조직이 다양한 용량에서 GenAI에 적극적으로 참여하거나 실험함에 따라 GenAI(생성 AI)는 전례 없는 속도로 채택되고 있습니다. 보안 팀은 조직 내에서 AI 사용에 대한 가시성을 사전에 확보하고 해당 컨트롤을 구현하여 위험을 보다 효과적으로 완화하고 관리할 수 있습니다. 이 문서에서는 중요한 데이터에 대한 위험을 평가하는 등 조직 내에서 AI 앱 사용을 검색하는 방법을 설명합니다.
이 문서는 시리즈의 두 번째 문서입니다. 이 문서를 사용하기 전에 이 문서에 규정된 기능을 사용하여 환경을 준비하기 위한 AI 보안 준비 의 작업을 수행해야 합니다.
Microsoft는 사용자가 빌드하고 사용하는 AI에 대한 데이터, 액세스, 사용자 및 애플리케이션 위험을 파악하는 데 도움이 되는 도구를 제공합니다. 이러한 기능은 AI에 대한 강력한 보안 태세를 구축하는 동안 취약성을 사전에 해결하는 데 도움이 됩니다.
다음 표에서는 그림에 대해 설명하고 이러한 기능을 구현하는 단계를 안내합니다.
| 단계 | 과업 | 범위 |
|---|---|---|
| 1 | Microsoft Entra 에이전트 ID를 사용하여 Microsoft Copilot Studio 및 Azure AI Foundry에서 만든 모든 에이전트 ID를 파악합니다. | Microsoft Copilot Studio 및 Azure AI Foundry에서 만든 에이전트 |
| 2 | AI용 Microsoft Purview DSPM(Data Security Posture Management)을 사용하여 AI 사용에 대한 가시성을 확보합니다. 정책을 적용하여 중요한 데이터를 보호합니다. | 지원되는 AI 사이트를 포함하여 타사 LLM(대규모 언어 모듈)을 사용하는 부조종사, 에이전트 및 기타 AI 앱 |
| 3 | Microsoft Defender for Cloud Apps를 사용하여 AI 앱 검색, 제재 및 차단 | SaaS AI 앱 |
| 4 | 사용자 환경에서 배포된 AI 워크로드를 검색하고 CSPM(Microsoft Defender for Cloud Security Posture Management)을 사용하여 보안 인사이트를 얻습니다. | 사용자 지정 빌드 Azure AI 기반 AI 애플리케이션 |
1단계 - Entra 에이전트 ID를 사용하여 에이전트에 대한 가시성 확보(미리 보기)
조직에서 AI 에이전트를 빌드하고 채택함에 따라 이러한 비인간 행위자를 추적하는 것은 어렵습니다. 이러한 에이전트를 강력하게 만드는 것은 복잡한 작업을 자율적으로 처리하고 가상 팀원처럼 행동하는 능력이기도 합니다. 따라서 에이전트 ID를 추적하고, 수명 주기 및 권한을 관리하고, 조직의 리소스에 대한 액세스를 신중하게 보호하는 것이 중요합니다.
Microsoft Entra 에이전트 ID(미리 보기)는 Microsoft Copilot Studio 및 Azure AI Foundry에서 만든 모든 에이전트 ID의 통합 디렉터리를 제공합니다. 이는 조직에서 빠르게 증가하는 에이전트의 가시성, 보호 및 거버넌스를 제공하는 첫 번째 단계입니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 조직의 모든 에이전트 보기 | Microsoft Entra 관리 센터에 로그인하고 엔터프라이즈 애플리케이션으로 이동합니다. 목록 보기의 맨 위에 있는 필터 막대에서 애플리케이션 유형 드롭다운을 에이전트 ID(미리 보기)로 설정합니다. 엔터프라이즈 애플리케이션 목록은 즉시 축소되어 테넌트에 등록된 AI 에이전트(Copilot Studio 또는 Azure AI Foundry를 통해 생성됨)를 표시합니다. |
| 이 블로그를 검토하여 자세히 알아보기 | Microsoft Entra 에이전트 ID 발표: AI 에이전트 보안 및 관리 |
2단계 - AI용 DSPM(Data Security Posture Management)을 사용하여 AI 사용량에 대한 가시성 확보
AI용 Microsoft Purview DSPM(Data Security Posture Management)은 조직에서 AI를 사용하는 방법, 특히 데이터가 AI 도구와 상호 작용하는 방식에 중점을 둡니다. 생성적 AI 사이트와 함께 작동합니다. AI용 DSPM은 Microsoft Copilots 및 ChatGPT Enterprise 및 Google Gemini와 같은 타사 SaaS 애플리케이션에 대한 심층적인 인사이트를 제공합니다.
다음 다이어그램에서는 AI 사용이 데이터에 미치는 영향(생성 AI 앱당 중요한 상호 작용)에 대한 집계된 뷰 중 하나를 보여 줍니다.
AI용 DSPM은 생산성과 보호 중에서 선택할 필요 없이 AI를 안전하게 채택하는 데 도움이 되는 일련의 기능을 제공합니다.
- 귀하의 조직 AI 활동에 대한 인사이트 및 분석
- AI 프롬프트에서 데이터를 보호하고 데이터 손실을 방지하기 위한 즉시 사용 가능한 정책
- 데이터의 잠재적 과잉 공유를 식별, 수정 및 모니터링하기 위한 데이터 위험 평가
- 귀하의 테넌트에서 데이터에 기반한 권장 작업
- 최적의 데이터 처리 및 저장 정책을 적용하는 규정 준수 제어
타사 AI 사이트와의 상호 작용을 모니터링하려면 디바이스를 Microsoft Purview에 온보딩해야 합니다. AI 보안 준비의 지침을 따른 경우 Microsoft Intune을 사용하여 관리에 디바이스를 등록한 다음, 이러한 디바이스를 엔드포인트용 Defender에 온보딩했습니다. 디바이스 온보딩은 Microsoft 365(Microsoft Purview 포함) 및 MDE(엔드포인트용 Microsoft Defender)에서 공유됩니다.
