KI und ML – Sicherheit

Dieses Dokument im Well-Architected Framework: AI & ML Perspective bietet einen Überblick über Prinzipien und Empfehlungen, mit denen Sie sicherstellen können, dass Ihre KI- und ML-Bereitstellungen die Sicherheits- und Complianceanforderungen Ihrer Organisation erfüllen. Die Empfehlungen in diesem Dokument stimmen mit der Sicherheitssäule des Google Cloud Well-Architected Framework überein.

Die sichere Bereitstellung von KI- und ML-Arbeitslasten ist eine wichtige Anforderung, insbesondere in Unternehmensumgebungen. Um diese Anforderung zu erfüllen, müssen Sie einen ganzheitlichen Sicherheitsansatz verfolgen, der bei der ersten Konzeption Ihrer KI- und ML-Lösungen beginnt und sich auf Entwicklung, Bereitstellung und laufenden Betrieb erstreckt. Google Cloud bietet robuste Tools und Dienste, die Ihnen helfen, Ihre KI- und ML-Arbeitslasten zu schützen.

Die Empfehlungen in diesem Dokument sind den folgenden Grundsätzen zugeordnet:

Weitere Informationen zur KI-Sicherheit finden Sie in den folgenden Ressourcen:

  • Das Secure AI Framework (SAIF) vonGoogle Cloud bietet einen umfassenden Leitfaden für die Entwicklung sicherer und verantwortungsbewusster KI-Systeme. Es werden wichtige Grundsätze und Best Practices für die Berücksichtigung von Sicherheits- und Compliance-Aspekten während des gesamten KI-Lebenszyklus beschrieben.
  • Weitere Informationen zum Ansatz von Google Cloudin Bezug auf Vertrauen in KI finden Sie in unserem Center für Compliance-Ressourcen.

Klare Ziele und Anforderungen definieren

Eine effektive Sicherheit für KI und ML ist ein wichtiger Bestandteil Ihrer übergeordneten Geschäftsstrategie. Es ist einfacher, die erforderlichen Sicherheits- und Compliance-Kontrollen frühzeitig in Ihren Design- und Entwicklungsprozess zu integrieren, anstatt sie nach der Entwicklung hinzuzufügen.

Treffen Sie von Beginn Ihres Design- und Entwicklungsprozesses an Entscheidungen, die für Ihre spezifische Risikoumgebung und Ihre spezifischen Geschäftsprioritäten angemessen sind. Beispielsweise können zu restriktive Sicherheitsmaßnahmen zwar Daten schützen, aber auch Innovationen behindern und Entwicklungszyklen verlangsamen. Ein Mangel an Sicherheit kann jedoch zu Datenpannen, Reputationsschäden und finanziellen Verlusten führen, was sich negativ auf die Geschäftsziele auswirkt.

Berücksichtigen Sie die folgenden Empfehlungen, um klare Ziele und Anforderungen zu definieren.

KI- und ML-Sicherheit auf Geschäftsziele abstimmen

Um Ihre Sicherheitsmaßnahmen für KI und ML an Ihren Geschäftszielen auszurichten, sollten Sie einen strategischen Ansatz verfolgen, bei dem die Sicherheit in jede Phase des KI-Lebenszyklus integriert wird. Gehen Sie folgendermaßen vor, um diesen Ansatz zu verfolgen:

  1. Klare Geschäftsziele und Sicherheitsanforderungen definieren:

    • Wichtige Geschäftsziele festlegen: Definieren Sie klare Geschäftsziele, die mit Ihren KI- und ML-Initiativen erreicht werden sollen. Ihre Ziele könnten beispielsweise darin bestehen, das Kundenerlebnis zu verbessern, Abläufe zu optimieren oder neue Produkte zu entwickeln.
    • Ziele in Sicherheitsanforderungen umwandeln: Wenn Sie Ihre Geschäftsziele klar definieren, legen Sie spezifische Sicherheitsanforderungen fest, die diese Ziele unterstützen. Ein Beispiel: Ihr Ziel könnte sein, KI zu verwenden, um Kundenempfehlungen zu personalisieren. Um dieses Ziel zu erreichen, müssen Sie möglicherweise die Datenschutzbestimmungen für Kundendaten einhalten und unbefugten Zugriff auf Empfehlungsalgorithmen verhindern.

  2. Sicherheit und geschäftliche Anforderungen in Einklang bringen:

    • Risikobewertungen durchführen: Ermitteln Sie potenzielle Sicherheitsbedrohungen und ‑lücken in Ihren KI-Systemen.
    • Sicherheitsmaßnahmen priorisieren: Die Priorität dieser Sicherheitsmaßnahmen richtet sich nach ihren potenziellen Auswirkungen auf Ihre Geschäftsziele.
    • Kosten und Nutzen analysieren: Investieren Sie in die effektivsten Lösungen. Berücksichtigen Sie die Kosten und Vorteile verschiedener Sicherheitsmaßnahmen.
    • Shift Left für Sicherheit: Implementieren Sie Best Practices für die Sicherheit frühzeitig in der Designphase und passen Sie Ihre Sicherheitsmaßnahmen an, wenn sich die Geschäftsanforderungen ändern und neue Bedrohungen auftreten.

Potenzielle Angriffsvektoren und Risiken identifizieren

Berücksichtigen Sie potenzielle Angriffsvektoren, die sich auf Ihre KI-Systeme auswirken könnten, z. B. Data Poisoning, Modellinversion oder Adversarial Attacks. Überwachen und bewerten Sie die sich entwickelnde Angriffsfläche kontinuierlich, während sich Ihr KI-System weiterentwickelt, und behalten Sie neue Bedrohungen und Sicherheitslücken im Blick. Denken Sie daran, dass Änderungen an Ihren KI-Systemen auch Änderungen an der Angriffsfläche mit sich bringen können.

Um potenzielle rechtliche und Reputationsrisiken zu minimieren, müssen Sie auch Compliance-Anforderungen in Bezug auf Datenschutz, algorithmische Verzerrungen und andere relevante Bestimmungen berücksichtigen.

Um potenzielle Bedrohungen und Sicherheitslücken frühzeitig zu erkennen und Designentscheidungen zu treffen, die Risiken minimieren, sollten Sie einen Secure by Design-Ansatz verfolgen.

Google Cloud bietet eine umfassende Suite von Tools und Diensten, die Sie bei der Umsetzung eines „Secure by Design“-Ansatzes unterstützen:

  • Cloud Posture Management: Mit Security Command Center können Sie potenzielle Sicherheitslücken und Fehlkonfigurationen in Ihrer KI-Infrastruktur identifizieren.
  • Risikowerte für Angriffe und Angriffspfade: Verfeinern und verwenden Sie die Risikowerte für Angriffe und Angriffspfade, die von Security Command Center generiert werden.
  • Google Threat Intelligence: Bleiben Sie über neue Bedrohungen und Angriffstechniken auf dem Laufenden, die auf KI-Systeme abzielen.
  • Protokollierung und Monitoring: Leistung und Sicherheit Ihrer KI-Systeme im Blick behalten und Anomalien oder verdächtige Aktivitäten erkennen. Führen Sie regelmäßige Sicherheitsprüfungen durch, um potenzielle Sicherheitslücken in Ihrer KI-Infrastruktur und Ihren Modellen zu erkennen und zu beheben.
  • Verwaltung von Sicherheitslücken: Implementieren Sie einen Prozess zur Verwaltung von Sicherheitslücken, um Sicherheitslücken in Ihren KI-Systemen zu verfolgen und zu beheben.

Weitere Informationen finden Sie unter Secure by Design bei Google und Security by Design implementieren.

Daten schützen und Verlust oder Missbrauch verhindern

Daten sind ein wertvolles und sensibles Asset, das geschützt werden muss. Datensicherheit hilft Ihnen, das Vertrauen der Nutzer aufrechtzuerhalten, Ihre Geschäftsziele zu erreichen und Ihre Compliance-Anforderungen zu erfüllen.

Beachten Sie die folgenden Empfehlungen, um Ihre Daten zu schützen.

Grundsätze der Datenminimierung einhalten

Um den Datenschutz zu gewährleisten, halten Sie sich an den Grundsatz der Datenminimierung. Um die Datenmenge zu minimieren, sollten Sie keine Daten erheben, speichern oder verwenden, die für Ihre geschäftlichen Ziele nicht unbedingt erforderlich sind. Verwenden Sie nach Möglichkeit synthetische oder vollständig anonymisierte Daten.

Die Datenerhebung kann zu geschäftlichen Erkenntnissen und Analysen beitragen. Es ist jedoch wichtig, im Rahmen der Datenerhebung diskret vorzugehen. Wenn Sie personenidentifizierbare Informationen (PII) über Ihre Kunden erheben, vertrauliche Informationen offenlegen oder Vorurteile oder Kontroversen schaffen, können Sie verzerrte ML-Modelle erstellen.

