Documenti Assistenza

English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Contattaci Inizia gratuitamente

Questa pagina è stata tradotta dall'API Cloud Translation.

Prospettiva di IA e ML: sicurezza

Last reviewed 2024-10-11 UTC

Questo documento della Well-Architected Framework: prospettiva di AI e ML fornisce una panoramica dei principi e dei consigli per garantire che le implementazioni di AI e ML soddisfino i requisiti di sicurezza e conformità della tua organizzazione. I suggerimenti contenuti in questo documento sono in linea con il pilastro della sicurezza del Google Cloud Well-Architected Framework.

Il deployment sicuro dei workload AI e ML è un requisito fondamentale, soprattutto negli ambienti aziendali. Per soddisfare questo requisito, devi adottare un approccio olistico alla sicurezza che inizia dalla concettualizzazione iniziale delle tue soluzioni di AI e ML e si estende a sviluppo, deployment e operazioni continue. Google Cloud offre strumenti e servizi robusti progettati per proteggere i tuoi carichi di lavoro di AI e ML.

Definisci obiettivi e requisiti chiari

È più facile integrare i controlli di sicurezza e conformità richiesti all'inizio del processo di progettazione e sviluppo, piuttosto che aggiungerli dopo lo sviluppo. Fin dall'inizio del processo di progettazione e sviluppo, prendi decisioni appropriate per il tuo ambiente di rischio specifico e per le tue priorità aziendali specifiche.

Prendi in considerazione i seguenti consigli:

Identifica i potenziali vettori di attacco e adotta una prospettiva di sicurezza e conformità fin dall'inizio. Durante la progettazione e l'evoluzione dei tuoi sistemi di AI, tieni traccia della superficie di attacco, dei potenziali rischi e degli obblighi che potresti dover affrontare.
Allinea i tuoi sforzi di sicurezza per AI e ML ai tuoi obiettivi aziendali e assicurati che la sicurezza sia parte integrante della tua strategia complessiva. Comprendere gli effetti delle tue scelte di sicurezza sui tuoi obiettivi commerciali principali.

Mantenere i dati al sicuro e prevenire perdite o gestione errata

I dati sono un asset prezioso e sensibile che deve essere protetto. La sicurezza dei dati ti aiuta a mantenere la fiducia degli utenti, supportare i tuoi obiettivi aziendali e soddisfare i requisiti di conformità.

Prendi in considerazione i seguenti consigli:

Non raccogliere, conservare o utilizzare dati che non sono strettamente necessari per i tuoi obiettivi aziendali. Se possibile, utilizza dati sintetici o completamente anonimizzati.
Monitora la raccolta, l'archiviazione e la trasformazione dei dati. Mantieni i log per tutte le attività di accesso e manipolazione dei dati. I log ti aiutano a controllare l'accesso ai dati, rilevare tentativi di accesso non autorizzati e impedire accessi indesiderati.
Implementa diversi livelli di accesso (ad esempio, nessun accesso, sola lettura o scrittura) in base ai ruoli utente. Assicurati che le autorizzazioni siano assegnate in base al principio del privilegio minimo. Gli utenti devono disporre solo delle autorizzazioni minime necessarie per svolgere le attività del proprio ruolo.
Implementa misure come la crittografia, perimetri sicuri e limitazioni al movimento dei dati. Queste misure ti aiutano a prevenire l'esfiltrazione e la perdita di dati.
Proteggi i tuoi sistemi di addestramento ML dall'inquinamento dei dati.

Mantenere le pipeline di AI sicure e robuste contro la manomissione

Il codice AI e ML e le pipeline definite dal codice sono asset fondamentali. Il codice non protetto può essere manomesso, il che può portare a perdite di dati, mancato rispetto della conformità e interruzione delle attività aziendali critiche. Mantenere sicuro il codice AI e ML contribuisce a garantire l'integrità e il valore dei modelli e degli output dei modelli.

Prendi in considerazione i seguenti consigli:

Utilizza pratiche di codifica sicure, come la gestione delle dipendenze o la convalida e la sanificazione degli input, durante lo sviluppo del modello per prevenire le vulnerabilità.
Proteggi il codice della pipeline e gli artefatti del modello, come file, pesi del modello e specifiche di deployment, da accessi non autorizzati. Implementa livelli di accesso diversi per ogni artefatto in base ai ruoli e alle esigenze degli utenti.
Applica la derivazione e il monitoraggio degli asset e delle esecuzioni della pipeline. Questa applicazione ti aiuta a soddisfare i requisiti di conformità e a evitare di compromettere i sistemi di produzione.

Esegui il deployment su sistemi sicuri con strumenti e artefatti sicuri

Assicurati che il codice e i modelli vengano eseguiti in un ambiente sicuro con un sistema di controllo dell'accesso dell'accesso solido e garanzie di sicurezza per gli strumenti e gli artefatti di cui è stato eseguito il deployment nell'ambiente.

Prendi in considerazione i seguenti consigli:

Addestra ed esegui il deployment dei tuoi modelli in un ambiente sicuro con controlli degli accessi e protezione adeguati contro l'utilizzo o la manipolazione non autorizzati.
Segui le linee guida standard di Supply-chain Levels for Software Artifacts (SLSA) per gli artefatti specifici per l'AI, come modelli e pacchetti software.
Preferisci utilizzare immagini container predefinite convalidate progettate specificamente per i carichi di lavoro di AI.

Proteggere e monitorare gli input

I sistemi di AI hanno bisogno di input per fare previsioni, generare contenuti o automatizzare azioni. Alcuni input potrebbero comportare rischi o essere utilizzati come vettori di attacco che devono essere rilevati e sanificati. Il rilevamento tempestivo di potenziali input dannosi ti aiuta a mantenere i tuoi sistemi AI sicuri e funzionanti come previsto.

Prendi in considerazione i seguenti consigli:

Implementa pratiche sicure per sviluppare e gestire i prompt per i sistemi di AI generativa e assicurati che i prompt vengano esaminati per rilevare intenti dannosi.
Monitora gli input dei sistemi predittivi o generativi per evitare problemi come endpoint sovraccarichi o prompt che i sistemi non sono progettati per gestire.
Assicurati che solo gli utenti previsti di un sistema di cui è stato eseguito il deployment possano utilizzarlo.

Monitorare, valutare e prepararsi a rispondere agli output

I sistemi di AI offrono valore perché producono risultati che aumentano, ottimizzano o automatizzano il processo decisionale umano. Per mantenere l'integrità e l'affidabilità dei tuoi sistemi e delle tue applicazioni di AI, devi assicurarti che gli output siano sicuri e rientrino nei parametri previsti. Devi anche avere un piano per rispondere agli incidenti.

Prendi in considerazione i seguenti consigli:

Monitora gli output dei tuoi modelli di AI e ML in produzione e identifica eventuali problemi di prestazioni, sicurezza e conformità.
Valuta le prestazioni del modello implementando metriche e misure di sicurezza solide, ad esempio identificando risposte generative fuori ambito o output estremi nei modelli predittivi. Raccogli feedback degli utenti sul rendimento del modello.
Implementa solide procedure di avviso e risposta agli incidenti per risolvere eventuali problemi.

Collaboratori

Autori:

Kamilla Kurta | Customer Engineer specializzata in AI generativa/ML
Filipe Gracio, PhD | Customer Engineer
Mohamed Fawzi | Benelux Security and Compliance Lead

Altri collaboratori:

Daniel Lees | Cloud Security Architect
Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
Marwan Al Shawi | Partner Customer Engineer
Wade Holmes | Global Solutions Director

Eccellenza operativa

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2024-10-11 UTC.