다음 리소스를 사용하여 AI용 DSPM을 사용하여 AI 앱 및 데이터를 검색합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 디바이스가 Microsoft Purview에 온보딩되었는지 확인합니다. | 디바이스가 엔드포인트용 Defender에 아직 온보딩되지 않은 경우 여러 가지 방법으로 디바이스를 온보딩할 수 있습니다. Windows 디바이스를 Microsoft 365에 온보딩하세요. |
| 필수 구성 요소 및 AI용 DSPM의 작동 방식 이해 | MICROSOFT Purview Data Security Posture Management for AI를 배포하기 위한 고려 사항 |
| AI용 DSPM 사용 시작 | AI용 데이터 보안 상태 관리를 사용하는 방법 |
| 지원되는 AI 사이트 검토 | 데이터 보안 및 규정 준수 보호를 위해 Microsoft Purview에서 지원하는 AI 사이트 |
3단계 - Microsoft Defender for Cloud Apps를 사용하여 AI 앱 검색, 제재 및 차단
Microsoft Defender for Cloud Apps를 사용하면 보안 팀이 SaaS GenAI 앱 및 사용량을 검색할 수 있습니다.
Defender for Cloud Apps 앱 카탈로그에는 Microsoft Bing Chat, Google Bard, ChatGPT 등과 같은 LLM(대규모 언어 모델) 앱에 대한 생성 AI 범주가 포함되어 있습니다. Defender for Cloud Apps는 1,000개 이상의 생성 AI 관련 앱을 카탈로그에 추가하여 조직에서 생성 AI 앱이 사용되는 방식을 파악하고 안전하게 관리할 수 있도록 지원합니다.
Defender for Cloud Apps를 사용하면 다음을 수행할 수 있습니다.
- 생성 AI 앱에 대한 필터 적용
- 조직에서 사용되는 AI 앱 검색
- 보안 및 규정 준수 전반에 걸친 90개 이상의 위험 요소를 포함하여 각 앱에 대한 기본 위험 평가 보기
- 특정 앱의 사용 권한 또는 사용 허가 취소(차단)
- 위험 점수, 일일 사용자 수 등을 포함하여 설정한 기준에 따라 AI 앱을 계속 검색하는 정책을 만듭니다. 조건을 충족하는 앱을 자동으로 취소할 수도 있습니다.
다음 단계를 위해 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| Cloud Apps용 Defender 파일럿 및 배포 | Cloud Apps용 Microsoft Defender를 파일럿하고 배포하려면 어떻게 해야 하나요? |
| 이 비디오 자습서 검토 | Defender for Cloud Apps를 사용하여 환경 내에서 사용되는 생성 AI 앱을 발견하세요 |
| 검색된 앱 보기 | 클라우드 검색 대시보드를 사용하여 검색된 앱 보기 |
| 클라우드 앱 찾기 및 위험 점수 계산 | 클라우드 앱 카탈로그 및 위험 점수 - Microsoft Defender for Cloud Apps |
| 검색된 앱 관리 | 검색된 앱 관리 - Microsoft Defender for Cloud Apps |
4단계 - 사용자 환경에서 배포된 AI 워크로드를 검색하고 클라우드용 Microsoft Defender를 사용하여 보안 인사이트를 얻습니다.
클라우드용 Microsoft Defender의 Defender CSPM(Cloud Security Posture Management) 계획은 사용자 환경에 기본 제공되는 AI 앱 검색부터 AI 보안 태세 관리 기능을 제공합니다.
- Code to Cloud의 애플리케이션 구성 요소, 데이터, AI 아티팩트를 포함하는 생성형 AI BOM(AI 제품 구성 정보)을 발견합니다.
- 기본 제공된 권장 사항을 사용하고 보안 위험을 탐색 및 수정하여 생성형 AI 애플리케이션 보안 태세를 강화합니다.
- 공격 경로 분석을 사용하여 위험을 식별하고 수정합니다.
클라우드 보안 탐색기를 사용하여 사용자 환경에서 실행되는 생성 AI 워크로드 및 모델을 식별합니다. 클라우드 보안 탐색기에는 미리 구성된 쿼리가 포함됩니다.
- 사용 중인 AI 워크로드 및 모델
- Azure OpenAI를 관리하는 취약한 생성 AI 코드 리포지토리
- 알려진 생성 AI 취약성이 있는 컨테이너 이미지를 실행하는 컨테이너입니다.
사용자 고유의 쿼리를 구성할 수도 있습니다.
다음 단계를 위해 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| AI 보안 상태 관리에 대해 알아보기 | Defender for Cloud를 사용하여 AI 보안 상태 관리 |
| AI 워크로드 검색 | 사용 중인 AI 워크로드 및 모델 |
| 배포 전 생성 AI 아티팩트의 위험 살펴보기 | 배포 전 생성 AI 아티팩트에 대한 위험 |
AI 보안을 위한 다음 단계
조직에서 AI 사용량을 검색한 후 다음 단계는 보호를 적용하는 것입니다.
- AI 앱에 사용되는 중요한 데이터 보호
- 특히 AI 사용을 위한 위협 방지 구현
이 시리즈의 다음 문서를 참조하세요. AI 앱을 사용하는 동안 조직을 보호하려면 어떻게 해야 하나요?