Documenti Supporto

English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
日本語
한국어

Contattaci Inizia gratuitamente

Questa pagina è stata tradotta dall'API Cloud Translation.

Prospettiva di AI e ML: sicurezza

Last reviewed 2024-10-11 UTC

Questo documento del Architecture Framework: AI and ML perspective fornisce una panoramica di principi e consigli per garantire che i tuoi implementazioni di IA e ML soddisfino i requisiti di sicurezza e conformità della tua organizzazione. I consigli contenuti in questo documento sono in linea con il pilastro della sicurezza del framework dell'architettura.

Il deployment sicuro dei carichi di lavoro di AI e ML è un requisito fondamentale, in particolare negli ambienti aziendali. Per soddisfare questo requisito, devi adottare un approccio alla sicurezza olistico che parta dalla concettualizzazione iniziale delle tue soluzioni di AI e ML e si estenda allo sviluppo, al deployment e alle operazioni continue. Google Cloud offre strumenti e servizi efficaci progettati per aiutarti a proteggere i tuoi workload di AI e ML.

Definisci obiettivi e requisiti chiari

È più facile integrare i controlli di sicurezza e conformità richiesti all'inizio del processo di progettazione e sviluppo rispetto ad aggiungerli dopo lo sviluppo. Fin dall'inizio del processo di progettazione e sviluppo, prendi decisioni appropriate per il tuo ambiente di rischio specifico e per le tue priorità aziendali specifiche.

Prendi in considerazione i seguenti consigli:

Identifica i potenziali vettori di attacco e adotta fin dall'inizio una prospettiva di sicurezza e conformità. Durante la progettazione e l'evoluzione dei sistemi di AI, tieni traccia della superficie di attacco, dei potenziali rischi e delle obbligazioni che potresti dover affrontare.
Allinea le tue iniziative di sicurezza basate su AI e ML ai tuoi obiettivi commerciali e assicurati che la sicurezza sia parte integrante della tua strategia complessiva. Comprendi gli effetti delle tue scelte di sicurezza sui tuoi obiettivi commerciali principali.

Mantieni i dati al sicuro ed evita la perdita o la gestione errata

I dati sono una risorsa preziosa e sensibile che deve essere protetta. La sicurezza dei dati ti aiuta a mantenere la fiducia degli utenti, a supportare i tuoi obiettivi commerciali e a soddisfare i tuoi requisiti di conformità.

Prendi in considerazione i seguenti consigli:

Non raccogliere, conservare o utilizzare dati non strettamente necessari per i tuoi scopi commerciali. Se possibile, utilizza dati sintetici o completamente anonimizzati.
Monitora la raccolta, lo stoccaggio e la trasformazione dei dati. Gestisci i log per tutte le attività di accesso e manipolazione dei dati. I log ti aiutano a controllare l'accesso ai dati, a rilevare tentativi di accesso non autorizzati e a impedire accessi nieposizi.
Implementa diversi livelli di accesso (ad esempio senza accesso, sola lettura o scrittura) in base ai ruoli utente. Assicurati che le autorizzazioni vengano assegnate in base al principio del privilegio minimo. Gli utenti devono disporre solo delle autorizzazioni minime necessarie per svolgere le attività del loro ruolo.
Implementa misure come crittografia, perimetri sicuri e limitazioni allo spostamento dei dati. Queste misure ti aiutano a prevenire l'esfiltrazione e la perdita di dati.
Proteggi i tuoi sistemi di addestramento ML dall'inquinamento dei dati.

Mantenere le pipeline di IA sicure e resistenti alla manomissione

Il codice di IA e ML e le pipeline definite dal codice sono asset critici. Il codice non protetto può essere manomesso, il che può comportare fughe di dati, mancata conformità e interruzione di attività aziendali critiche. Mantenere al sicuro il codice di AI e ML contribuisce a garantire l'integrità e il valore dei modelli e degli output dei modelli.

Prendi in considerazione i seguenti consigli:

Utilizza pratiche di codifica sicura, come la gestione delle dipendenze o la convalida e la sanitizzazione degli input, durante lo sviluppo del modello per evitare vulnerabilità.
Proteggi il codice della pipeline e gli elementi del modello, come file, pesi del modello e specifiche di implementazione, da accessi non autorizzati. Implementa livelli di accesso diversi per ogni elemento in base ai ruoli e alle esigenze degli utenti.
Applica la concatenazione e il monitoraggio degli asset e delle esecuzioni della pipeline. Questa applicazione ti aiuta a soddisfare i requisiti di conformità ed evitare di compromettere i sistemi di produzione.

Esegui il deployment su sistemi sicuri con strumenti e elementi sicuri

Assicurati che il codice e i modelli vengano eseguiti in un ambiente sicuro con un sistema di controllo dell'accesso dell'accesso solido con garanzie di sicurezza per gli strumenti e gli elementi di cui viene eseguito il deployment nell'ambiente.

Prendi in considerazione i seguenti consigli:

Addestrare ed eseguire il deployment dei modelli in un ambiente sicuro con controlli di accesso appropriati e protezione da uso o manipolazione non autorizzati.
Segui le linee guida standard Supply-chain Levels for Software Artifacts (SLSA) per gli elementi specifici dell'AI, come modelli e pacchetti software.
Preferisci utilizzare immagini container predefinite convalidate progettate appositamente per i carichi di lavoro di AI.

Proteggere e monitorare gli input

I sistemi di AI hanno bisogno di input per fare previsioni, generare contenuti o automatizzare le azioni. Alcuni input potrebbero comportare rischi o essere utilizzati come vettori di attacco che devono essere rilevati e sottoposti a sanificazione. Rilevare tempestivamente potenziali input dannosi ti aiuta a mantenere i tuoi sistemi di AI sicuri e operativi come previsto.

Prendi in considerazione i seguenti consigli:

Implementa pratiche sicure per sviluppare e gestire i prompt per i sistemi di AI generativa e assicurati che i prompt vengano sottoposti a screening per rilevare intenti dannosi.
Monitora gli input ai sistemi predittivi o generativi per evitare problemi come endpoint sovraccaricati o prompt che i sistemi non sono progettati per gestire.
Assicurati che solo gli utenti previsti di un sistema di cui è stato eseguito il deployment possano utilizzarlo.

Monitora, valuta e preparati a rispondere agli output

I sistemi di AI generano valore perché producono output che migliorano, ottimizzano o automatizzano il processo decisionale umano. Per mantenere l'integrità e l'affidabilità delle applicazioni e dei sistemi di AI, devi assicurarti che le uscite siano sicure e rientrino nei parametri previsti. Inoltre, devi avere un piano per rispondere agli incidenti.

Prendi in considerazione i seguenti consigli:

Monitora gli output dei tuoi modelli di AI e ML in produzione e identifica eventuali problemi di prestazioni, sicurezza e conformità.
Valuta le prestazioni del modello implementando metriche e misure di sicurezza solide, ad esempio identificando risposte generative estranee all'ambito o output estremi nei modelli predittivi. Raccogli il feedback degli utenti sul rendimento del modello.
Implementa procedure di avviso e risposta agli incidenti efficaci per risolvere eventuali potenziali problemi.

Collaboratori

Autori:

Kamilla Kurta | Customer Engineer esperto di IA generativa/ML
Filipe Gracio, PhD | Customer Engineer
Mohamed Fawzi | Benelux Security and Compliance Lead

Altri collaboratori:

Daniel Lees | Cloud Security Architect
Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
Marwan Al Shawi | Partner Customer Engineer
Wade Holmes | Global Solutions Director

Eccellenza operativa

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2024-10-11 UTC.