Gestire la conformità e la sicurezza in Microsoft Foundry

Informazioni su come Microsoft Foundry Control Plane consente di gestire la conformità, applicare i controlli di protezione e integrare strumenti di sicurezza come Microsoft Defender per il cloud tra le sottoscrizioni.

Importante

Gli elementi contrassegnati (anteprima) in questo articolo sono attualmente in anteprima pubblica. Questa anteprima viene fornita senza un contratto di servizio e non è consigliabile per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero avere funzionalità limitate. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.

Usare le schede dell'area di lavoro per la conformità in modo da accedere rapidamente all'interfaccia corretta.

Scheda Navigazione Risultato
Politiche Operare>Conformità>Politiche Esaminare i criteri di protezione, controllare la conformità e creare o modificare le regole di imposizione.
Asset Operare>Conformità>Beni Esaminare le distribuzioni di singoli modelli, visualizzare le violazioni dei criteri e passare alla correzione.
Guardrail Operare>Conformità>Protezioni Confrontare le configurazioni delle guide tra le distribuzioni e individuare le lacune di copertura.
Comportamento di sicurezza Operare>Conformità>Comportamento di sicurezza Esamina le raccomandazioni di Defender per il cloud e gestisci l'abilitazione di Microsoft Purview.

Prerequisiti

  • Qualsiasi agente che vuoi usare. Assicurarsi di usare le versioni più recenti dell'agente per il supporto completo delle funzionalità di conformità.

  • Autorizzazioni appropriate in base alle attività da eseguire:

    • Per visualizzare lo stato di conformità e i criteri di protezione: non sono necessarie autorizzazioni speciali oltre l'accesso al progetto.
    • Per creare o modificare i criteri di protezione: è necessario essere un Owner o Resource Policy Contributor a livello di sottoscrizione o gruppo di risorse Azure. Vedere panoramica di Criteri di Azure.
    • Per abilitare Defender per il cloud: è necessario il ruolo amministratore della sicurezza o il ruolo Proprietario per una sottoscrizione in modo da poter attivare i piani di Defender e le protezioni senza agente.
    • Per configurare l'integrazione Microsoft Purview: è necessario il ruolo proprietario dell'account di intelligenza artificiale Azure.

Nota

Questa funzionalità è disponibile solo nel portale Foundry (nuovo). Cercare nel banner del portale per confermare che si sta usando Foundry (nuovo).

Panoramica approfondita dei rischi per l'intelligenza artificiale e della difesa

La creazione di carichi di lavoro di intelligenza artificiale introduce problemi di sicurezza univoci. I rischi principali includono:

  • Inserzione di prompt: input dannosi progettati per modificare il comportamento del modello o aggirare i controlli di sicurezza.
  • Perdita di dati sensibili: i modelli espongono involontariamente informazioni riservate nelle risposte.
  • Uso improprio del modello: uso non autorizzato o improprio delle funzionalità di intelligenza artificiale che violano i criteri dell'organizzazione.

Microsoft Foundry, Defender per il cloud e Microsoft Purview affrontare questi rischi in combinazione:

  • Barriere di sicurezza di Foundry: filtri di contenuto, protezione dai prompt e rilevamento degli abusi proteggono gli endpoint di inferenza gestiti nel livello del modello.
  • Defender per il cloud: le raccomandazioni relative al comportamento di sicurezza identificano le configurazioni errate e la protezione dalle minacce per gli strumenti Foundry rileva gli attacchi di jailbreak e input dell'utente.
  • Microsoft Purview: controllo, classificazione del tipo di informazioni sensibili (SIT) e Gestione del comportamento di sicurezza dei dati (DSPM) per l'intelligenza artificiale offrono visibilità e governance sui dati di richiesta e risposta.

Nota

I criteri di sicurezza dei dati di Microsoft Purview richiedono i token di contesto utente di Microsoft Entra ID per associare i criteri di sicurezza alle interazioni dell'utente.

Creare, esaminare e gestire criteri di protezione

È possibile usare i criteri di protezione per imporre controlli di protezione minimi per le distribuzioni di modelli in una sottoscrizione o all'interno di un gruppo di risorse. I controlli guardrail includono il filtro dei contenuti, il monitoraggio degli abusi e altre misure di sicurezza che consentono di proteggere le distribuzioni del modello dalla generazione di contenuti dannosi o dall'uso improprio.

