為 AI 建立安全的零信任基礎

AI 正在轉換企業在混合式和遠端工作時代中的運作與創新方式。這也帶來新的挑戰和風險，特別是涉及資料安全性和隱私權時。當企業嘗試 創新並支援 員工時，他們也需要足以保護寶貴資訊的能力。零信任是一種安全性架構，可適應現代化工作場所，以更加強保護員工和其裝置。零信任也會提供 AI 技術的保護，可實作以強化安全性。

受管理的資料為 AI 模型提供動力，此模型仰賴大量資訊來學習、分析及產生深入見解。對安全資料的需求使其成為易受攻擊的資產，必須受到保護，避免未經授權的存取、濫用和竊取。任何安全性缺口，例如端點、身分識別、應用程式、基礎結構、網路，都可能會給企業帶來嚴重後果，例如名譽損害、法務責任和喪失信任。

採用零信任安全性架構，企業可以保護他們的存取權，同時提供員工完成工作所需的資源。零信任遵循三個基本原則：

1.     明確地驗證。在授予資料和資源的存取權之前，零信任需要持續驗證身分識別與權限。
2.     使用最低權限存取權。使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA) 風險型自適性原則限制使用者存取。
3.     假設有缺口。如果發生問題，立即透過分段存取將任何潛在威脅最小化，然後使用分析找出問題並強化防禦。

無論儲存、處理或存取敏感性資訊的位置為何，零信任安全性可確保敏感性資訊持續受到保護，這也就是為何其對於 AI 採用至關重要。隨著組織使用 AI，擁有安全性模型以持續保護組織中最有價值的資產，可協助推動創新並更具生產力。

除了更強大的安全性措施外，零信任原則也可以應用至 AI 實作：

擁有正確、完整且一致的資訊非常重要，因為這些會決定 AI 輸出的品質。如果發生操縱或竄改應用程式權限或受控資料，就會導致損壞，這會造成 AI 工具產生不正確、不可靠或偏差的結果。零信任可在整個身分識別生命週期中封鎖未經授權的存取，以保護資料完整性。

存取控制對於防止未經授權和不當使用 AI，以及通知問題的資料至關重要。零信任策略會強制執行最低權限原則來加強這些控制，防止員工存取任何敏感性資料、應用程式、端點或身分識別，避免 AI 遭惡意使用。

就像任何現代技術一樣，AI 容易受到入侵和網路攻擊，特別是遠端裝置。安全性威脅可能會危害受控資料、端點和網路的機密性和可用性，對員工和客戶的隱私和安全有重大影響。零信任可透過多重要素驗證和同步識別碼，在員工使用的每部裝置上增強安全性。

零信任安全性並非特定產品或解決方案。這是一組原則、做法和技術，可共同達成高安全性，以保護每個應用程式、資料來源、端點、基礎結構和任何類型的環境，無論您的組織是雲端式、內部部署或混合式。

若要在零信任中建立和維護強大基礎，企業應包含下列重要的安全性功能：

零信任安全性的第一個原則要求在授予存取權之前，先明確驗證所有身分識別和裝置。信任一律不會永久假設或授予，使其具有動態和情境化，這表示信任可以根據情況、位置、時間或裝置而變更。

最低權限只會授予特定工作或角色所需的最低存取層級。此原則將資料、基礎結構、網路資源、應用程式或端點僅提供給有需要的人，有助於減少受攻擊面和任何可能的安全性缺口損害。這也實施了職責分離和必要知悉的資訊，以防止特定員工存取高度敏感性資訊。

零信任安全性根據資料、應用程式、角色和商務功能的敏感度，將網路和基礎結構分成較小區域或區段。此措施會進行隔離並保護，避免未經授權或惡意的存取，並限制區段之間的移動和通訊，以控制並限制安全性缺口的擴張。微分段也可協助改善網路效能和可見度，因為它可減少壅塞，並允許更廣泛的監控和控制。

此功能可讓安全性小組監控網路和基礎結構，找出任何異常或可疑行為，並立即採取行動以隔離或降低風險。即時威脅偵測和回應可減少安全性缺口的影響，同時找出根本原因並解決。即時威脅偵測也可以透過促進持續適應和韌性的可付諸行動意見反應，協助改善組織的安全性態勢。

在零信任中建立安全基礎並非一次性專案，而是需要策略性願景、全面方法和文化轉變的持續旅程。

這些步驟為組織提供廣泛路徑，以評估目前情況、未來願景，以及如何達成他們的安全性目標：

第一個步驟是評估您現有的安全性措施、找出強項和弱點，並判斷任何差距和潛在風險。稽核可協助您了解目前的安全性態勢，並排定您優先考慮的動作，以配置相應的資源。

識別任何可能對業務營運造成重大傷害的端點、應用程式、基礎結構、網路、數據和資源，避免遺失或遭到入侵。根據值、敏感度和影響來分類每個資產。識別重要資產可讓您專注於保護最重要的專案。

