Güvenli yapay zeka – Azure'da yapay zeka iş yüklerinin güvenliğini sağlamaya yönelik kuruluşlara yönelik öneriler

  • Makale

Bu makalede yapay zeka iş yüklerinin güvenliğini sağlamaya yönelik kuruluş süreci özetlenmiştir. Yapay zekanın gizliliğine, bütünlüğüne ve kullanılabilirliğine (CIA) odaklanır. Etkili güvenlik uygulamaları, yapay zeka modellerinin ve verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyarak risk riskini azaltır. Güvenli bir yapay zeka ortamı, iş güvenliği hedeflerine de uyum sağlar ve yapay zeka temelli süreçlere olan güveni artırır.

Yapay zeka benimseme sürecini gösteren diyagram: AI Stratejisi, Yapay Zeka Planı, Yapay Zekaya Hazır, Yapay Zekayı Yönetme, Yapay Zekayı Yönetme ve Güvenli Yapay Zeka.

Yapay zeka güvenlik risklerini değerlendirme

Yapay zeka güvenlik risklerini değerlendirmek, yapay zeka iş yüklerini etkileyebilecek olası güvenlik açıklarını belirlemeyi ve değerlendirmeyi içerir. Bu riskleri proaktif bir şekilde ele almak, ihlallerin, işlemenin ve kötüye kullanımın önlenmesine yardımcı olur ve bu da yapay zeka uygulamalarının güvenilirliğini güçlendirir. Bu yaklaşım, hassas verileri koruyarak ve paydaş güvenini koruyarak kuruluş hedeflerini de destekler.

  • Yaygın yapay zeka güvenlik risklerini belirleme. Tüm yapay zeka iş yüklerindeki riskleri düzenli olarak değerlendirmek için MITRE ATLAS, OWASP Machine Learning riski ve OWASP Oluşturma yapay zeka riski gibi tanınan kaynakları kullanın. Sürekli güvenlik duruşu yönetimi için Bulut için Microsoft Defender'de yapay zeka güvenlik duruşu yönetimi gibi yapay zeka güvenlik araçlarını kullanmayı göz önünde bulundurun. Bu araçlar, üretken yapay zeka risklerini algılama ve düzeltmeyi otomatikleştirebilir.

  • Veri risklerini tanımlama. Hassas veri kaybı veya açığa çıkarma, kuruluşunuzun paydaşları ve uyumluluk yükümlülükleri üzerinde önemli etkilere neden olabilir. şirket içindeki riski değerlendirmek ve işletme genelinde veri güvenliğini korumak için Microsoft Purview İçeriden Risk Yönetimi gibi kurumsal ölçekli araçları kullanın. Tüm yapay zeka iş yüklerinde, işledikleri, depoladıkları veya ilettikleri verilerin duyarlılığına göre riskleri sınıflandırın ve önceliklerini belirleyin.

  • Yapay zeka tehdit modellemesi gerçekleştirme. Tüm yapay zeka iş yükleri için olası saldırı vektörlerini değerlendirmek için STRIDE gibi çerçeveleri kullanarak şirket genelinde yapay zeka tehdit modellemesi gerçekleştirin. Yeni yapay zeka kullanım örneklerine ve tehditlere uyum sağlamak için tehdit modellerini düzenli olarak güncelleştirin. Yapay zeka mükemmellik merkezi, kuruluş genelinde tekdüzen bir yaklaşım sağlamak ve çeşitli yapay zeka modelleri, veri kaynakları ve süreçlerle ilişkili riskleri azaltmak için yapay zeka tehdit modellemesini merkezileştirmeyi göz önünde bulundurmalıdır.

  • Yapay zeka modellerini test edin. Saldırılara karşı güvenlik açıklarını değerlendirmek için üretken yapay zeka modellerine ve yeni olmayan modellere karşı kırmızı ekip testi gerçekleştirin. PyRIT gibi araçlar, modelin çıkışlarına çeşitli koşullar altında meydan okuyabilmeniz için bu süreci üretken yapay zeka için otomatikleştirebilir. Bu adım son derece tekniktir ve etkili bir performans için özel uzmanlık gerektirir.

Yapay zeka güvenlik denetimleri uygulama

Yapay zeka güvenlik denetimleri uygulamak, yapay zeka kaynaklarını ve verilerini koruyan ilkeler, yordamlar ve araçlar oluşturmak anlamına gelir. Bu denetimler, mevzuat gereksinimleriyle uyumluluğun sağlanmasına ve yetkisiz erişime karşı koruma sağlanmasına yardımcı olur ve sürekli çalışma ve veri gizliliğini destekler. Yapay zeka iş yükleri arasında tutarlı denetimler uyguladığınızda güvenliği daha etkili bir şekilde yönetebilirsiniz.

