döngülerini büyük ölçekte otomatikleştirin.

Yaşam Döngüsü İş Akışları ile Joiner, Mover ve Leaver (JML) kullanıcı işlemlerinizi idare edin ve Kimlik İdaresi'nde erişimi kontrol edin.

Kullanıcı erişimini idare etmek için ilkeleri ve denetimleri yapılandırma

Çok aşamalı onay ilkeleriyle uygulamalara, gruplara, Teams'e ve SharePoint sitelerine kimlerin erişebileceğini denetlemek için Kimlik İdaresi'nde Yetkilendirme Yönetimi'ni kullanın.

Yetkilendirme Yönetimi'nde, kullanıcılara departman veya maliyet merkezi gibi kullanıcı özelliklerine göre kaynaklara otomatik olarak erişim vermek için otomatik atama ilkelerini yapılandırın. Bu özellikler değiştiğinde kullanıcı erişimini kaldırın.

Erişimi doğru boyutlandırmak için yetkilendirme yönetimi ilkelerine son kullanma tarihi ve/veya düzenli erişim gözden geçirmesi uygulamanızı öneririz. Bu gereksinimler, kullanıcıların sınırlı süreli atamalar ve yinelenen uygulama erişim gözden geçirmeleri aracılığıyla erişimi süresiz olarak korumamasını sağlar.

Microsoft Entra Koşullu Erişim ile kuruluş ilkelerini zorunlu kılma

Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Koşullu Erişim, microsoft'un ilke kararlarını zorunlu kılmak için çeşitli kaynaklardan gelen sinyalleri dikkate alan Sıfır Güven ilke altyapısıdır.

Koşullu Erişim ilkeleriyle kuruluşunuzun güvenliğini sağlamak için en az ayrıcalık ilkelerini zorunlu tutun ve doğru erişim denetimlerini uygulayın. Koşullu Erişim ilkelerini, belirli ölçütleri karşılayan kimliklerin kaynaklara yalnızca MFA veya cihaz uyumluluk durumu gibi belirli gereksinimleri karşılaması durumunda erişebildiği if-then deyimleri olarak düşünün.

İlke kararlarını geliştirmek için kullanıcılar, gruplar, roller, konum veya risk gibi sinyallere göre Gen AI uygulamalarına erişimi kısıtlayın.

• Kaynağa erişmek için kimlik doğrulama yöntemlerinin bileşimlerini belirten kimlik doğrulama gücü Koşullu Erişim denetimini kullanın. Kullanıcıların Gen AI uygulamalarına erişmek için kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını (MFA) tamamlamasını zorunlu kılar.
• Yapay zeka kullanım risklerini azaltmak ve yönetmek için Microsoft Purview uyarlamalı koruması dağıtın. Insider Risk koşulunu kullanarak, insider riski yüksek kullanıcılar için Gen AI uygulamalarının erişimini engelleyin.
• Cihaz uyumluluk sinyallerini Koşullu Erişim ilkesi kararlarına dahil etmek için Microsoft Intune cihaz uyumluluk ilkelerini dağıtın. Kullanıcıların Gen AI uygulamalarına erişmek için uyumlu bir cihaza sahip olmasını istemek için cihaz uyumluluk koşulunu kullanın.

Koşullu Erişim ilkelerini dağıttığınızda, bu ilkeleri zorunlu tutmadığınız oturum açma işlemleri ve uygulamaları belirlemek için Koşullu Erişim boşluğu çözümleyicisi çalışma kitabını kullanın. Temel erişim denetimini sağlamak için tüm kaynakları hedefleyen en az bir Koşullu Erişim ilkesi dağıtmanızı öneririz.

Çalışan kimliği yaşam döngüsünü büyük ölçekte yönetmek için otomasyonu etkinleştirme

Kullanıcılara bilgi ve kaynaklara yalnızca görevlerini gerçekleştirmeleri için gerçek bir ihtiyaçları varsa erişim izni verin. Bu yaklaşım hassas verilere yetkisiz erişimi engeller ve olası güvenlik ihlali etkisini en aza indirir. Erişim haklarının gereksiz yere verilmesini azaltmak için otomatik kullanıcı sağlamayı kullanın.

Kimlik İdaresindeki Yaşam Döngüsü İş Akışları ile Microsoft Entra kullanıcılarının yaşam döngüsü süreçlerini büyük ölçekte otomatikleştirin. Önemli olaylar gerçekleştiğinde kullanıcı erişimini doğru boyutlandırmak için iş akışı görevlerini otomatikleştirin. Yeni bir çalışanın kuruluşta çalışmaya başlaması planlanmasından önce, çalışanlar durumu değiştikçe ve çalışanlar kuruluşta ayrıldığında bu olaylara örnek olarak verilebilir.

