共用方式為


AI 安全性態勢管理

適用於雲端的 Microsoft Defender 中的 Defender 雲端安全性態勢管理 (CSPM) 方案可提供 AI 安全性態勢管理功能,在整個應用程式生命週期中保護企業所建置、多雲端或混合式雲端 (目前為 Azure 和 AWS) 的生成式 AI 應用程式。 適用於雲端的 Defender 可透過以下方式降低跨雲端 AI 工作負載的風險:

  • 探索生成式 AI 用料表 (AI BOM),其中包含從程式碼到雲端的應用程式元件、資料和 AI 成品。
  • 採用內建建議,並探索並補救安全性風險,藉此加強生成式 AI 應用程式安全性態勢。
  • 使用攻擊路徑分析來識別和補救風險。

圖表:適用於雲端的 Defender AI 安全性態勢管理所涵蓋的開發生命週期。

重要

如果要啟用 AI 安全性態勢管理功能的 AWS 帳戶具有下列條件:

  • 已連線到您的 Azure 帳戶。
  • 已啟用 Defender CSPM。
  • 已將權限類型設定為 [最低權限存取權]

您必須重新設定該連接器的權限,才能使用下列步驟啟用相關權限:

  1. 在 Azure 入口網站中,瀏覽至 [環境設定] 頁面,然後選取適當的 AWS 連接器。
  2. 選取 [設定存取權]
  3. 確定權限類型已設定為 [最低權限存取權]
  4. 請遵循步驟 5 - 8 來完成設定。

探索產生的 AI 應用程式

適用於雲端的 Defender 會探索 AI 工作負載,並識別您組織的 AI BOM 詳細資料。 此資訊透明度可讓您識別並解決弱點,並保護生成式 AI 應用程式免於潛在威脅。

適用於雲端的 Defender 會自動持續探索下列服務中已部署的 AI 工作負載:

  • Azure OpenAI 服務
  • Azure Machine Learning
  • Amazon Bedrock

適用於雲端的 Defender 也可以藉由掃描基礎結構即程式碼 (IaC) 的錯誤設定以及容器映像的弱點,藉此探索 TensorFlow、PyTorch 和 Langchain 等生成式 AI 連結庫相依性內的弱點。 定期更新或修補連結庫可防止惡意探索、保護生成式 AI 應用程式並維護其完整性。

透過這些功能,適用於雲端的 Defender 可提供從程式碼到雲端的完整 AI 工作負載可見度。

降低產生的 AI 應用程式風險

Defender CSPM 提供組織 AI 安全性態勢內容相關的深入解析。 您可以使用安全性建議和攻擊路徑分析,降低 AI 工作負載內的風險。

使用建議探索風險

適用於雲端的 Defender 會評估 AI 工作負載,以及身分識別、資料安全性和網際網路暴露的相關問題建議,藉此識別並排定 AI 工作負載中重大安全性問題的優先順序。

偵測 IaC 設定錯誤

DevOps 安全性會偵測 IaC 設定錯誤,這些錯誤可能會使 IaC 應用程式暴露在安全性弱點中,例如過度暴露的存取控制,或無意中公開暴露的服務。 這些設定錯誤可能會導致資料外洩、未經授權的存取和合規性問題,尤其是需要遵循嚴格的資料隱私權法規時。

適用於雲端的 Defender 會評估您的生成式 AI 應用程式設定,並提供安全性建議來改善 AI 安全性態勢。

偵測到的錯誤設定應該在開發週期早期進行補救,以免後續產生更複雜的問題。

目前的 IaC AI 安全性檢查包括:

  • 使用 Azure AI 服務私人端點
  • 限制 Azure AI 服務端點
  • 針對 Azure AI 服務帳戶使用受控識別
  • 針對 Azure AI 服務帳戶使用身分識別型驗證

使用攻擊路徑分析探索風險

攻擊路徑分析會偵測並降低 AI 工作負載的風險,特別是在基礎期間 (將 AI 模型連結到特定資料) 和微調 (在特定資料集上調整預先定型的模型,以改善其在相關工作上的效能) 階段,這些階段可能會暴露資料。

透過持續監視 AI 工作負載,攻擊路徑分析可以識別弱點和潛在弱點,並進一步提供建議。 此外,該功能也會延伸涵蓋將資料和計算資源分散到 Azure、AWS 和 GCP 的情況。