Yapay zeka kaynaklarının güvenliğini sağlama

Yapay zeka kaynaklarının güvenliğini sağlamak, yapay zeka uygulamalarını destekleyen sistemleri, modelleri ve altyapıyı yönetmeyi ve korumayı içerir. Bu adım yetkisiz erişim olasılığını azaltır ve kuruluş genelinde güvenlik uygulamalarını standartlaştırmaya yardımcı olur. Kapsamlı bir kaynak envanteri, güvenlik ilkelerinin tutarlı bir şekilde uygulanmasını sağlar ve yapay zeka varlıklarının genel denetimini güçlendirir.

  • Merkezi bir yapay zeka varlık envanteri oluşturun. Yapay zeka iş yükü kaynaklarınızın ayrıntılı ve güncel envanterini korumak, güvenlik ilkelerini tüm yapay zeka iş yüklerine tekdüzen uygulayabilmenizi sağlar. Azure genelindeki tüm yapay zeka sistemlerinin, modellerinin, veri kümelerinin ve altyapının şirket genelinde envanterini derleyin. Bulma işlemini otomatikleştirmek için Azure Kaynak Grafı Gezgini ve Bulut için Microsoft Defender gibi araçları kullanın. Bulut için Microsoft Defender, üretici yapay zeka iş yüklerini ve dağıtım öncesi üretken yapay zeka yapıtlarını keşfedebilir.

  • Azure AI platformlarının güvenliğini sağlama. Her yapay zeka kaynağı için Azure güvenlik temelleri uygulamasını standartlaştırın. Azure Hizmet Kılavuzları'ndaki güvenlik önerilerini izleyin.

  • İş yüküne özgü idare kılavuzlarını kullanın. Azure platform hizmetlerinde (PaaS) ve Azure altyapısında (IaaS) yapay zeka iş yükleri için ayrıntılı güvenlik kılavuzu sağlanır. Bu iş yükü türleri içindeki yapay zeka modellerinin, kaynaklarının ve verilerinin güvenliğini sağlamak için bu kılavuzu kullanın.

    PaaS AI iş yüklerinin güvenliğini sağlama

    IaaS AI iş yüklerinin güvenliğini sağlama

Yapay zeka verilerinin güvenliğini sağlama

Yapay zeka verilerinin güvenliğini sağlamak için yapay zeka modellerinin kullandığı ve oluşturduğu verilerin korunması gerekir. Etkili veri güvenliği uygulamaları yetkisiz erişimi, veri sızıntılarını ve uyumluluk ihlallerini önlemeye yardımcı olur. Veri erişimini denetleme ve ayrıntılı bir kataloğun bakımını yapma, bilinçli karar almayı da destekler ve hassas bilgilerin açığa çıkmasına neden olma riskini azaltır.

  • Veri sınırlarını tanımlama ve koruma. Yapay zeka iş yüklerinin erişim düzeyine uygun verileri kullandığına emin olun. Tüm çalışanların erişebildiği yapay zeka uygulamaları yalnızca tüm çalışanlar için uygun verileri işlemelidir. İnternet'e yönelik yapay zeka uygulamaları genel kullanıma uygun verileri kullanmalıdır. Yanlışlıkla veri erişimini önlemek için farklı yapay zeka uygulamaları için ayrı veri kümeleri veya ortamlar kullanın. Verilerinizin güvenliğini sağlamak için Microsoft Purview'un veri güvenlik araçları paketini kullanmayı göz önünde bulundurun.

  • Katı veri erişim denetimleri uygulayın. Uygulamaların son kullanıcıların sorgularında yer alan verilere erişme yetkisine sahip olduğunu doğruladığından emin olun. Kullanıcı eylemleri için geniş sistem izinlerinden kaçının. Yapay zekanın belirli bilgilere erişebilmesi durumunda kullanıcının bu bilgilere doğrudan erişme yetkisine sahip olması gerektiği ilkesi altında çalışma.

  • Veri kataloğunu koruma. Depolama konumları ve erişim ayrıntıları dahil olmak üzere yapay zeka sistemlerine bağlı ve bu sistemler tarafından kullanılan tüm verilerin güncel bir kataloğunu koruyun. Duyarlılık düzeylerini ve uygunluğu izlemek için verileri düzenli olarak tarayın ve etiketleyerek analize ve risk belirlemeye yardımcı olun. Verilerinizi eşlemek ve yönetmek için Microsoft Purview Veri Kataloğu kullanmayı göz önünde bulundurun.

  • Veri duyarlılığı değişiklik yönetimi planı oluşturun. Veri duyarlılığı düzeylerini zaman içinde değişebilecekleri şekilde izleyin. Yapay zeka iş yüklerinde kullanılan bilgileri izlemek için veri kataloğunuzu kullanın. Yapay zeka iş yüklerinde hassas verileri bulmak ve kaldırmak için bir süreç uygulayın.