Mit den Google Cloud Funktionen können Sie die Datenminimierung und den Datenschutz für verschiedene Anwendungsfälle verbessern:

  • Um Ihre Daten zu de-identifizieren und gleichzeitig ihre Nützlichkeit zu erhalten, wenden Sie Transformationsmethoden wie Pseudonymisierung, De-Identifikation und Verallgemeinerung wie Bucketing an. Zur Implementierung dieser Methoden können Sie Sensitive Data Protection verwenden.
  • Um Daten anzureichern und potenzielle Bias zu minimieren, können Sie einen Vertex AI-Datenlabeling-Job verwenden. Beim Daten-Labeling werden Rohdaten mit informativen und aussagekräftigen Tags versehen. So werden sie in strukturierte Trainingsdaten für ML-Modelle umgewandelt. Durch das Labeln von Daten werden diese spezifischer und Mehrdeutigkeiten werden reduziert.
  • Um Ressourcen vor längerem Zugriff oder Manipulationen zu schützen, können Sie mit Cloud Storage-Funktionen Datenlebenszyklen steuern.

Best Practices zur Implementierung der Datenverschlüsselung finden Sie im Well-Architected Framework unter Verschlüsselung ruhender Daten und Daten bei der Übertragung.

Datenerhebung, -speicherung und -transformation überwachen

Die Trainingsdaten Ihrer KI-Anwendung bergen die größten Risiken für die Einführung von Bias und Datenlecks. Um die Compliance aufrechtzuerhalten und Daten teamübergreifend zu verwalten, sollten Sie eine Data-Governance-Ebene einrichten, um Datenflüsse, Transformationen und Zugriffe zu überwachen. Logs für Aktivitäten zum Datenzugriff und zur Datenbearbeitung führen. Mithilfe der Logs können Sie den Datenzugriff prüfen, Versuche von unbefugtem Zugriff erkennen und unerwünschten Zugriff verhindern.

Mit den Google Cloud Funktionen können Sie Strategien für die Datenverwaltung implementieren:

  • Wenn Sie eine unternehmensweite oder abteilungsweite Plattform für die Datenverwaltung einrichten möchten, verwenden Sie Dataplex Universal Catalog. Mit einer Data Governance-Plattform können Sie Daten und KI-Artefakte auf Ihren Datenplattformen zentral erkennen, verwalten, überwachen und steuern. Die Data Governance-Plattform bietet auch Zugriff für vertrauenswürdige Nutzer. Mit Dataplex Universal Catalog können Sie die folgenden Aufgaben ausführen:
    • Datenherkunft verwalten BigQuery kann auch den Datenursprung auf Spaltenebene bereitstellen.
    • Datenqualitätsprüfungen und Datenprofile verwalten
    • Datenerkennung, ‑exploration und ‑verarbeitung in verschiedenen Data Marts verwalten.
    • Funktionsmetadaten und Modellartefakte verwalten
    • Erstellen Sie ein Geschäftsglossar, um Metadaten zu verwalten und ein standardisiertes Vokabular zu etablieren.
    • Metadaten mit Kontext anreichern: Verwenden Sie dazu Aspekte und Aspekttypen.
    • Vereinheitlichen Sie die Daten-Governance für BigLake- und Open-Format-Tabellen wie Iceberg und Delta.
    • Erstellen Sie ein Data Mesh, um die Dateninhaberschaft auf Dateninhaber aus verschiedenen Teams oder Bereichen zu dezentralisieren. Diese Vorgehensweise entspricht den Grundsätzen der Datensicherheit und kann die Datenzugänglichkeit und die betriebliche Effizienz verbessern.
    • Ergebnisse mit sensiblen Daten prüfen und senden: Ergebnisse mit sensiblen Daten von BigQuery an Dataplex Universal Catalog senden.
  • Wenn Sie ein einheitliches, offenes Lakehouse erstellen möchten, das gut verwaltet wird, integrieren Sie Ihre Data Lakes und Data Warehouses in verwaltete Metastore-Dienste wie Dataproc Metastore und BigLake-Metastore. Ein offenes Lakehouse verwendet offene Tabellenformate, die mit verschiedenen Datenverarbeitungs-Engines kompatibel sind.
  • Verwenden Sie Vertex AI Feature Store, um das Monitoring von Features und Featuregruppen zu planen.
  • Wenn Sie Ihre Vertex AI-Datasets auf Organisations-, Ordner- oder Projektebene scannen möchten, verwenden Sie Sensitive Data Discovery für Vertex AI. Sie können auch die in BigQuery gespeicherten Datenprofile analysieren.
  • Verwenden Sie Cloud Logging und Cloud Monitoring, um Echtzeitlogs zu erfassen und Messwerte zu Datenpipelines zu erheben. Verwenden Sie Cloud-Audit-Logs, um Audit-Trails von API-Aufrufen zu erfassen. Protokollieren Sie keine personenidentifizierbaren Informationen oder vertraulichen Daten in Tests oder auf verschiedenen Logservern.

Rollenbasierte Zugriffssteuerung mit dem Prinzip der geringsten Berechtigung implementieren

Implementieren Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um unterschiedliche Zugriffsebenen basierend auf Nutzerrollen zuzuweisen. Nutzer dürfen nur die Mindestberechtigungen haben, die für die Ausführung ihrer Rollenaktivitäten erforderlich sind. Weisen Sie Berechtigungen gemäß dem Prinzip der geringsten Berechtigung zu, damit Nutzer nur den Zugriff haben, den sie benötigen, z. B. keinen Zugriff, Lesezugriff oder Schreibzugriff.

Die rollenbasierte Zugriffssteuerung mit dem Prinzip der geringsten Berechtigung ist wichtig für die Sicherheit, wenn in Ihrer Organisation vertrauliche Daten verwendet werden, die sich in Data Lakes, Feature-Stores oder Hyperparametern für das Modelltraining befinden. So können Sie Datendiebstahl verhindern, die Integrität des Modells wahren und die Angriffsfläche für Unfälle oder Angriffe begrenzen.

Die folgendenGoogle Cloud -Funktionen können Ihnen bei der Implementierung dieser Zugriffsstrategien helfen:

  • Berücksichtigen Sie die folgenden Optionen, um die Zugriffsdetaillierung zu implementieren:

    • Weisen Sie die IAM-Rollen verschiedener Produkte einem Nutzer, einer Gruppe oder einem Dienstkonto zu, um einen detaillierten Zugriff zu ermöglichen. Weisen Sie diese Rollen entsprechend Ihren Projektanforderungen, Zugriffsmustern oder Tags zu.
    • Legen Sie IAM-Richtlinien mit Bedingungen fest, um den detaillierten Zugriff auf Ihre Daten, Ihr Modell und Ihre Modellkonfigurationen wie Code, Ressourceneinstellungen und Hyperparameter zu verwalten.

    • Sie können den Zugriff auf Anwendungsebene detailliert steuern, um sensible Daten zu schützen, die Sie prüfen und außerhalb Ihres Teams freigeben.

  • Wenn Sie den Zugriff auf bestimmte Ressourcen einschränken möchten, können Sie PAB-Richtlinien (Principal Access Boundary) verwenden. Mit Privileged Access Manager können Sie auch die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten steuern. Später können Sie die Audit-Logs für diese Privileged Access Manager-Aktivität aufrufen.

  • Wenn Sie den Zugriff auf Ressourcen anhand der IP-Adresse und der Endnutzergeräteattribute einschränken möchten, können Sie IAP-Zugriffsrichtlinien (Identity-Aware Proxy) erweitern.

  • Um Zugriffsmuster für verschiedene Nutzergruppen zu erstellen, können Sie Vertex AI-Zugriffssteuerung mit IAM verwenden, um die vordefinierten oder benutzerdefinierten Rollen zu kombinieren.

  • Wenn Sie Vertex AI Workbench-Instanzen mit kontextsensitiver Zugriffssteuerung schützen möchten, verwenden Sie Access Context Manager und Chrome Enterprise Premium. Bei diesem Ansatz wird der Zugriff bei jeder Authentifizierung eines Nutzers bei der Instanz ausgewertet.

Sicherheitsmaßnahmen für die Datenübertragung implementieren

Implementieren Sie sichere Perimeter und andere Maßnahmen wie Verschlüsselung und Einschränkungen für die Datenübertragung. Diese Maßnahmen helfen Ihnen, Daten-Exfiltration und Datenverlust zu verhindern, die zu finanziellen Verlusten, Reputationsschäden, rechtlichen Verpflichtungen und einer Unterbrechung des Geschäftsbetriebs führen können.

Um Daten-Exfiltration und ‑Verlust auf Google Cloudzu verhindern, können Sie eine Kombination aus Sicherheitstools und ‑diensten verwenden.

Beachten Sie beim Implementieren der Verschlüsselung Folgendes:

  • Wenn Sie mehr Kontrolle über Verschlüsselungsschlüssel haben möchten, verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) in Cloud KMS. Wenn Sie CMEKs verwenden, verschlüsseln die folgenden CMEK-integrierten Dienste inaktive Daten für Sie:
  • Um Ihre Daten in Cloud Storage zu schützen, verwenden Sie die serverseitige Verschlüsselung zum Speichern Ihrer CMEKs. Wenn Sie CMEKs auf Ihren eigenen Servern verwalten, kann die serverseitige Verschlüsselung Ihre CMEKs und die zugehörigen Daten schützen, auch wenn Ihr CMEK-Speichersystem manipuliert wird.
  • Verwenden Sie HTTPS für alle API-Aufrufe an KI- und ML-Dienste, um Daten während der Übertragung zu verschlüsseln. Wenn Sie HTTPS für Ihre Anwendungen und APIs erzwingen möchten, verwenden Sie HTTPS-Load-Balancer.