建立並記錄特定規則和原則，以規範您的防禦區域。這些原則應該以零信任的三個主要原則為基礎：明確驗證、最低權限，以及假設安全性缺口。這些規則並非不可更改，但會為未來打下基礎。

部署制定和支援零信任政策的技術，例如身分識別與存取權管理、資料加密和雜湊、網路分割和隔離、威脅偵測和回應，以及安全性分析和情報。這些解決方案應整合並符合您的業務流程、系統、作業和目標。

一旦技術各就各位，請教育您的員工有關零信任安全性的重要性和優點，以及他們在實作和維護技術方面的角色與責任。員工訓練和認知可協助培養增強的安全性和信任文化，並提升員工參與度和合規性。此訓練也可以協助防止或減少人為錯誤，這是安全性缺口的常見原因。

現在一切已啟動並執行，請規劃時間來評估您的安全性績效、找出問題，並尋找改善機會。持續監控可協助維持和增強您的安全性狀態，並隨著威脅情況隨時間變化而更具韌性。

採用零信任基礎也可以為 AI 和您的業務提供關鍵優點：

零信任安全性可確保網路、身分、端點、應用程式、資料到 AI 工具等一切都能受到保護、驗證和監控。以負責的方式使用技術，取得客戶和合作夥伴的安全 AI 溝通信任和可信度。

零信任架構可協助您符合及達成資料安全性和隱私權的法規需求和標準，例如一般資料保護規定 (GDPR_、加州消費者隱私法 (CCPA) 或健康保險流通與責任法案 (HIPAA)。零信任架構也可協助您準備及回應最新和不斷演進的 AI 道德和治理，例如來自歐盟的人工智慧法 (AI Act) 或來自 OECD 的 AI 原則。

藉由將"永不信任，始終驗證"應用至您的資料，您才能讓經授權的員工基於合法目的來取得資料隱私權，以增強 AI 使用的資料隱私權。此原則也可協助您尊重及保護資料主體 (例如客戶、員工或合作夥伴) 的權利和喜好設定，因為它提供資料的透明度、控制和使用同意。

此功能可讓安全性小組監控網路和基礎結構，找出任何異常或可疑行為，並立即採取行動以隔離或降低風險。即時威脅偵測和回應可減少安全性缺口的影響，同時找出根本原因並解決。即時威脅偵測也可以透過促進持續適應和韌性的可付諸行動意見反應，協助改善組織的安全性態勢。

探索具有強大零信任基礎協助 AI 整合和安全性方式的實際使用案例

零信任可協助保護專屬 AI 演算法、訓練的 AI 模型和 AI 智慧財產。其也可以防止未經授權或惡意的存取、修改或竊取，讓他們的完整性和真實性不受影響。 

• 案例： 雜湊您的 AI 程式碼、隔離特殊 AI 環境，以及確定您的 AI 開發人員只有適當的存取權，以在研究與開發中保護您的 AI 演算法。

AI 資料管線包含允許從收集到分析的資料流的流程和系統。零信任會在整個生命週期中持續保護、驗證和監控資料，並確保資料的品質與正確性持續受到維護。 

• 案例： 追蹤和驗證每個 IoT 裝置、加密傳輸中和待用的資料，以及分段網路區域以限制雙向通訊，以保護您從 IoT 裝置到雲端平台的所有資料流。

AI 治理會提供架構和流程，確保您的 AI 使用是符合道德、負責任的。零信任安全性可協助監控和稽核 AI 存取和活動，以維持符合您公司政策與法規的規範。

• 案例：持續驗證任何使用 AI 和其裝置的人、加密和雜湊您的 AI 輸出和記錄，以及實作即時威脅偵測和回應，以監控 AI 績效和行為。

在零信任中建立考慮到 AI 的基礎，可建立有效適應現代環境複雜度的模型、使用混合式和遠端工作，並隨隨時隨地更有效地保護員工、他們的裝置、應用程式和資料。它可讓企業帶著自信利用 AI 技術、創造新價值，並賦予他們創新和保護未來的能力。

零信任和 AI 彼此互補。隨著組織持續採用和使用 AI，他們需要零信任原則來保護投資。同樣地，隨著組織的安全性狀態變得更複雜且動態，實作 AI 以自動化特定功能可以減輕 IT 團隊的負擔，以便專注於更重要的工作。

為 AI 建立安全的零信任基礎對於有效率且安全的 AI 體驗至關重要。零信任基礎可協助企業保護其網路、端點、應用程式、身分識別、資料和基礎結構、增強 AI 績效，以及降低 AI 風險。零信任也可協助企業在 AI 系統中建立信任和信賴、改善法規合規性，以及增強企業的資料隱私權。

請瀏覽 Microsoft 零信任指引中心，以深入了解如何為 AI 建立安全的零信任基礎。