  • Yapay zeka yapıtlarının güvenliğini sağlama. Yapay zeka modellerini ve veri kümelerini değerli fikri mülkiyet olarak tanıyıp uygun şekilde korumak için ölçüler uygulayın. Yapay zeka modellerini ve veri kümelerini özel uç noktaların arkasında ve Azure Blob Depolama ve ayrılmış çalışma alanları gibi güvenli ortamlarda depolayın. Veri zehirlenmesini önlemek için yapay zeka yapıtlarını yetkisiz erişime veya hırsızlığa karşı korumak için katı erişim ilkeleri ve şifreleme uygulayın.

  • Hassas verileri koruma. Özgün veri kaynağı doğrudan kullanım için uygun olmadığında, yalnızca gerekli bilgileri içeren yinelenenleri, yerel kopyaları veya alt kümeleri kullanın. Yetkisiz erişimi veya veri sızıntılarını önlemek için ağ yalıtımı ve sıkı erişim denetimleri özelliğine sahip denetimli ortamlarda hassas verileri işleyin. Ayrıca, işleme sırasında veri ihlallerine karşı koruma sağlamak için şifreleme, sürekli izleme ve izinsiz giriş algılama sistemleri gibi kapsamlı korumalar uygulayın.

Yapay zeka güvenlik denetimlerini koruma

Yapay zeka güvenlik denetimlerinin korunması, gelişen tehditleri ele almak için güvenlik önlemlerinin sürekli izlenmesini, testini ve güncelleştirilmesini içerir. Güvenlik denetimlerini düzenli olarak gözden geçirmek, yapay zeka iş yüklerinin korunmasını ve kuruluşun yeni risklere uyum sağlayabilmesini sağlar. Proaktif bakım, ihlallerin önlenmesine yardımcı olur ve zaman içinde yapay zeka sistemlerine olan güveni korur.

  • Yapay zeka sistemlerinde veri sızıntısı ve zorlama için test uygulama. Hassas verilerin yapay zeka sistemleri aracılığıyla sızdırılıp sızdırılmadığını veya zorlanabilir olup olmadığını belirlemek için sıkı testler yapın. Veri kaybı önleme (DLP) testleri gerçekleştirin ve yapay zekaya özgü saldırı senaryolarının simülasyonunu yapın. Veri koruma önlemlerinin dayanıklılığını değerlendirmek için model ters çevirme veya saldırgan saldırıları simüle etme. Yapay zeka modellerinin ve veri işleme işlemlerinin yetkisiz erişime ve işlemeye karşı güvenli olmasını sağlamak, yapay zeka uygulamalarında veri bütünlüğünü ve güvenini korumak için kritik öneme sahiptir.

  • Yapay zeka odaklı çalışan eğitimi ve farkındalığı sağlama. Yapay zeka projelerinde yer alan tüm çalışanlar için eğitim programları sağlayın. Veri güvenliğinin önemini ve yapay zeka geliştirme ve dağıtımına özgü en iyi yöntemleri vurgular. Eğitimde kullanılan hassas verileri işleme ve model ters çevirme veya veri zehirlemesi saldırıları gibi tehditleri tanıma konusunda personeli eğitin. Düzenli eğitim, ekip üyelerinin en son yapay zeka güvenlik protokolleri hakkında bilgi sahibi olmalarını ve yapay zeka iş yüklerinin bütünlüğünü koruma rollerini anlamalarını sağlar.

  • Yapay zeka güvenlik olayları için bir olay yanıt planı geliştirin ve koruyun. Olası veri ihlallerini veya güvenlik olaylarını ele almak için yapay zeka sistemlerine uyarlanmış bir olay yanıtı stratejisi oluşturun. Plan yapay zeka modellerini, verilerini veya altyapısını etkileyebilecek güvenlik olaylarını algılamaya, raporlamaya ve azaltmaya yönelik açık yordamları özetlemelidir. Yanıt ekibinin gerçek dünyadaki yapay zeka güvenlik olaylarını verimli bir şekilde işlemeye hazır olduğundan emin olmak için yapay zekaya özgü senaryolara odaklanan düzenli tatbikatlar ve simülasyonlar gerçekleştirin.

  • Düzenli risk değerlendirmeleri yapma. Risk değerlendirmeleri ve etki analizleri aracılığıyla yapay zekaya özgü yeni ortaya çıkan tehditleri ve güvenlik açıklarını düzenli olarak değerlendirin. Bu değerlendirmeler yapay zeka modelleri, veri işleme süreçleri ve dağıtım ortamlarıyla ilişkili yeni riskleri belirlemeye yardımcı olur. Değerlendirmeler ayrıca güvenlik ihlallerinin yapay zeka sistemleri üzerindeki olası etkilerini de değerlendirir.

Sonraki adımlar

Yapay zekayı yönetme, Yapay zekayı yönetme ve Güvenli yapay zeka, düzenli aralıklarla yinelemeniz gereken sürekli süreçlerdir. Gerektiğinde her yapay zeka stratejisini, yapay zeka planını ve yapay zeka için hazır'ı yeniden ziyaret edin. Bir sonraki adımınızın ne olması gerektiğini belirlemek için yapay zeka benimseme denetim listelerini kullanın.

Yapay zeka benimseme denetim listeleri