Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le plan CSPM (Defender Cloud Security Posture Management) dans Microsoft Defender pour Cloud sécurise les environnements cloud intégrés, multiclouds ou hybrides. Ces environnements incluent Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), et Vertex AI. Le plan CSPM Defender sécurise les applications d’IA générative et les agents IA (préversion) tout au long de leur cycle de vie.
Defender pour le cloud réduit les risques liés aux charges de travail IA dans le cloud en :
- Découverte de la nomenclature d’IA générative (AI BOM), qui inclut des composants applicatifs, des données et des artefacts d'IA, du code au cloud.
- Renforçant la posture de sécurité des applications IA générative avec des recommandations intégrées et en explorant et corrigeant les risques de sécurité.
- Utilisant l’analyse du chemin d’attaque pour identifier et corriger les risques.
Important
Pour activer les fonctionnalités de gestion de la posture de sécurité de l'IA sur un compte AWS :
- Est connecté à votre compte Azure.
- Pour lequel Defender CSPM est activé.
- Dispose d’un type d’autorisations défini en tant qu’accès avec privilège minimum.
Vous devez reconfigurer les autorisations sur ce connecteur pour activer les autorisations appropriées en procédant comme suit :
- Dans le portail Azure, accédez à la page Paramètres de l’environnement et sélectionnez le connecteur AWS approprié.
- Sélectionnez Configurer l’accès.
- Vérifiez que le type d’autorisations est défini sur Accès avec privilège minimum.
- Suivez les étapes 7 à 11 pour terminer la configuration.
Découvrir les applications IA générative
Defender pour le cloud découvre les charges de travail IA et identifie les détails de BOM IA de votre organisation. Cette visibilité vous permet d’identifier et de résoudre les vulnérabilités et de protéger les applications d'IA générative contre les menaces potentielles.
Defender pour le cloud découvre automatiquement et en permanence les charges de travail IA déployées dans les services suivants :
- Azure OpenAI Service
- Fonderie Azure AI
- Azure Machine Learning
- Amazon Bedrock
- Google Vertex AI
Defender pour le cloud peut également découvrir des vulnérabilités dans les dépendances de bibliothèque d’IA générative telles que TensorFlow, PyTorch et Langchain, en analysant le code source à la recherche des défauts de configuration de l’infrastructure en tant que code (IaC) et les images conteneur à la recherche de vulnérabilités. La mise à jour ou la mise à jour corrective régulière des bibliothèques peut empêcher les attaques, protéger les applications IA générative et maintenir leur intégrité.
Avec ces fonctionnalités, Defender pour le cloud offre une visibilité complète des charges de travail IA du code au cloud.
Découvrir des agents IA (aperçu)
Defender pour Cloud découvre les charges de travail de l’agent IA et identifie les détails du boM IA de votre organisation. Cette visibilité vous permet d’identifier et de résoudre les vulnérabilités et de protéger les applications d’agent IA génératives contre les menaces potentielles.
Important
Cette fonctionnalité est actuellement en préversion et incluse avec votre Microsoft Defender pour CSPM sans frais supplémentaires. Les exigences en matière de licences pourraient changer lorsque la fonctionnalité deviendra généralement disponible. Si une modification de la tarification se produit, la fonctionnalité est automatiquement désactivée et vous recevrez une notification. Pour continuer à utiliser la fonctionnalité, vous aurez peut-être besoin d’une nouvelle licence pour réactiver la fonctionnalité.
Defender pour Cloud découvre automatiquement et en continu les agents IA déployés dans les services suivants :
- Agents IA de Azure Foundry (nécessite l’accès à Defender pour le cloud avec l'activation du plan CSPM Defender)
- Copilot Studio AI Agents (nécessite une licence Microsoft Defender pour Cloud Apps )
Lorsque vous activez le plan CSPM Defender sur votre abonnement Azure, le portail découvre et inventorie automatiquement les agents IA déployés avec Azure AI Foundry et remplit l’inventaire IA avec la liste des agents IA détectés.
Note
Pour afficher les fonctionnalités d’aperçu dans le portail Defender, vous devez activer les fonctionnalités de la préversion de Microsoft Defender pour cloud dans le portail Defender.
Découvrez comment protéger vos agents IA (aperçu).
Réduire les risques pour les applications d'IA générative
CSPM Defender fournit des insights contextuels sur la posture de sécurité de l'IA dans votre organisation. Vous pouvez réduire les risques au sein de vos charges de travail IA à l’aide des recommandations de sécurité et de l’analyse des chemins d’accès aux attaques.
Explorer les risques à l’aide de recommandations
Defender pour le cloud évalue les charges de travail IA. Il émet des recommandations sur l’identité, la sécurité des données et l’exposition à Internet pour vous aider à identifier et hiérarchiser les problèmes de sécurité critiques.
Détecter les erreurs de configuration de l’IaC
La sécurité DevOps détecte les mauvaises configurations IaC, qui peuvent exposer des applications d'IA générative aux vulnérabilités de sécurité, telles que des contrôles d'accès trop exposés ou des services involontairement exposés au public. Ces erreurs de configuration peuvent entraîner des violations de données, des accès non autorisés et des problèmes de conformité, en particulier lors de la gestion de réglementations strictes en matière de confidentialité des données.
Defender pour Cloud évalue votre configuration d’applications IA génératives et fournit des recommandations de sécurité pour améliorer votre posture de sécurité IA.
Pour éviter des problèmes plus tard, corrigez les défauts de configuration détectés dès le début du cycle de développement.
Les vérifications de sécurité IaC actuelles sont les suivantes :
- Utiliser des points de terminaison privés Azure AI Service
- Restreindre les points de terminaison Azure AI Service
- Utiliser l’identité managée pour les comptes Azure AI Service
- Utiliser l’authentification basée sur l’identité pour les comptes Azure AI Service
Explorer les risques avec l’analyse des chemins d’attaque
L’analyse du chemin d’attaque détecte et atténue les risques liés aux charges de travail IA. Les données peuvent être exposées pendant la mise au point de modèles IA à des données spécifiques et au réglage précis d’un modèle préentraîné sur un jeu de données spécifique afin d’améliorer ses performances sur une tâche associée.
En surveillant en continu les charges de travail d’IA, l’analyse du chemin d’attaque peut identifier les faiblesses et les vulnérabilités potentielles et suivre les recommandations. En outre, il s’étend aux cas où les données et les ressources de calcul sont distribuées dans Azure, AWS et GCP.