Weitere Best Practices zum Verschlüsseln von Daten finden Sie unter Ruhende und übertragene Daten verschlüsseln in der Säule „Sicherheit“ des Well-Architected Framework.

Beachten Sie beim Implementieren von Perimetern Folgendes:

  • Um eine Sicherheitsgrenze für Ihre KI- und ML-Ressourcen zu erstellen und eine Daten-Exfiltration aus Ihrer Virtual Private Cloud (VPC) zu verhindern, verwenden Sie VPC Service Controls, um einen Dienstperimeter zu definieren. Nehmen Sie Ihre KI- und ML-Ressourcen und sensiblen Daten in den Perimeter auf. Um den Datenfluss zu steuern, konfigurieren Sie Regeln für ein- und ausgehenden Traffic für Ihren Perimeter.
  • Wenn Sie den ein- und ausgehenden Traffic zu Ihren KI- und ML-Ressourcen einschränken möchten, konfigurieren Sie Firewallregeln. Implementieren Sie Richtlinien, die standardmäßig den gesamten Traffic ablehnen und nur den Traffic explizit zulassen, der Ihren Kriterien entspricht. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel: Alle externen Verbindungen mit Ausnahme bestimmter Ports ablehnen.

Beachten Sie Folgendes, wenn Sie Einschränkungen für die Datenübertragung implementieren möchten:

  • Wenn Sie Daten freigeben und Datenschutzgrenzen in einer sicheren Umgebung überwinden möchten, verwenden Sie BigQuery Sharing und BigQuery Data-Clean-Rooms, die ein robustes Sicherheits- und Datenschutz-Framework bieten.
  • Wenn Sie Daten direkt aus Business Intelligence-Dashboards für integrierte Ziele freigeben möchten, verwenden Sie Looker Action Hub, das eine sichere Cloud-Umgebung bietet.

Schutz vor Data Poisoning

Data Poisoning ist eine Art Cyberangriff, bei dem Angreifer schädliche Daten in Trainingsdatasets einfügen, um das Modellverhalten zu manipulieren oder die Leistung zu beeinträchtigen. Dieser Cyberangriff kann eine ernsthafte Bedrohung für ML-Trainingssysteme darstellen. Um die Gültigkeit und Qualität der Daten zu schützen, sollten Sie Verfahren anwenden, die Ihre Daten schützen. Dieser Ansatz ist entscheidend für die konsistente Unvoreingenommenheit, Zuverlässigkeit und Integrität Ihres Modells.

Um inkonsistentes Verhalten, Transformationen oder unerwarteten Zugriff auf Ihre Daten zu verfolgen, sollten Sie umfassendes Monitoring und Benachrichtigungen für Daten- und ML-Pipelines einrichten.

Mit denGoogle Cloud -Funktionen können Sie zusätzliche Schutzmaßnahmen gegen Data Poisoning implementieren:

  • Berücksichtigen Sie Folgendes, um die Datenintegrität zu prüfen:

    • Führen Sie vor dem Training robuste Datenvalidierungsprüfungen durch. Datenformate, ‑bereiche und ‑verteilungen prüfen Sie können die automatischen Datenqualitätsfunktionen in Dataplex Universal Catalog verwenden.
    • Verwenden Sie Sensitive Data Protection mit Model Armor, um umfassende Funktionen zum Schutz vor Datenverlust zu nutzen. Weitere Informationen finden Sie unter Model Armor – Schlüsselkonzepte. Mit Sensitive Data Protection mit Model Armor können Sie sensible Daten wie geistiges Eigentum ermitteln, klassifizieren und schützen. Mit diesen Funktionen können Sie verhindern, dass sensible Daten in LLM-Interaktionen unbefugt offengelegt werden.
    • Um Anomalien in Ihren Trainingsdaten zu erkennen, die auf Data Poisoning hinweisen könnten, verwenden Sie die Anomalieerkennung in BigQuery mit statistischen Methoden oder ML-Modellen.

  • So bereiten Sie sich auf ein robustes Training vor:

    • Verwenden Sie Ensemble-Methoden, um die Auswirkungen von manipulierten Datenpunkten zu reduzieren. Trainieren Sie mehrere Modelle mit verschiedenen Teilmengen der Daten mit Hyperparameter-Abstimmung.
    • Verwenden Sie Datenaugmentationstechniken, um die Verteilung der Daten in den Datasets auszugleichen. Dieser Ansatz kann die Auswirkungen von Data Poisoning reduzieren und ermöglicht es Ihnen, gegnerische Beispiele hinzuzufügen.

  • So binden Sie die manuelle Überprüfung von Trainingsdaten oder Modellausgaben ein:

    • Analysieren Sie die Messwerte für die Modellevaluierung, um potenzielle Verzerrungen, Anomalien oder unerwartetes Verhalten zu erkennen, die auf Data Poisoning hinweisen könnten. Weitere Informationen finden Sie unter Modellbewertung in Vertex AI.
    • Nutzen Sie Fachwissen, um das Modell oder die Anwendung zu bewerten und verdächtige Muster oder Datenpunkte zu identifizieren, die von automatisierten Methoden möglicherweise nicht erkannt werden. Weitere Informationen finden Sie in der Übersicht über den Gen AI Evaluation Service.

Best Practices zum Erstellen von Datenplattformen, die sich auf Infrastruktur- und Datensicherheit konzentrieren, finden Sie im Well-Architected Framework unter Sicherheit von Anfang an implementieren.

KI-Pipelines schützen und vor Manipulationen absichern

Ihr KI- und ML-Code sowie die im Code definierten Pipelines sind wichtige Assets. Code, der nicht gesichert ist, kann manipuliert werden. Das kann zu Datenlecks, Nichteinhaltung von Compliance-Vorgaben und Unterbrechungen wichtiger Geschäftsaktivitäten führen. Wenn Sie Ihren KI- und ML-Code schützen, tragen Sie dazu bei, die Integrität und den Wert Ihrer Modelle und Modellausgaben zu sichern.

Beachten Sie die folgenden Empfehlungen, um KI-Code und ‑Pipelines zu schützen.

Sichere Programmierpraktiken verwenden

Verwenden Sie beim Entwickeln Ihrer Modelle sichere Programmierpraktiken, um Sicherheitslücken zu vermeiden. Wir empfehlen, KI-spezifische Ein- und Ausgabeprüfungen zu implementieren, alle Softwareabhängigkeiten zu verwalten und durchgängig sichere Programmierprinzipien in Ihre Entwicklung zu integrieren. Sicherheit in jede Phase des KI-Lebenszyklus einbetten, von der Datenvorverarbeitung bis zum endgültigen Anwendungscode.

Beachten Sie bei der Implementierung einer strengen Validierung Folgendes:

  • Um eine Manipulation von Modellen oder Systemausnutzung zu verhindern, sollten Sie Ein- und Ausgaben in Ihrem Code validieren und bereinigen.

    • Mit Model Armor oder feinabgestimmten LLMs können Sie Prompts und Antworten automatisch auf häufige Risiken prüfen.
    • Implementieren Sie die Datenvalidierung in Ihren Skripten für die Datenerfassung und ‑vorverarbeitung für Datentypen, Formate und Bereiche. Für Vertex AI Pipelines oder BigQuery können Sie Python verwenden, um diese Datenvalidierung zu implementieren.
    • Verwenden Sie LLM-Agents für die Programmierung, z. B. CodeMender, um die Codesicherheit zu verbessern. Binden Sie einen Menschen ein, um die vorgeschlagenen Änderungen zu validieren.

  • Verwenden Sie Apigee, um die API-Endpunkte Ihres KI-Modells zu verwalten und zu schützen. Apigee umfasst konfigurierbare Funktionen wie die Anfragevalidierung, die Traffic-Steuerung und die Authentifizierung.

  • Um Risiken während des gesamten KI-Lebenszyklus zu minimieren, können Sie AI Protection verwenden, um Folgendes zu tun:

    • KI-Inventar in Ihrer Umgebung ermitteln
    • Inventar auf potenzielle Sicherheitslücken prüfen
    • KI-Assets werden über Kontrollen, Richtlinien und Schutzmaßnahmen gesichert.
    • KI-Systeme mit Funktionen zur Erkennung, Untersuchung und Reaktion verwalten.

Beachten Sie Folgendes, um die Code- und Artefaktabhängigkeiten in Ihrer CI/CD-Pipeline zu schützen:

  • Um die Risiken zu minimieren, die Abhängigkeiten von Open-Source-Bibliotheken für Ihr Projekt darstellen können, verwenden Sie die Artefaktanalyse mit Artifact Registry, um bekannte Sicherheitslücken zu erkennen. Genehmigte Versionen von Bibliotheken verwenden und verwalten Speichern Sie Ihre benutzerdefinierten ML-Pakete und geprüften Abhängigkeiten in einem privaten Artifact Registry-Repository.
  • Wenn Sie die Abhängigkeitsprüfung in Ihre Cloud Build-MLOps-Pipelines einbetten möchten, verwenden Sie Binärautorisierung. Erzwingen Sie Richtlinien, die Deployments nur zulassen, wenn die Container-Images Ihres Codes die Sicherheitsprüfungen bestehen.
  • Um Sicherheitsinformationen zu Ihrer Softwarelieferkette zu erhalten, verwenden Sie Dashboards in der Google Cloud Console, die Details zu Quellen, Builds, Artefakten, Bereitstellungen und Runtimes enthalten. Dazu gehören Informationen zu Sicherheitslücken in Build-Artefakten, zur Herkunft von Builds und zu Abhängigkeitslisten in Software Bill of Materials (SBOM).
  • Um die Reifestufe der Sicherheit Ihrer Softwarelieferkette zu bewerten, verwenden Sie das SLSA-Framework (Supply Chain Levels for Software Artifacts).

