Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El plan de Administración de posturas de seguridad en la nube (CSPM) de Defender para la nube protege entornos de nube híbridos, multinube o creados por la empresa. Estos entornos incluyen Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP) Vertex AI. El plan CSPM de Defender protege las aplicaciones de IA generativas y los agentes de IA (versión preliminar) durante todo su ciclo de vida.
Defender for Cloud reduce los riesgos asociados a las cargas de trabajo de inteligencia artificial en la nube cruzadas haciendo lo siguiente:
- Descubrimiento de la lista de materiales de IA generativa (BOM de IA), que incluye los componentes de la aplicación, los datos y los artefactos de IA desde el código hasta la nube.
- Reforzar la posición de seguridad de las aplicaciones de IA generativa con recomendaciones integradas y explorando y corrigiendo los riesgos de seguridad.
- Usar el análisis de ruta de acceso de ataque para identificar y corregir riesgos.
Importante
Para habilitar las funcionalidades de administración de la posición de seguridad de la inteligencia artificial en una cuenta de AWS que ya:
- Está conectada a su cuenta de Azure.
- Tiene habilitado Defender CSPM.
- Tiene el tipo de permisos establecido como Acceso con privilegios mínimos.
Debe volver a configurar los permisos en ese conector para habilitar los permisos pertinentes mediante estos pasos:
- En Azure Portal, vaya a la página Configuración del entorno y seleccione el conector de AWS adecuado.
- Seleccione Configurar acceso.
- Asegúrese de que el tipo de permisos esté establecido en Acceso con privilegios mínimos.
- Siga los pasos 7 a 11 para finalizar la configuración.
Descubrir aplicaciones de IA generativa
Defender for Cloud detecta cargas de trabajo de inteligencia artificial e identifica los detalles de BOM de IA de la organización. Esta visibilidad le permite identificar y abordar vulnerabilidades y proteger las aplicaciones de IA generativa frente a posibles amenazas.
Defender for Cloud detecta automáticamente y continuamente las cargas de trabajo de inteligencia artificial implementadas en los siguientes servicios:
- Servicio Azure OpenAI
- Fundición de IA de Azure
- Azure Machine Learning
- Amazon Bedrock
- Inteligencia artificial de vértices de Google
Defender for Cloud también puede detectar vulnerabilidades en las dependencias de bibliotecas de IA generativa, como TensorFlow, PyTorch y Langchain, analizando el código fuente en busca de errores de configuración de la infraestructura como código (IaC) y las imágenes de contenedores en busca de vulnerabilidades. La actualización periódica o la aplicación de revisiones a las bibliotecas pueden evitar vulnerabilidades de seguridad, protegiendo las aplicaciones de IA generativa y manteniendo su integridad.
Con estas características, Defender for Cloud proporciona visibilidad completa de las cargas de trabajo de inteligencia artificial desde el código a la nube.
Detección de agentes de IA (versión preliminar)
Defender for Cloud detecta las cargas de trabajo del agente de IA e identifica los detalles de la BOM de IA de la organización. Esta visibilidad permite identificar y abordar vulnerabilidades y proteger las aplicaciones de agente de IA generativas frente a posibles amenazas.
Importante
Esta característica se encuentra actualmente en versión preliminar e incluye microsoft Defender para CSPM sin costo adicional. Los requisitos de licencias pueden cambiar cuando la característica esté disponible con carácter general. Si se produce un cambio en los precios, la característica se deshabilita automáticamente y recibirá una notificación. Para seguir usando la característica, es posible que necesite una nueva licencia para volver a habilitar la característica.
Defender for Cloud detecta de forma automática y continua los agentes de inteligencia artificial implementados en los siguientes servicios:
- Azure Foundry AI Agents (requiere acceso a Defender for Cloud con el plan CSPM de Defender habilitado)
- Copilot Studio AI Agents (requiere una licencia de Microsoft Defender for Cloud Apps )
Al habilitar el plan CSPM de Defender en su suscripción de Azure, el portal detecta e inventaria automáticamente los agentes de IA implementados con Azure AI Foundry y rellena el inventario de IA con la lista de agentes de IA detectados.
Nota:
Para ver las características en versión preliminar en el portal de Defender, debe habilitar las características en versión preliminar de Microsoft Defender for Cloud en el portal de Defender.
Obtenga información sobre cómo proteger los agentes de INTELIGENCIA ARTIFICIAL (versión preliminar).
Reducir los riesgos para las aplicaciones de IA generativa
Defender CSPM proporciona información contextual sobre la posición de seguridad de la inteligencia artificial de una organización. Puede reducir los riesgos dentro de las cargas de trabajo de inteligencia artificial mediante recomendaciones de seguridad y análisis de rutas de acceso a ataques.
Exploración de riesgos mediante recomendaciones
Defender for Cloud evalúa las cargas de trabajo de inteligencia artificial. Emite recomendaciones sobre la identidad, la seguridad de los datos y la exposición a Internet para ayudarle a identificar y priorizar los problemas de seguridad críticos.
Detectar errores de configuración de IaC
La seguridad de DevOps detecta configuraciones incorrectas de IaC, que pueden exponer aplicaciones de inteligencia artificial generativas a vulnerabilidades de seguridad, como controles de acceso sobreexpuestos o servicios expuestos públicamente involuntariamente. Estos errores de configuración podrían dar lugar a vulneraciones de datos, accesos no autorizados y problemas de cumplimiento, especialmente cuando se controlan normativas estrictas sobre privacidad de datos.
Defender for Cloud evalúa la configuración de las aplicaciones de IA generativas y proporciona recomendaciones de seguridad para mejorar la posición de seguridad de la inteligencia artificial.
Para evitar problemas más complejos más adelante, corrija los errores de configuración detectados en una fase temprana del ciclo de desarrollo.
Las comprobaciones de seguridad actuales de IA de IaC incluyen:
- Usar puntos de conexión privados de servicio de Azure AI
- Restringir puntos de conexión de servicio de Azure AI
- Usar la identidad administrada para cuentas de servicio de Azure AI
- Usar la autenticación basada en identidades para cuentas de servicio de Azure AI
Explorar riesgos con análisis de rutas de acceso de ataque
El análisis de rutas de acceso a ataques detecta y mitiga los riesgos para las cargas de trabajo de inteligencia artificial. Es posible que los datos se expongan durante la puesta en tierra de los modelos de inteligencia artificial a datos específicos y el ajuste preciso de un modelo entrenado previamente en un conjunto de datos específico para mejorar su rendimiento en una tarea relacionada.
Al supervisar continuamente las cargas de trabajo de inteligencia artificial, el análisis de rutas de acceso a ataques puede identificar puntos débiles y posibles vulnerabilidades y realizar un seguimiento de las recomendaciones. Además, se extiende a casos en los que los datos y los recursos de proceso están distribuidos en Azure, AWS y GCP.