Захист даних
Класифікація даних, DLP-політики, шифрування at rest та in transit, Microsoft Purview для AI-розробки
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Захист даних в AI-розробці
При використанні AI-інструментів для розробки критично важливо забезпечити захист даних на кожному рівні -- від класифікації до шифрування та запобігання витокам.
Класифікація даних
Перш ніж захищати дані, необхідно їх класифікувати:
| Рівень | Приклади | AI-використання |
|---|---|---|
| Public | Документація, open-source код | Вільне використання з AI |
| Internal | Внутрішні процедури, архітектура | Обережне використання, без cloud AI |
| Confidential | Бізнес-дані, код продукту | Лише локальні AI-моделі |
| Restricted | PII, фінансові дані, секрети | Заборона використання з AI |
Визначте політику використання AI для кожного рівня класифікації ПЕРЕД впровадженням AI-інструментів. Це запобігає випадковому витоку конфіденційних даних.
Data Loss Prevention (DLP)
Політики DLP для AI-розробки
DLP-політики повинні враховувати нові канали витоку через AI:
- Промпти до cloud AI -- дані, що надсилаються в ChatGPT, Claude, Copilot
- Контекст IDE -- файли, які AI-плагіни надсилають на сервери
- AI-логи -- історія чатів з AI-асистентами
- Тренувальні дані -- дані, використані для fine-tuning
Microsoft Purview DLP
Microsoft Purview забезпечує DLP для Microsoft 365 та beyond:
- Sensitivity Labels -- автоматична та ручна класифікація документів
- DLP Policies -- правила запобігання витоку за типом даних
- Endpoint DLP -- контроль копіювання даних на пристроях
- Communication Compliance -- моніторинг комунікацій
Налаштування DLP для AI
Приклад правила DLP:
- Умова: документ містить credit card numbers / SSN / passport numbers
- Дія: блокувати копіювання в буфер обміну для AI-додатків
- Сповіщення: повідомити security team
- Виключення: авторизовані AI-додатки з належним шифруванням
Шифрування
At Rest (у стані спокою)
| Рівень | Технологія | Використання |
|---|---|---|
| Disk-level | BitLocker, dm-crypt | Повне шифрування дисків |
| File-level | EFS, VeraCrypt | Окремі файли та папки |
| Database-level | TDE, Always Encrypted | Бази даних |
| Application-level | Custom encryption | Специфічні дані додатку |
In Transit (при передачі)
- TLS 1.3 -- для всіх мережевих з'єднань
- mTLS -- взаємна автентифікація між сервісами
- VPN -- для доступу до корпоративних ресурсів
- SSH -- для віддаленого доступу до серверів
При використанні cloud AI-сервісів переконайтеся, що з'єднання захищене TLS 1.2+ і провайдер не зберігає ваші промпти для тренування моделей.
Key Management
- Використовуйте Azure Key Vault або HashiCorp Vault
- Ротація ключів за розкладом
- Розділення ключів шифрування та доступу
- HSM (Hardware Security Module) для критичних ключів
Microsoft Purview
Microsoft Purview -- це комплексне рішення для data governance:
Можливості
Sensitivity Labels
Створіть мітки для класифікації:
- Public -- без обмежень
- General -- базові обмеження
- Confidential -- шифрування, обмеження доступу
- Highly Confidential -- шифрування, watermark, обмеження друку
Захист даних при використанні AI
Правила для розробників
- Не копіюйте production-дані в промпти AI
- Використовуйте синтетичні дані для тестування AI
- Перевіряйте output AI на наявність конфіденційних даних
- Логуйте використання AI -- хто, коли, які дані
- Очищуйте контекст -- не залишайте конфіденційні дані в AI-чатах
Data Masking
Перед використанням даних з AI застосовуйте masking:
- Заміна імен на placeholder
- Маскування номерів карток
- Анонімізація IP-адрес
- Генерація синтетичних даних для тестування
Див. також
RBAC, MFA та управління привілеями
ISO 27001, GDPR та інші стандарти
Data residency та compliance для Copilot