Damit Sie in jeder Entwicklungsphase konsequent sichere Programmierprinzipien anwenden, sollten Sie Folgendes berücksichtigen:

  • Um die Offenlegung sensibler Daten durch Modellinteraktionen zu verhindern, verwenden Sie die Protokollierung mit Sensitive Data Protection. Wenn Sie diese Produkte zusammen verwenden, können Sie festlegen, welche Daten von Ihren KI-Anwendungen und Pipeline-Komponenten protokolliert werden, und vertrauliche Daten ausblenden.
  • Um das Prinzip der geringsten Berechtigung zu implementieren, müssen Sie dafür sorgen, dass die Dienstkonten, die Sie für Ihre benutzerdefinierten Vertex AI-Jobs, Pipelines und bereitgestellten Modelle verwenden, nur die mindestens erforderlichen IAM-Berechtigungen haben. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung mit dem Prinzip der geringsten Berechtigung implementieren.
  • Um Ihre Pipelines und Build-Artefakte zu schützen, sollten Sie die Sicherheitskonfigurationen (VPC und VPC Service Controls) in der Umgebung kennen, in der Ihr Code ausgeführt wird.

Pipelines und Modellartefakte vor unbefugtem Zugriff schützen

Ihre Modellartefakte und Pipelines sind geistiges Eigentum und ihre Trainingsdaten enthalten auch vertrauliche Informationen. Um Modellgewichte, Dateien und Bereitstellungskonfigurationen vor Manipulationen und Sicherheitslücken zu schützen, sollten Sie diese Artefakte mit verbesserter Sicherheit speichern und darauf zugreifen. Implementieren Sie für jedes Artefakt unterschiedliche Zugriffsebenen basierend auf Nutzerrollen und Anforderungen.

Beachten Sie zum Schutz Ihrer Modellartefakte Folgendes:

  • Um Modellartefakte und andere vertrauliche Dateien zu schützen, verschlüsseln Sie sie mit Cloud KMS. Diese Verschlüsselung trägt zum Schutz von Daten im Ruhezustand und bei der Übertragung bei, selbst wenn der zugrunde liegende Speicher kompromittiert wird.
  • Um den Zugriff auf Ihre Dateien zu schützen, sollten Sie sie in Cloud Storage speichern und die Zugriffssteuerung konfigurieren.
  • Um falsche oder unzureichende Konfigurationen und Abweichungen von Ihren definierten Standards zu verfolgen, konfigurieren Sie Sicherheitskonfigurationen in Security Command Center.
  • Wenn Sie eine detaillierte Zugriffssteuerung und Verschlüsselung im Ruhezustand aktivieren möchten, speichern Sie Ihre Modellartefakte in Vertex AI Model Registry. Erstellen Sie zur zusätzlichen Sicherheit eine digitale Signatur für Pakete und Container, die während der genehmigten Build-Prozesse erstellt werden.
  • Wenn Sie die Sicherheit auf Unternehmensniveau von Google Cloudnutzen möchten, verwenden Sie Modelle, die in Model Garden verfügbar sind. Model Garden bietet Google-eigene Modelle und Drittanbietermodelle von ausgewählten Partnern.

  • Verwenden Sie IAM, um die zentrale Verwaltung für alle Nutzer- und Gruppenlebenszyklen zu erzwingen und das Prinzip der geringsten Berechtigung durchzusetzen.

    • Erstellen und verwenden Sie dedizierte Dienstkonten mit minimalen Berechtigungen für Ihre MLOps-Pipelines. Das Dienstkonto einer Trainingspipeline hat beispielsweise die Berechtigungen, Daten nur aus einem bestimmten Cloud Storage-Bucket zu lesen und Modellartefakte in die Modellregistrierung zu schreiben.
    • Mit IAM-Bedingungen können Sie eine bedingte, attributbasierte Zugriffssteuerung erzwingen. Mit einer Bedingung kann beispielsweise ein Dienstkonto eine Vertex AI-Pipeline nur dann auslösen, wenn die Anfrage von einem vertrauenswürdigen Cloud Build-Trigger stammt.

Beachten Sie zum Schutz Ihrer Bereitstellungspipelines Folgendes:

  • Wenn Sie MLOps-Phasen für Google Cloud Dienste und ‑Ressourcen verwalten möchten, verwenden Sie Vertex AI Pipelines. Diese können in andere Dienste eingebunden werden und bieten eine detaillierte Zugriffssteuerung. Wenn Sie die Pipelines noch einmal ausführen, müssen Sie Vertex Explainable AI- und verantwortungsbewusste KI-Prüfungen durchführen, bevor Sie die Modellartefakte bereitstellen. Mit diesen Prüfungen können Sie die folgenden Sicherheitsprobleme erkennen oder verhindern:

    • Unautorisierte Änderungen, die auf Manipulationen am Modell hindeuten können.
    • Cross-Site-Scripting (XSS), das auf manipulierte Container-Images oder ‑Abhängigkeiten hinweisen kann.
    • Unsichere Endpunkte, die auf eine falsch konfigurierte Bereitstellungsinfrastruktur hinweisen können.

  • Um die Sicherheit von Modellinteraktionen während der Inferenz zu erhöhen, verwenden Sie private Endpunkte, die auf Private Service Connect mit vorgefertigten Containern oder benutzerdefinierten Containern basieren. Modellsignaturen mit einem vordefinierten Ein- und Ausgabeschema erstellen

  • Verwenden Sie Git für die Quellcodeverwaltung, um die Nachverfolgung von Codeänderungen zu automatisieren, und integrieren Sie die Versionsverwaltung in robuste CI/CD-Pipelines.

Weitere Informationen finden Sie unter KI-Pipeline schützen.

Lineage und Tracking erzwingen

Um die Einhaltung der behördlichen Compliance-Anforderungen zu unterstützen, können Sie die Herkunft und das Tracking Ihrer KI- und ML-Assets erzwingen. Die Datenherkunft und das Tracking bieten umfassende Änderungsaufzeichnungen für Daten, Modelle und Code. Die Modellherkunft sorgt für Transparenz und Rechenschaftspflicht während des gesamten KI- und ML-Lebenszyklus.

Um Herkunft und Tracking in Google Cloudeffektiv durchzusetzen, sollten Sie die folgenden Tools und Dienste in Betracht ziehen:

  • Wenn Sie die Herkunft von Modellen, Datasets und Artefakten nachverfolgen möchten, die automatisch im Ruhezustand verschlüsselt werden, verwenden Sie Vertex ML Metadata. Metadaten zu Datenquellen, Transformationen, Modellparametern und Testergebnissen protokollieren.
  • Mit dem universellen Dataplex-Katalog können Sie die Herkunft von Pipeline-Artefakten aus Vertex AI Pipelines nachverfolgen und nach Modell- und Dataset-Ressourcen suchen. Sie können einzelne Pipeline-Artefakte verfolgen, wenn Sie Debugging, Fehlerbehebung oder eine Ursachenanalyse durchführen möchten. Wenn Sie Ihre gesamte MLOps-Pipeline verfolgen möchten, einschließlich der Herkunft von Pipeline-Artefakten, verwenden Sie Vertex ML Metadata. Mit Vertex ML Metadata können Sie auch die Ressourcen und Ausführungen analysieren. In Model Registry werden die Versionen der einzelnen gespeicherten Modelle angewendet und verwaltet.
  • Wenn Sie API-Aufrufe und administrative Aktionen nachverfolgen möchten, aktivieren Sie Audit-Logs für Vertex AI. Audit-Logs mit Log Analytics analysieren, um zu sehen, wer wann auf Daten und Modelle zugegriffen oder sie geändert hat. Sie können auch Logs an Drittanbieterziele weiterleiten.

Auf sicheren Systemen mit sicheren Tools und Artefakten bereitstellen

Achten Sie darauf, dass Ihr Code und Ihre Modelle in einer sicheren Umgebung ausgeführt werden. Diese Umgebung muss über ein robustes Zugriffskontrollsystem verfügen und Sicherheitsgarantien für die Tools und Artefakte bieten, die Sie bereitstellen.

Wenn Sie Ihren Code auf sicheren Systemen bereitstellen möchten, sollten Sie die folgenden Empfehlungen beachten.

Modelle in einer sicheren Umgebung trainieren und bereitstellen

Um die Systemintegrität, Vertraulichkeit und Verfügbarkeit Ihrer KI- und ML-Systeme zu gewährleisten, sollten Sie strenge Zugriffssteuerungen implementieren, die unbefugte Manipulationen von Ressourcen verhindern. Diese Schutzmaßnahme hilft Ihnen bei Folgendem:

  • Manipulationen am Modell, die zu unerwarteten oder widersprüchlichen Ergebnissen führen könnten, werden verhindert.
  • Trainingsdaten vor Datenschutzverletzungen schützen
  • Verfügbarkeit des Dienstes aufrechterhalten
  • Einhaltung gesetzlicher Vorschriften
  • Vertrauen bei Nutzern aufbauen

Wenn Sie Ihre ML-Modelle in einer Umgebung mit verbesserter Sicherheit trainieren möchten, verwenden Sie verwaltete Dienste in Google Cloud wie Cloud Run, GKE und Dataproc. Sie können auch serverloses Vertex AI-Training verwenden.