Per altre informazioni sui criteri di protezione, vedere la panoramica di protezioni e controlli in Microsoft Foundry.

La maggior parte degli utenti non è autorizzata a creare criteri di protezione perché necessita di ruoli di controllo degli accessi in base al ruolo di Azure (RBAC) appropriati per Criteri di Azure. Vedere panoramica di Criteri di Azure. La maggior parte degli utenti in Fonderia può comunque visualizzare lo stato di conformità dei singoli criteri di protezione e distribuzioni di modelli.

Suggerimento

Accedere all'area di lavoro per la conformità selezionando Opera sulla barra degli strumenti e quindi selezionando Conformità nel riquadro sinistro. Usare i filtri di abbonamento e progetto per definire l'ambito della visualizzazione prima di passare alle schede.

Visualizzare e correggere le violazioni di conformità

Determinare se le distribuzioni di modelli non sono conformi ai criteri di protezione dell'organizzazione. Per valutare lo stato di conformità e risolvere i problemi, seguire questa procedura:

  1. Selezionare la scheda Criteri. Esaminare tutti i criteri di protezione applicabili all'interno della sottoscrizione e del progetto.

    Per espandere l'ambito oltre un singolo progetto, modificare il filtro del progetto in Tutti i progetti per una panoramica dell'intera sottoscrizione. È anche possibile cambiare sottoscrizione.

  2. Identificare i criteri di protezione non conformi individuando i criteri con un valore Di violazione rilevato nella colonna Conformità dei criteri.

  3. Selezionare un criterio di protezione. Nel riquadro delle informazioni visualizzato, selezionare un asset per confrontare le impostazioni di protezione con i requisiti specificati dai criteri di protezione.

  4. Per aggiornare la configurazione della protezione di un asset non conforme, selezionare Correggi adesso. Questa selezione apre il riquadro di configurazione della protezione della distribuzione del modello, dove è possibile modificare le impostazioni così da soddisfare i requisiti dei criteri di protezione.

    Dopo aver salvato le modifiche, lo stato di conformità viene aggiornato entro pochi minuti.

È anche possibile esaminare lo stato di conformità in base all'asset anziché ai criteri di protezione:

  1. Selezionare la scheda Asset usando l'opzione Criteri/Asset.

  2. Esaminare le distribuzioni di modelli all'interno della sottoscrizione e del progetto scelti.

  3. Esaminare gli asset contrassegnati come Violazioni rilevate nella colonna Conformità ai criteri. Selezionare queste righe per accedere ad altri dettagli. Gli asset potrebbero apparire ripetutamente se sono soggetti a diverse politiche di guardrail.

  4. Nel riquadro delle informazioni, esaminare le politiche di salvaguardia vigenti e le specifiche delle politiche di salvaguardia non conformi.

  5. Selezionare Visualizza nella build per modificare la configurazione della protezione e rendere la distribuzione modello conforme. Esaminare tutti i criteri di protezione pertinenti per ogni asset per assicurarsi di apportare tutte le modifiche necessarie per ottenere la conformità completa.

Creare una politica di binari di sicurezza

  1. Nell'area di lavoro conformità selezionare Crea nuovi criteri.

  2. Scegliere e configurare controlli, ad esempio filtri di contenuto, schermo di protezione dei prompt o rilevamento degli abusi. Selezionare Aggiungi controllo dopo aver configurato ogni controllo.

  3. Selezionare Avanti per impostare l'ambito dei criteri. L'ambito determina le risorse a cui si applicano i criteri. Scegli una sottoscrizione per applicare la politica in modo esteso oppure scegli un gruppo di risorse specifico per la governance mirata.

  4. Selezionare Avanti per aggiungere eccezioni per le distribuzioni di modelli o, se l'ambito dei criteri è una sottoscrizione, i gruppi di risorse. È possibile escludere distribuzioni di modelli o gruppi di risorse specifici dai requisiti dei criteri. Usare le eccezioni per gli ambienti di test o le distribuzioni legacy che non possono soddisfare nuovi requisiti.