Yüksek ayrıcalıklı yönetim rolü erişimini yönetme

Kesme camı hesapları gibi iş/operasyonel gereksinimler nedeniyle kimliklerin daha yüksek ayrıcalık erişimi gerektirdiği durumlar olabilir.

Ayrıcalıklı hesaplar en yüksek koruma düzeyine sahip olmalıdır. Güvenliği aşılmış ayrıcalıklı hesaplar, kuruluş operasyonları üzerinde önemli veya önemli bir etkiye neden olabilir.

Yetkili kullanıcıları yalnızca Microsoft Azure ve Microsoft Entra'daki yönetici rollerine atayın. Microsoft, aşağıdaki rollerde kimlik avına dayanıklı MFA'ya en azından ihtiyaç duymanızı önerir:

• Genel Yönetici
• Uygulama Yöneticisi
• Kimlik Doğrulama Yöneticisi
• Faturalama Yöneticisi
• Bulut Uygulaması Yöneticisi
• Koşullu Erişim Yöneticisi
• Exchange Yöneticisi
• Yardım Masası Yöneticisi
• Parola Yöneticisi
• Ayrıcalıklı Kimlik Doğrulama Yöneticisi
• Ayrıcalıklı Rol Yöneticisi
• Güvenlik Yöneticisi
• SharePoint Yöneticisi
• Kullanıcı Yöneticisi

Kuruluşunuz, gereksinimlere göre rolleri dahil etmeyi veya hariç tutmayı seçebilir. Rol üyeliklerini gözden geçirmek için dizin rolü erişim gözden geçirmelerini yapılandırın ve kullanın.

Privileged Identity Management (PIM) ve tam zamanında (JIT) erişimi kullanarak rol tabanlı erişim denetimi uygulayın. PIM, zamana bağlı erişim atayarak kaynaklara JIT erişimi sağlar. Aşırı veya yanlış erişim riskini azaltmak için ayakta erişimi ortadan kaldırın. PIM onay ve gerekçe gereksinimleri, rol etkinleştirme için MFA zorlaması ve denetim geçmişi sağlar.

Dış konuk kimliği yaşam döngüsünü ve erişimini yönetme

Çoğu kuruluşta, son kullanıcılar iş ortaklarını (B2B) ve satıcıları işbirliğine davet eder ve uygulamalara erişim sağlar. Genellikle, işbirliği ortakları ekleme işlemi sırasında uygulama erişimi alır. İşbirliğinin net bir bitiş tarihi olmadığında, kullanıcının artık erişime ihtiyacı kalmadığında bu açık değildir.

Yetkilendirme Yönetimi özellikleri, kaynaklara erişimi olan dış kimliklerin otomatik yaşam döngüsünü etkinleştirir. Yetkilendirme Yönetimi aracılığıyla erişimi yönetmek için süreçler ve yordamlar oluşturun. Kaynakları erişim paketleri aracılığıyla yayımlama. Bu yaklaşım, kaynaklara dış kullanıcı erişimini izlemenize ve sorunun karmaşıklığını azaltmanıza yardımcı olur.

Çalışanları dış kullanıcılarla işbirliği yapma yetkisi verdiğinizde, kuruluşunuzun dışından herhangi bir sayıda kullanıcıyı davet edebilir. Dış kimlikler uygulamaları kullanıyorsa, Microsoft Entra erişim gözden geçirmeleri erişimi gözden geçirmenize yardımcı olur. Kaynak sahibinin, dış kimliklerin veya güvendiğiniz başka bir temsilcinin sürekli erişim gerekip gerektirmediğini denetlemesine izin vekleyebilirsiniz.

Dış kimliklerin kiracınızda oturum açmasını ve 30 gün sonra kiracınızdan dış kimlikleri silmesini engellemek için Microsoft Entra erişim gözden geçirmelerini kullanın.

Microsoft Purview ile veri güvenliği ve uyumluluk korumalarını zorunlu kılma

Yapay zeka kullanımıyla ilgili riskleri azaltmak ve yönetmek için Microsoft Purview'u kullanın. İlgili koruma ve idare denetimlerini uygulayın. Microsoft Purview AI Hub şu anda önizleme aşamasındadır. Kuruluşunuzdaki yapay zeka kullanımı hakkında hızla içgörüler elde etmek için kullanımı kolay grafik araçları ve raporlar sağlar. Tek tıklamayla ilkeler verilerinizi korumanıza ve mevzuat gereksinimlerine uymanıza yardımcı olur.