Dieser Abschnitt enthält Empfehlungen, mit denen Sie Ihre Trainings- und Bereitstellungsumgebung noch besser schützen können.

Berücksichtigen Sie Folgendes, um Ihre Umgebung und Ihre Perimeter zu schützen:

Beachten Sie zum Schutz Ihrer Bereitstellung Folgendes:

  • Verwenden Sie Model Registry, wenn Sie Modelle bereitstellen. Wenn Sie Modelle in Containern bereitstellen, verwenden Sie GKE Sandbox und Container-Optimized OS, um die Sicherheit zu erhöhen und Arbeitslasten zu isolieren. Zugriff auf Modelle aus dem Model Garden entsprechend Nutzerrollen und Verantwortlichkeiten einschränken
  • Um Ihre Modell-APIs zu schützen, können Sie Apigee oder API Gateway verwenden. Um Missbrauch vorzubeugen, sollten Sie API-Schlüssel, Authentifizierung, Autorisierung und Ratenbegrenzung implementieren. Verwenden Sie API-Schlüssel und Authentifizierungsmechanismen, um den Zugriff auf Modell-APIs zu steuern.
  • Um den Zugriff auf Modelle während der Vorhersage zu schützen, verwenden Sie Vertex AI Inference. Um Daten-Exfiltration zu verhindern, verwenden Sie VPC Service Controls-Perimeter, um private Endpunkte zu schützen und den Zugriff auf die zugrunde liegenden Modelle zu steuern. Sie verwenden private Endpunkte, um den Zugriff auf die Modelle in einem VPC-Netzwerk zu ermöglichen. IAM wird nicht direkt auf den privaten Endpunkt angewendet, aber der Zieldienst verwendet IAM, um den Zugriff auf die Modelle zu verwalten. Für Onlinevorhersagen empfehlen wir die Verwendung von Private Service Connect.
  • Wenn Sie API-Aufrufe im Zusammenhang mit der Modellbereitstellung nachverfolgen möchten, aktivieren Sie Cloud-Audit-Logs für Vertex AI. Relevante API-Aufrufe umfassen Aktivitäten wie das Erstellen von Endpunkten, die Bereitstellung von Modellen und Konfigurationsupdates.
  • Wenn Sie die Google Cloud Infrastruktur auf Edge-Standorte ausweiten möchten, sollten Sie Google Distributed Cloud-Lösungen in Betracht ziehen. Für eine vollständig getrennte Lösung können Sie Distributed Cloud mit Air Gap verwenden, für die keine Verbindung zu Google Clouderforderlich ist.
  • Um Bereitstellungen zu standardisieren und die Einhaltung von behördlichen und Sicherheitsanforderungen zu gewährleisten, verwenden Sie Assured Workloads.

SLSA-Richtlinien für KI-Artefakte einhalten

Halten Sie sich an die Standardrichtlinien für Supply-chain Levels for Software Artifacts (SLSA) für Ihre KI-spezifischen Artefakte wie Modelle und Softwarepakete.

SLSA ist ein Sicherheits-Framework, das Ihnen helfen soll, die Integrität von Softwareartefakten zu verbessern und Manipulationen zu verhindern. Wenn Sie die SLSA-Richtlinien einhalten, können Sie die Sicherheit Ihrer KI- und ML-Pipeline und der von der Pipeline erstellten Artefakte verbessern. Die Einhaltung von SLSA kann folgende Vorteile bieten:

  • Mehr Vertrauen in Ihre KI- und ML-Artefakte: SLSA trägt dazu bei, dass Ihre Modelle und Softwarepakete nicht manipuliert werden. Nutzer können Modelle und Softwarepakete auch auf ihre Quelle zurückführen, was das Vertrauen der Nutzer in die Integrität und Zuverlässigkeit der Artefakte stärkt.
  • Geringeres Risiko von Angriffen auf die Lieferkette: SLSA trägt dazu bei, das Risiko von Angriffen zu verringern, die Sicherheitslücken in der Softwarelieferkette ausnutzen, z. B. Angriffe, bei denen schädlicher Code eingeschleust oder Build-Prozesse manipuliert werden.
  • Verbesserter Sicherheitsstatus: SLSA trägt dazu bei, den allgemeinen Sicherheitsstatus Ihrer KI- und ML-Systeme zu verbessern. Diese Implementierung kann dazu beitragen, das Risiko von Angriffen zu verringern und Ihre wertvollen Assets zu schützen.

So implementieren Sie SLSA für Ihre KI- und ML-Artefakte auf Google Cloud:

  1. SLSA-Ebenen verstehen: Machen Sie sich mit den verschiedenen SLSA-Ebenen und ihren Anforderungen vertraut. Mit zunehmender Stufe steigt auch die Integrität.
  2. Aktuellen Stand bewerten: Vergleichen Sie Ihre aktuellen Praktiken mit dem SLSA-Framework, um Ihren aktuellen Stand zu ermitteln und Bereiche zu identifizieren, in denen Verbesserungen möglich sind.
  3. Zielniveau festlegen: Bestimmen Sie die geeignete SLSA-Stufe basierend auf Ihrer Risikobereitschaft, Ihren Sicherheitsanforderungen und der Kritikalität Ihrer KI- und ML-Systeme.

  4. SLSA-Anforderungen implementieren: Um das gewünschte SLSA-Level zu erreichen, implementieren Sie die erforderlichen Kontrollen und Praktiken. Dazu können folgende Maßnahmen gehören:

    • Quellcodeverwaltung: Verwenden Sie ein Versionsverwaltungssystem wie Git, um Änderungen an Ihrem Code und Ihren Konfigurationen nachzuverfolgen.
    • Build-Prozess: Verwenden Sie einen Dienst, der Ihre Builds schützt, z. B. Cloud Build, und sorgen Sie dafür, dass Ihr Build-Prozess geskriptet oder automatisiert ist.
    • Herkunftsbeleg generieren: Generieren Sie Herkunftsmetadaten, die Details zur Erstellung Ihrer Artefakte enthalten, z. B. den Build-Prozess, den Quellcode und die Abhängigkeiten. Weitere Informationen finden Sie unter Vertex ML-Metadaten verfolgen und Ausführungen und Artefakte verfolgen.
    • Artefaktsignierung: Signieren Sie Ihre Artefakte, um ihre Authentizität und Integrität zu bestätigen.
    • Sicherheitslückenmanagement: Scannen Sie Ihre Artefakte und Abhängigkeiten regelmäßig auf Sicherheitslücken. Verwenden Sie Tools wie die Artefaktanalyse.
    • Sicherheit bei der Bereitstellung: Implementieren Sie Bereitstellungsmethoden, die zur Sicherung Ihrer Systeme beitragen, z. B. die in diesem Dokument beschriebenen Methoden.

  5. Kontinuierliche Verbesserung: Überwachen und verbessern Sie Ihre SLSA-Implementierung, um auf neue Bedrohungen und Sicherheitslücken zu reagieren, und streben Sie höhere SLSA-Stufen an.

Validierte vordefinierte Container-Images verwenden

Um einen Single Point of Failure für Ihre MLOps-Phasen zu vermeiden, sollten Sie die Aufgaben, für die eine unterschiedliche Abhängigkeitsverwaltung erforderlich ist, in verschiedenen Containern isolieren. Verwenden Sie beispielsweise separate Container für Feature Engineering, Training oder Feinabstimmung und Inferenzaufgaben. Dieser Ansatz bietet ML-Ingenieuren auch die Flexibilität, ihre Umgebung zu steuern und anzupassen.

Um die MLOps-Konsistenz in Ihrem Unternehmen zu fördern, sollten Sie vordefinierte Container verwenden. Pflegen Sie ein zentrales Repository mit bestätigten und vertrauenswürdigen Basisplattform-Images, die den folgenden Best Practices entsprechen:

  • Richten Sie in Ihrer Organisation ein zentrales Plattformteam ein, das standardisierte Basiscontainer erstellt und verwaltet.
  • Erweitern Sie die vordefinierten Container-Images, die Vertex AI speziell für KI und ML bereitstellt. Verwalten Sie die Container-Images in einem zentralen Repository in Ihrer Organisation.

Vertex AI bietet eine Vielzahl von vordefinierten Deep Learning-Containern für Training und Inferenz. Außerdem können Sie benutzerdefinierte Container verwenden. Bei kleineren Modellen können Sie die Latenz für die Inferenz reduzieren, wenn Sie Modelle in Containern laden.