  5. Al termine dell'aggiunta di eccezioni, selezionare Avanti .

  6. Immettere un nome descrittivo per la politica. Questo nome viene visualizzato nel dashboard di conformità.

  7. Selezionare Crea per finalizzare i criteri di protezione.

  8. Attendere fino a 30 minuti per visualizzare i criteri di protezione nel portale Fonderia. I risultati di conformità vengono visualizzati dopo che Criteri di Azure completa la sua analisi. La durata dell'analisi varia in base alle dimensioni e alle risorse dell'ambito.

Dopo aver creato il criterio di protezione, questo viene elencato nella scheda Policies. Lo stato di conformità viene aggiornato automaticamente quando Criteri di Azure valuta le risorse.

Modificare una politica di limitazione

  1. Nell'area di lavoro conformità, selezionare la scheda Criteri. Individuare e selezionare i criteri di protezione da modificare.

  2. Nel riquadro che mostra i dettagli dei criteri di protezione, selezionare Modifica criteri.

  3. Modificare i controlli, l'ambito o le eccezioni in base alle esigenze.

  4. Selezionare Salva per applicare le modifiche.

  5. Attendere fino a 30 minuti affinché i criteri di protezione aggiornati diventino attivi. I risultati della conformità vengono aggiornati dopo che Criteri di Azure rivaluta le tue risorse.

Esaminare le protezioni nell'abbonamento

Quando si monitorano le distribuzioni dei modelli per la conformità normativa, esaminare e confrontare i controlli di protezione per gli asset in un progetto o in una sottoscrizione. Anche se i controlli non sono direttamente collegati alla conformità dei criteri di protezione, questo processo consente di individuare le lacune nelle assegnazioni dei criteri di protezione, ad esempio i controlli mancanti. È anche possibile individuare potenziali rischi che potrebbero non essere rilevati, ad esempio sottoscrizioni che non filtrano completamente il contenuto.

Per esaminare le protezioni nella sottoscrizione:

  1. Nell'area di lavoro della conformità, selezionare la scheda Guardrails.

  2. Verificare che l'ambito sia corretto esaminando e modificando gli elenchi a discesa sottoscrizione e progetto secondo necessità.

  3. Esaminare le configurazioni nei progetti usando l'ordinamento delle colonne per individuare rapidamente i problemi. Ad esempio, è possibile vedere quali filtri sono disabilitati.

  4. Se si verifica un problema, scegliere una di queste opzioni:

    • Aggiornare le singole distribuzioni:

      1. Sulla barra degli strumenti selezionare Compila.
      2. Nel progetto pertinente selezionare Guardrails.
      3. Aggiornare le impostazioni di protezione esistenti o aggiungerne di nuove per le distribuzioni del modello.

    • Creare una politica di guardrail per l'applicazione:

      1. Nell'area di lavoro conformità selezionare la scheda Criteri .
      2. Creare un nuovo criterio di protezione per applicare i requisiti di protezione in tutte le distribuzioni.

Configurare raccomandazioni e avvisi per la sicurezza

Defender per il cloud fornisce lacune e raccomandazioni relative al comportamento di sicurezza per la correzione. Il comportamento di sicurezza rappresenta lo stato di sicurezza complessivo delle risorse Azure, incluse potenziali vulnerabilità, errori di configurazione e miglioramenti consigliati. Defender valuta le risorse e i carichi di lavoro rispetto agli standard di sicurezza predefiniti e personalizzati.

Per ottenere consigli sul comportamento di sicurezza da Defender per il cloud, abilita nella sottoscrizione Azure. Per ottenere avvisi di protezione dalle minacce per gli attacchi jailbreak in base al rilevamento dei rischi in Foundry per gli attacchi di input dell'utente, abilitare la protezione dalle minacce per gli strumenti Foundry. Gli attacchi jailbreak tentano di ignorare le misure di sicurezza dell'IA usando richieste accuratamente create. Foundry rileva questi modelli di attacco nell'input dell'utente.