Koşullu Erişim'de Microsoft Purview Uyarlamalı Koruması'nı etkinleştirerek içeriden gelen riski gösteren davranışlara bayrak ekleyebilirsiniz. Kullanıcıdan MFA istemesi veya kullanım örneklerinize göre başka eylemler sağlaması için diğer Koşullu Erişim denetimlerini uyguladığınızda Uyarlamalı Koruma'yı uygulayın.

Erişimi izleme

İzleme, olası tehditleri ve güvenlik açıklarını erken algılamak için çok önemlidir. Güvenlik ihlallerini önlemek ve veri bütünlüğünü korumak için olağan dışı etkinlikleri ve yapılandırma değişikliklerini izleyin.

Şüpheli etkinlikleri keşfetmek için ortamınıza erişimi sürekli gözden geçirin ve izleyin. İstenmeyen değişiklikler olduğunda izinlerin ürpermesini önleyip uyarılar alın.

• Yapılandırma değişiklikleri ve şüpheli etkinlik için ortamınızı proaktif olarak izlemek için Microsoft Entra ID Denetim Günlüklerini Azure İzleyici ile tümleştirin.
• Kullanıcıların ayrıcalıklı rolleri ne zaman etkinleştireceklerini izlemek için güvenlik uyarılarını yapılandırın.
• Microsoft Entra Kimlik Koruması ile atipik kullanıcı kullanım desenlerini izleyin. Atipik kullanım, kötü bir aktörün 1. Nesil yapay zeka araçlarını kullandığını ve uygunsuz bir şekilde kurcaladığını gösterebilir.

Bazı senaryolarda yapay zeka uygulamalarını yalnızca mevsimsel olarak kullanabilirsiniz. Örneğin, finansal uygulamalarda vergi ve denetim sezonu dışında kullanım düşükken, perakende uygulamalarında tatil sezonunda kullanım artışları olabilir. Yaşam Döngüsü İş Akışları ile özellikle dış iş ortağı hesapları olmak üzere önemli bir süre kullanılmayan hesapları devre dışı bırakın. JIT veya geçici hesap devre dışı bırakma daha uygunsa mevsimselliği göz önünde bulundurun.

İdeal olan, kuruluş kaynaklarına erişimin güvenliğini sağlamak için tüm kullanıcıların erişim ilkelerini izlemesidir. Koşullu Erişim ilkelerini tek tek kullanıcılar veya konuklar için dışlamalarla kullanmanız gerektiğinde, ilke özel durumu gözetiminden kaçınabilirsiniz. Denetçilere düzenli özel durum incelemesi kanıtı sağlamak için Microsoft Entra erişim gözden geçirmelerini kullanın.

İzin Yönetimi'ne giderek gözden geçirin. Kimlikler bir kuruluşta kalırken, yeni projeler üzerinde çalışırken veya ekipleri taşırken izinleri toplama eğilimindedir. İzin Yönetimi'nin içindeki İzinler Sürünme Dizini (PCI) puanını izleyin ve izleme ve uyarı özelliklerini ayarlayın. Bu yaklaşım aşamalı izinleri azaltır ve güvenliği aşılmış kullanıcı hesapları çevresinde patlama yarıçapını azaltır.

• Raporları düzenli olarak çalışacak şekilde yapılandırın. Özellikle Gen AI uygulamalarına erişmesi gereken kimlikler için özel raporları belirli kullanım örnekleri için yapılandırın.
• Azure, AWS ve GCP'de geçiş izinlerini izlemek için İzin Yönetimi'ni kullanın. Gen AI uygulamalarınızın aşırı izinlere sahip olmadığından veya zaman içinde gerekenden daha fazla izin eklendiğinden emin olmak için iş yükü kimliklerine öneriler uygulayın.

İlgili içerik

• Microsoft Security Copilot , güvenlik uzmanlarını olay yanıtı, tehdit avcılığı, zeka toplama ve duruş yönetimi gibi uçtan uca senaryolarda desteklemeye yardımcı olur.
• Microsoft Purview Bilgi Engelleri , kişilerin veya grupların birbirleriyle iletişim kurmasını engelleyebilen ilkelerdir. Microsoft Teams'deki bilgi engelleri, yetkisiz işbirliklerini belirleyebilir ve engelleyebilir.
• Microsoft 365 Copilot gereksinimleri için Microsoft 365 ve Microsoft Copilot için Copilot'ta Kurumsal veri koruma bölümünü gözden geçirin.