So verbessern Sie die Sicherheit Ihrer Containerverwaltung:

  • Mit Artifact Registry können Sie Repositories mit Container-Images in verschiedenen Formaten erstellen, speichern und verwalten. Artifact Registry übernimmt die Zugriffssteuerung mit IAM und bietet integrierte Funktionen für die Beobachtbarkeit und Bewertung von Sicherheitslücken. Mit Artifact Registry können Sie Container-Sicherheitsfunktionen aktivieren, Container-Images scannen und Sicherheitslücken untersuchen.
  • Continuous Integration-Schritte ausführen und Container-Images mit Cloud Build erstellen. In dieser Phase können Abhängigkeitsprobleme hervorgehoben werden. Wenn Sie nur die von Cloud Build erstellten Images bereitstellen möchten, können Sie die Binärautorisierung verwenden. Um Lieferkettenangriffe zu verhindern, sollten Sie die von Cloud Build erstellten Images in Artifact Registry bereitstellen. Automatisierte Testtools wie SonarQube, PyLint oder OWASP ZAP einbinden
  • Verwenden Sie eine Containerplattform wie GKE oder Cloud Run, die für GPUs oder TPUs für KI- und ML-Arbeitslasten optimiert sind. Optionen zum Scannen auf Sicherheitslücken für Container in GKE-Clustern

Confidential Computing für GPUs in Betracht ziehen

Zum Schutz von aktiven Daten können Sie Confidential Computing verwenden. Herkömmliche Sicherheitsmaßnahmen schützen Daten im Ruhezustand und bei der Übertragung. Confidential Computing verschlüsselt Daten jedoch während der Verarbeitung. Wenn Sie Confidential Computing für GPUs verwenden, können Sie vertrauliche Trainingsdaten und Modellparameter vor unbefugtem Zugriff schützen. Sie können auch dazu beitragen, unbefugten Zugriff durch privilegierte Cloud-Nutzer oder potenzielle Angreifer zu verhindern, die möglicherweise Zugriff auf die zugrunde liegende Infrastruktur erhalten.

Um festzustellen, ob Sie Confidential Computing für GPUs benötigen, sollten Sie die Sensibilität der Daten, behördliche Anforderungen und potenzielle Risiken berücksichtigen.

Wenn Sie Confidential Computing einrichten, sollten Sie die folgenden Optionen in Betracht ziehen:

  • Für allgemeine KI- und ML-Arbeitslasten verwenden Sie vertrauliche VM-Instanzen mit NVIDIA T4-GPUs. Diese VM-Instanzen bieten hardwarebasierte Verschlüsselung von Daten, die verwendet werden.
  • Verwenden Sie für containerisierte Arbeitslasten Confidential GKE Nodes. Diese Knoten bieten eine sichere und isolierte Umgebung für Ihre Pods.
  • Um sicherzustellen, dass Ihre Arbeitslast in einer echten und sicheren Enklave ausgeführt wird, prüfen Sie die Attestierungsberichte, die von Confidential VM bereitgestellt werden.
  • Um Leistung, Ressourcennutzung und Sicherheitsereignisse zu verfolgen, überwachen Sie Ihre Confidential Computing-Ressourcen und Ihre Confidential GKE Nodes mit Monitoring und Logging.

Eingaben überprüfen und schützen

Behandeln Sie alle Eingaben für Ihre KI-Systeme als nicht vertrauenswürdig, unabhängig davon, ob sie von Endnutzern oder anderen automatisierten Systemen stammen. Damit Ihre KI-Systeme sicher sind und wie vorgesehen funktionieren, müssen Sie potenzielle Angriffsvektoren frühzeitig erkennen und bereinigen.

Beachten Sie die folgenden Empfehlungen, um Ihre Eingaben zu überprüfen und zu schützen.

Vorgehensweisen implementieren, die dabei helfen, generative KI-Systeme zu schützen

Betrachten Sie Prompts als kritische Anwendungskomponente, die für die Sicherheit genauso wichtig ist wie Code. Implementieren Sie eine Defense-in-Depth-Strategie, die proaktives Design, automatisierte Überprüfung und disziplinierte Lebenszyklusverwaltung kombiniert.

Um Ihre generativen KI-Prompts zu schützen, müssen Sie sie sicher gestalten, vor der Verwendung prüfen und während ihres gesamten Lebenszyklus verwalten.

So verbessern Sie die Sicherheit Ihres Prompt-Designs und Ihrer Prompt-Entwicklung:

  • Prompts klar strukturieren: Entwerfen und testen Sie alle Ihre Prompts mit den Funktionen zur Prompt-Verwaltung in Vertex AI Studio. Prompts müssen eine klare, eindeutige Struktur haben. Definieren Sie eine Rolle, fügen Sie Few-Shot-Beispiele ein und geben Sie spezifische, begrenzte Anweisungen. Diese Methoden verringern das Risiko, dass das Modell die Eingabe eines Nutzers so fehlinterpretiert, dass eine Sicherheitslücke entsteht.

  • Eingaben auf Robustheit und Fundierung testen: Testen Sie alle Ihre Systeme proaktiv auf unerwartete, fehlerhafte und schädliche Eingaben, um Abstürze oder unsichere Ausgaben zu verhindern. Red-Team-Tests verwenden, um reale Angriffe zu simulieren. Automatisieren Sie Ihre Robustheitstests als Standardschritt in Ihren Vertex AI Pipelines. Sie können die folgenden Testmethoden verwenden:

    • Fuzzing
    • Direktes Testen mit personenbezogenen Daten, vertraulichen Eingaben und SQL-Injection-Angriffen
    • Multimodale Eingaben scannen, die Malware enthalten oder gegen Prompt-Richtlinien verstoßen können.

  • Mehrstufige Sicherheit implementieren: Verwenden Sie mehrere Sicherheitsmaßnahmen und verlassen Sie sich niemals auf eine einzelne. Verwenden Sie beispielsweise für eine Anwendung, die auf Retrieval-Augmented Generation (RAG) basiert, ein separates LLM, um eingehende Nutzerabsichten zu klassifizieren und nach schädlichen Mustern zu suchen. Anschließend kann dieses LLM die Anfrage an das leistungsstärkere primäre LLM weiterleiten, das die endgültige Antwort generiert.

  • Eingaben bereinigen und validieren: Bevor Sie externe oder von Nutzern bereitgestellte Eingaben in einen Prompt einfügen, sollten Sie alle Eingaben in Ihrem Anwendungscode filtern und validieren. Diese Validierung ist wichtig, um indirekte Prompt-Injections zu verhindern.

Berücksichtigen Sie für die automatisierte Überprüfung von Prompts und Antworten die folgenden Best Practices:

  • Umfassende Sicherheitsdienste verwenden: Implementieren Sie einen dedizierten, modellunabhängigen Sicherheitsdienst wie Model Armor als obligatorische Schutzebene für Ihre LLMs. Model Armor untersucht Prompts und Antworten auf Bedrohungen wie Prompt Injection, Jailbreaking-Versuche und schädliche Inhalte. Um zu verhindern, dass Ihre Modelle in ihren Antworten vertrauliche Trainingsdaten oder geistiges Eigentum preisgeben, können Sie die Integration von Sensitive Data Protection mit Model Armor verwenden. Weitere Informationen finden Sie unter Model Armor-Filter.
  • Interaktionen überwachen und protokollieren: Führen Sie detaillierte Protokolle für alle Prompts und Antworten für Ihre Modellendpunkte. Verwenden Sie Logging, um diese Interaktionen zu prüfen, Muster von Missbrauch zu erkennen und Angriffsvektoren zu erkennen, die gegen Ihre bereitgestellten Modelle entstehen könnten.

Berücksichtigen Sie die folgenden Best Practices, um die Verwaltung des Prompt-Lebenszyklus zu schützen:

  • Versionsverwaltung für Prompts implementieren: Behandeln Sie alle Ihre Produktions-Prompts wie Anwendungscode. Verwenden Sie ein Versionskontrollsystem wie Git, um einen vollständigen Änderungsverlauf zu erstellen, Zusammenarbeitsstandards zu erzwingen und Rollbacks auf frühere Versionen zu ermöglichen. Diese zentrale MLOps-Methode kann Ihnen helfen, stabile und sichere KI-Systeme zu betreiben.
  • Prompt-Verwaltung zentralisieren: Verwenden Sie ein zentrales Repository, um alle Ihre versionierten Prompts zu speichern, zu verwalten und bereitzustellen. Diese Strategie sorgt für Konsistenz in allen Umgebungen und ermöglicht Laufzeitupdates, ohne dass die gesamte Anwendung neu bereitgestellt werden muss.
  • Regelmäßige Audits und Red-Team-Tests durchführen: Testen Sie die Sicherheitsmaßnahmen Ihres Systems kontinuierlich auf bekannte Sicherheitslücken, z. B. die in den OWASP Top 10 für LLM-Anwendungen aufgeführten. Als KI-Entwickler müssen Sie proaktiv sein und Ihre eigene Anwendung einem Red-Team-Test unterziehen, um Schwachstellen zu erkennen und zu beheben, bevor ein Angreifer sie ausnutzen kann.

Schädliche Anfragen an Ihre KI-Systeme verhindern

Neben der Authentifizierung und Autorisierung, die in diesem Dokument bereits behandelt wurden, können Sie weitere Maßnahmen ergreifen, um Ihre KI-Systeme vor böswilligen Eingaben zu schützen. Sie müssen Ihre KI-Systeme auf Szenarien nach der Authentifizierung vorbereiten, in denen Angreifer sowohl die Authentifizierungs- als auch die Autorisierungsprotokolle umgehen und dann versuchen, das System intern anzugreifen.

Um eine umfassende Strategie zu implementieren, die Ihr System vor Angriffen nach der Authentifizierung schützen kann, müssen Sie die folgenden Anforderungen erfüllen:

  • Netzwerk- und Anwendungsebenen sichern: Richten Sie eine mehrschichtige Verteidigung für alle Ihre KI-Assets ein.