Raccomandazioni e avvisi riguardano i carichi di lavoro di intelligenza artificiale basati sugli endpoint di inferenza gestita di Foundry. I rilevamenti per gli attacchi jailbreak e prompt vengono visualizzati come avvisi di Defender e possono essere correlati ai record di Microsoft Purview Audit delle interazioni con l'intelligenza artificiale per supportare le indagini e la governance.

Per esaminare Defender raccomandazioni sulla sicurezza, seguire questa procedura:

  1. Nell'area di lavoro conformità selezionare la scheda Comportamento di sicurezza .

  2. Enable Defender per il cloud per la sottoscrizione, se hai bisogno di farlo.

  3. Visualizzare le raccomandazioni nella sezione Microsoft Defender per il cloud, inclusa la risorsa interessata e il livello di rischio associato. Le raccomandazioni possono includere l'abilitazione di più funzionalità di sicurezza, la correzione di configurazioni errate o la risoluzione di potenziali vulnerabilità nelle distribuzioni di intelligenza artificiale.

  4. Selezionare una raccomandazione per visualizzare i dettagli e selezionare i collegamenti per eseguire un'azione correttiva nel portale di Azure.

Abilitare la sicurezza e la conformità dei dati di livello aziendale per Foundry con Microsoft Purview (anteprima)

Abilitando Microsoft Purview nella sottoscrizione di Azure, è possibile accedere, elaborare e archiviare i dati di prompt e risposta dalle app e dagli agenti di Microsoft Foundry. I dati includono i metadati associati. Questa integrazione supporta scenari chiave di sicurezza e conformità dei dati, ad esempio:

  • Microsoft Purview Audit
  • Classificazione del tipo di informazioni sensibili (SIT)
  • Analisi e creazione di report tramite Gestione della postura di sicurezza dei dati di Microsoft Purview (DSPM) per intelligenza artificiale
  • Gestione dei rischi Insider Microsoft Purview
  • Conformità Comunicazione di Microsoft Purview
  • Gestione del ciclo di vita dei dati di Microsoft Purview
  • Microsoft Purview eDiscovery

Questa funzionalità consente all'organizzazione di gestire e monitorare i dati generati dall'intelligenza artificiale in linea con i criteri aziendali e i requisiti normativi. Tenere presenti queste considerazioni:

  • I criteri di sicurezza dei dati di Microsoft Purview si applicano alle interazioni che usano l'autenticazione del contesto utente di Microsoft Entra ID rispetto all'endpoint di inferenza gestito di Foundry (/chat/completions). Per altre informazioni, vedere AzureUserSecurityContext.

  • Per tutti gli altri scenari di autenticazione, le interazioni utente sono visibili nelle classificazioni di Esplora attività di Microsoft Purview Audit e DSPM per l'intelligenza artificiale, ma non sono applicate dai criteri di sicurezza dei dati.

  • Microsoft Purview Audit è incluso come parte della licenza di Microsoft Purview per i servizi Foundry. Per la configurazione dei criteri di sicurezza dei dati in Microsoft Purview da parte degli amministratori della sicurezza aziendale, la fatturazione si basa su sistemi di conteggio pay-as-you-go.

  • L'integrazione con Microsoft Purview per le funzionalità precedenti in Foundry non supporta ancora l'isolamento di rete.

Questa funzionalità richiede una licenza Microsoft Purview nel tenant. Per informazioni sulle Microsoft Purview, vedere Microsoft Purview protezione dei dati e protezioni di conformità per le app di intelligenza artificiale generative.

Abilitare Microsoft Purview in Foundry

Per abilitare l'integrazione di Microsoft Purview, è necessario avere il ruolo proprietario dell'account di intelligenza artificiale Azure.

Per abilitare Microsoft Purview in Foundry:

  1. Sulla barra degli strumenti selezionare Opera.

  2. Nel riquadro sinistro selezionare Conformità.

  3. Selezionare la scheda Comportamento di sicurezza .

  4. Selezionare la sottoscrizione Azure.

  5. Attivare l'interruttore Microsoft Purview.

    Screenshot dell'interruttore per abilitare Microsoft Purview nella scheda per la postura di sicurezza.

Ripetere i passaggi precedenti per altre sottoscrizioni Azure, in base alle esigenze.

Contenuto correlato

  • Last updated on