    • Mit VPC Service Controls können Sie einen Sicherheitsperimeter erstellen, der die Daten-Exfiltration von Modellen aus der Modellregistrierung oder von sensiblen Daten aus BigQuery verhindert. Verwenden Sie immer den Probelaufmodus, um die Auswirkungen eines Perimeters zu prüfen, bevor Sie ihn erzwingen.
    • Um webbasierte Tools wie Notebooks zu schützen, verwenden Sie IAP.
    • Um alle Inferenzendpunkte zu schützen, verwenden Sie Apigee für Sicherheit und Governance auf Unternehmensniveau. Sie können API Gateway auch für die einfache Authentifizierung verwenden.

  • Anomalien im Abfragemuster beobachten: Ein Angreifer, der ein System auf Sicherheitslücken untersucht, sendet möglicherweise Tausende von leicht unterschiedlichen, sequenziellen Abfragen. Markieren Sie ungewöhnliche Abfragemuster, die nicht dem normalen Nutzerverhalten entsprechen.

  • Anfragevolumen im Blick behalten: Ein plötzlicher Anstieg des Anfragevolumens deutet stark auf einen DoS-Angriff (Denial-of-Service) oder einen Modell-Diebstahl hin, bei dem versucht wird, das Modell zu rekonstruieren. Mit Ratenbegrenzung und Drosselung können Sie die Anzahl der Anfragen von einer einzelnen IP-Adresse oder einem einzelnen Nutzer steuern.

  • Geografische und zeitliche Anomalien beobachten und Benachrichtigungen dafür einrichten: Legen Sie einen Basiswert für normale Zugriffsmuster fest. Benachrichtigungen bei plötzlichen Aktivitäten von ungewöhnlichen geografischen Standorten oder zu ungewöhnlichen Zeiten generieren Ein Beispiel wäre ein massiver Anstieg der Anmeldungen aus einem neuen Land um 3 Uhr morgens.

Ausgaben beobachten, bewerten und darauf reagieren

KI-Systeme bieten einen Mehrwert, weil sie Ergebnisse liefern, die die menschliche Entscheidungsfindung ergänzen, optimieren oder automatisieren. Damit die Integrität und Vertrauenswürdigkeit Ihrer KI-Systeme und ‑Anwendungen erhalten bleiben, müssen Sie dafür sorgen, dass die Ausgaben sicher sind und den erwarteten Parametern entsprechen. Außerdem benötigen Sie einen Plan für die Reaktion auf Vorfälle.

Beachten Sie die folgenden Empfehlungen, um Ihre Ausgaben zu behalten.

Modellleistung mit Messwerten und Sicherheitsmaßnahmen bewerten

Damit Ihre KI-Modelle Leistungsbenchmarks, Sicherheitsanforderungen sowie Fairness- und Compliance-Standards erfüllen, müssen Sie die Modelle gründlich bewerten. Führen Sie vor der Bereitstellung Auswertungen durch und werten Sie die Modelle in der Produktion regelmäßig aus. Um Risiken zu minimieren und vertrauenswürdige KI-Systeme zu entwickeln, sollten Sie eine umfassende Bewertungsstrategie implementieren, die Leistungsmesswerte mit spezifischen KI-Sicherheitsbewertungen kombiniert.

Berücksichtigen Sie die folgenden Empfehlungen, um die Robustheit und den Sicherheitsstatus von Modellen zu bewerten:

  • Implementieren Sie die Modellsignierung und ‑bestätigung in Ihrer MLOps-Pipeline.

    • Verwenden Sie für containerisierte Modelle die Binärautorisierung, um Signaturen zu prüfen.
    • Verwenden Sie für Modelle, die direkt in Vertex AI-Endpunkten bereitgestellt werden, benutzerdefinierte Prüfungen in Ihren Bereitstellungsskripts zur Überprüfung.
    • Verwenden Sie Cloud Build für die Modellsignierung.

  • Bewerten Sie die Robustheit Ihres Modells gegenüber unerwarteten oder feindseligen Eingaben.

    • Testen Sie alle Ihre Modelle auf häufige Datenbeschädigungen und potenziell schädliche Datenänderungen. Zum Orchestrieren dieser Tests können Sie Vertex AI Training oder Vertex AI Pipelines verwenden.
    • Führen Sie für sicherheitskritische Modelle Simulationen von feindlichen Angriffen durch, um potenzielle Sicherheitslücken zu erkennen.
    • Verwenden Sie für Modelle, die in Containern bereitgestellt werden, die Artefaktanalyse in Artifact Registry, um die Basis-Images auf Sicherheitslücken zu scannen.

  • Mit Vertex AI Model Monitoring können Sie Drift und Abweichungen für bereitgestellte Modelle erkennen. Diese Erkenntnisse fließen dann in die Zyklen für die Neubewertung oder das erneute Training ein.

  • Verwenden Sie Modellbewertungen von Vertex AI als Pipeline-Komponente mit Vertex AI Pipelines. Sie können die Modellbewertungskomponente allein oder mit anderen Pipelinekomponenten ausführen. Vergleichen Sie die Modellversionen anhand der von Ihnen definierten Messwerte und Datasets. Protokollieren Sie die Auswertungsergebnisse in Vertex ML Metadata für Herkunft und Tracking.

  • Verwenden Sie den Gen AI Evaluation Service, um Ihre ausgewählten Modelle zu bewerten oder benutzerdefinierte Workflows für die manuelle Bewertung zu implementieren.

Berücksichtigen Sie die folgenden Empfehlungen, um Fairness, Bias, Erklärbarkeit und Faktizität zu bewerten:

  • Fairness-Messwerte definieren, die Ihren Anwendungsfällen entsprechen, und dann Ihre Modelle auf potenzielle Bias in verschiedenen Datensegmenten prüfen.
  • Nachvollziehen, welche Features Modellvorhersagen beeinflussen, um sicherzustellen, dass die Features und die daraus resultierenden Vorhersagen mit dem Fachwissen und den ethischen Richtlinien übereinstimmen.
  • Mit Vertex Explainable AI können Sie Feature-Attributionen für Ihre Modelle abrufen.
  • Verwenden Sie den Gen AI Evaluation Service, um Messwerte zu berechnen. Während der Quellüberprüfungsphase des Tests wird mit dem Fundierungs-Messwert des Dienstes die Faktualität anhand des bereitgestellten Quelltexts geprüft.
  • Aktivieren Sie Grounding für die Ausgabe Ihres Modells, um eine zweite Ebene der Quellüberprüfung auf Nutzerebene zu ermöglichen.
  • Sehen Sie sich unsere KI-Grundsätze an und passen Sie sie für Ihre KI-Anwendungen an.

Ausgaben von KI- und ML-Modellen in der Produktion überwachen

Überwachen Sie Ihre KI- und ML-Modelle und die zugehörige Infrastruktur in der Produktion kontinuierlich. Es ist wichtig, Beeinträchtigungen der Qualität oder Leistung der Modellausgabe, neu auftretende Sicherheitslücken und Abweichungen von Compliance-Vorgaben umgehend zu erkennen und zu diagnostizieren. Dieses Monitoring trägt dazu bei, die Sicherheit, Zuverlässigkeit und Vertrauenswürdigkeit des Systems aufrechtzuerhalten.

Beachten Sie die folgenden Empfehlungen, um die Ausgaben von KI-Systemen auf Anomalien, Bedrohungen und Qualitätsminderungen zu überwachen:

  • Mit dem Modell-Monitoring können Sie die Modellausgaben im Blick behalten und unerwartete Änderungen bei den Vorhersageverteilungen oder Spitzen bei Vorhersagen mit niedriger Konfidenz erkennen. Überwachen Sie die Ausgaben Ihres generativen KI-Modells aktiv auf generierte Inhalte, die unsicher, voreingenommen, themenfremd oder schädlich sind. Sie können Model Armor auch verwenden, um alle Modellausgaben zu prüfen.
  • Bestimmte Fehlermuster erkennen, Qualitätsindikatoren erfassen oder schädliche oder nicht konforme Ausgaben auf Anwendungsebene erkennen. Um diese Probleme zu finden, verwenden Sie benutzerdefiniertes Monitoring in Monitoring-Dashboards und logbasierte Messwerte aus Logging.

Um Ausgaben auf sicherheitsspezifische Signale und nicht autorisierte Änderungen zu überwachen, sollten Sie die folgenden Empfehlungen berücksichtigen:

  • Unbefugte Zugriffsversuche auf KI-Modelle, Datasets in Cloud Storage oder BigQuery oder MLOps-Pipelinekomponenten erkennen. Achten Sie insbesondere auf unerwartete oder unbefugte Änderungen an IAM-Berechtigungen für KI-Ressourcen. Verwenden Sie die Audit-Logs zu Administratoraktivitäten und Datenzugriff in Cloud-Audit-Logs, um diese Aktivitäten zu verfolgen und auf verdächtige Muster zu prüfen. Integrieren Sie die Ergebnisse aus Security Command Center, mit denen Sicherheitskonfigurationsfehler und potenzielle Bedrohungen für Ihre KI-Assets erkannt werden können.
  • Behalten Sie die Ausgaben im Blick, um eine hohe Anzahl von Anfragen oder Anfragen von verdächtigen Quellen zu erkennen. Dies kann auf Versuche hindeuten, Modelle zu analysieren oder Daten zu exfiltrieren. Sie können den Schutz sensibler Daten auch verwenden, um die Exfiltration potenziell sensibler Daten zu überwachen.
  • Protokolle in Ihre Sicherheitsvorgänge einbinden Mit Google Security Operations können Sie Cyberbedrohungen in Ihren KI-Systemen erkennen, orchestrieren und darauf reagieren.

Wenn Sie den betrieblichen Zustand und die Leistung der Infrastruktur, die Ihre KI-Modelle bereitstellt, im Blick behalten möchten, sollten Sie die folgenden Empfehlungen berücksichtigen:

  • Betriebliche Probleme identifizieren, die sich auf die Bereitstellung von Diensten oder die Modellleistung auswirken können.
  • Überwachen Sie Vertex AI-Endpunkte auf Latenz, Fehlerraten und Traffic-Muster.
  • MLOps-Pipelines auf Ausführungsstatus und Fehler überwachen
  • Verwenden Sie Monitoring, das vorgefertigte Messwerte bietet. Sie können auch benutzerdefinierte Dashboards erstellen, um Probleme wie Endpunktausfälle oder Pipelinefehler zu erkennen.

Benachrichtigungs- und Incident-Response-Verfahren implementieren

Wenn Sie potenzielle Probleme in Bezug auf Leistung, Sicherheit oder Compliance erkennen, ist eine effektive Reaktion entscheidend. Implementieren Sie zuverlässige Benachrichtigungsmechanismen, um sicherzustellen, dass die entsprechenden Teams rechtzeitig benachrichtigt werden. Richten Sie umfassende, KI-basierte Verfahren für die Reaktion auf Vorfälle ein und setzen Sie sie um, um diese Probleme effizient zu verwalten, einzugrenzen und zu beheben.

Berücksichtigen Sie die folgenden Empfehlungen, um robuste Benachrichtigungsmechanismen für KI-Probleme einzurichten, die Sie identifizieren:

  • Konfigurieren Sie umsetzbare Benachrichtigungen, um die zuständigen Teams auf Grundlage der Monitoring-Aktivitäten Ihrer Plattform zu informieren. Sie können beispielsweise Benachrichtigungen so konfigurieren, dass sie ausgelöst werden, wenn das Modellmonitoring erhebliche Drift-, Abweichungs- oder Vorhersageanomalien erkennt. Sie können auch Benachrichtigungen konfigurieren, die ausgelöst werden, wenn in Model Armor oder benutzerdefinierten Monitoring-Regeln schädliche Eingaben oder unsichere Ausgaben erkannt werden.
  • Definieren Sie eindeutige Benachrichtigungskanäle, die Slack, E-Mail oder SMS über Pub/Sub-Integrationen umfassen können. Passen Sie die Benachrichtigungschannels für Ihre Warnungsschweregrade und die zuständigen Teams an.

Entwickeln und operationalisieren Sie einen KI-basierten Reaktionsplan für Vorfälle. Ein strukturierter Incident-Response-Plan ist unerlässlich, um potenzielle Auswirkungen zu minimieren und die Wiederherstellung zu gewährleisten. Passen Sie diesen Plan an, um KI-spezifische Risiken wie Manipulationen am Modell, falsche Vorhersagen aufgrund von Drift, Prompt Injection oder unsichere Ausgaben von generativen Modellen zu berücksichtigen. Ein effektiver Plan umfasst die folgenden wichtigen Phasen:

  • Vorbereitung: Identifizieren Sie Assets und ihre Sicherheitslücken, entwickeln Sie Playbooks und sorgen Sie dafür, dass Ihre Teams die entsprechenden Berechtigungen haben. Diese Phase umfasst die folgenden Aufgaben:

    • Identifizieren Sie kritische KI-Assets wie Modelle, Datasets und bestimmte Vertex AI-Ressourcen wie Endpunkte oder Vertex AI Feature Store-Instanzen.
    • Potenzielle Fehlerarten oder Angriffsvektoren der Assets identifizieren.

    • Entwickeln Sie KI-spezifische Playbooks für Vorfälle, die dem Bedrohungsmodell Ihrer Organisation entsprechen. Playbooks können beispielsweise Folgendes enthalten:

      • Ein Modell-Rollback, bei dem die Versionsverwaltung in Model Registry verwendet wird.
      • Eine Notfall-Retraining-Pipeline in Vertex AI Training.
      • Die Isolation einer kompromittierten Datenquelle in BigQuery oder Cloud Storage.

    • Mit IAM können Sie dafür sorgen, dass die Reaktionsteams den erforderlichen Zugriff mit den geringsten Berechtigungen auf Tools haben, die während eines Vorfalls benötigt werden.

  • Identifizierung und Triage: Verwenden Sie konfigurierte Benachrichtigungen, um potenzielle Vorfälle zu erkennen und zu validieren. Legen Sie klare Kriterien und Grenzwerte dafür fest, wie Ihre Organisation einen KI-bezogenen Vorfall untersucht oder meldet. Für detaillierte Untersuchungen und die Beweissammlung sollten Sie Logging für Anwendungs- und Dienstlogs sowie Cloud-Audit-Logs für Administratoraktivitäten und Datenzugriffsmuster verwenden. Sicherheitsteams können Google SecOps für detailliertere Analysen der Sicherheitstelemetrie verwenden.

  • Eindämmung: Isolieren Sie betroffene KI-Systeme oder ‑Komponenten, um weitere Auswirkungen oder Daten-Exfiltration zu verhindern. Diese Phase kann die folgenden Aufgaben umfassen:

    • Deaktivieren Sie einen problematischen Vertex AI-Endpunkt.
    • Bestimmte IAM-Berechtigungen widerrufen.
    • Firewallregeln oder Cloud Armor-Richtlinien aktualisieren
    • Pausieren Sie eine Vertex AI-Pipeline, die sich nicht ordnungsgemäß verhält.

  • Beseitigung: Die Ursache des Vorfalls ermitteln und beseitigen. Diese Phase kann die folgenden Aufgaben umfassen:

    • Patchen Sie den anfälligen Code in einem benutzerdefinierten Modellcontainer.
    • Entfernen Sie die identifizierten schädlichen Backdoors aus einem Modell.
    • Bereinigen Sie die manipulierten Daten, bevor Sie einen sicheren Retraining-Job in Vertex AI Training starten.
    • Aktualisieren Sie alle unsicheren Konfigurationen.
    • Die Logik zur Eingabevalidierung verfeinern, um bestimmte Techniken zur Prompt-Injektion zu blockieren.

  • Wiederherstellung und sichere erneute Bereitstellung: Stellen Sie die betroffenen KI-Systeme in einem bekannten, sicheren Betriebszustand wieder her. Diese Phase kann die folgenden Aufgaben umfassen:

    • Eine zuvor validierte und vertrauenswürdige Modellversion aus Model Registry bereitstellen
    • Sorgen Sie dafür, dass Sie alle Sicherheitspatches für Schwachstellen finden und anwenden, die in Ihrem Code oder System vorhanden sein könnten.
    • Setzen Sie die IAM-Berechtigungen auf das Prinzip der geringsten Berechtigung zurück.

  • Aktivitäten nach dem Vorfall und gewonnene Erkenntnisse: Führen Sie nach der Behebung der schwerwiegenden KI-Vorfälle eine gründliche Überprüfung nach dem Vorfall durch. An dieser Überprüfung sind alle relevanten Teams beteiligt, z. B. die Teams für KI und ML, MLOps, Sicherheit und Data Science. Den gesamten Lebenszyklus des Vorfalls nachvollziehen. Nutzen Sie diese Erkenntnisse, um das Design des KI-Systems zu optimieren, Sicherheitskontrollen zu aktualisieren, Überwachungskonfigurationen zu verbessern und den Plan und die Playbooks für die Reaktion auf KI-Vorfälle zu optimieren.

Integrieren Sie die KI-Reaktion auf Vorfälle in die umfassenderen Organisationsframeworks, z. B. IT- und Sicherheitsvorfallmanagement, um koordinierte Maßnahmen zu ermöglichen. Um Ihre KI-spezifische Reaktion auf Vorfälle an die Frameworks Ihrer Organisation anzupassen, sollten Sie Folgendes berücksichtigen:

  • Eskalierung: Legen Sie klare Wege für die Eskalierung wichtiger KI-Vorfälle an das zentrale SOC, die IT, die Rechtsabteilung oder die relevanten Geschäftsbereiche fest.
  • Kommunikation: Verwenden Sie etablierte Organisationskanäle für alle internen und externen Vorfallberichte und ‑aktualisierungen.
  • Tools und Prozesse: Verwenden Sie vorhandene Systeme zur Vorfallverwaltung und zum Ticketing für KI-Vorfälle, um eine konsistente Nachverfolgung und Sichtbarkeit zu gewährleisten.
  • Zusammenarbeit: Definieren Sie im Voraus Protokolle für die Zusammenarbeit zwischen KI- und ML-, MLOps-, Data Science-, Sicherheits-, Rechts- und Compliance-Teams, um effektiv auf KI-Vorfälle reagieren zu können.

Beitragende

Autoren:

Weitere Beitragende:

Zurück
Operative Exzellenz
Weiter
Zuverlässigkeit