檢視次數:

配置 AI secure access rule 以控制使用者對基於網路的 AI 服務的存取,並監控敏感或不當內容。

注意
注意
AI Secure Access Rules 優先於網路存取規則。

步驟

  1. 安全存取規則畫面上,點擊「AI Secure Access」標籤,然後點擊「Create AI Secure Access Rule」
    規則配置畫面顯示已選擇「AI secure access」規則範本。
  2. 指定規則的唯一名稱和描述。
  3. 指定適用的生成式 AI 服務是公共生成式 AI 服務還是私人生成式 AI 服務。
  4. (選擇性)若要啟用或關閉規則,請點選狀態旁的切換開關。
    秘訣
    秘訣
    您也可以在安全存取規則畫面上啟用或關閉規則。
  5. 配置以下規則設定。
    規則設定
    說明
    選項
    規則目標
    受規則針對或排除的使用者、裝置和位置
    • Users / Groups/ IP address groups:目標或排除註冊在您配置的 SSO 提供者上的使用者或群組。您也可以選擇目標或排除公共和私人 IP 位址群組。
      • 只有從配置為您SSO提供者的IAM系統中的用戶或群組才能在規則中使用。
      • 透過點擊新增來定義新的 IP 位址群組,並選擇公用或私人 IP 位址群組。如果您選擇了私人 IP 位址,則這些 IP 位址或範圍必須存在於您內部的公司網路中。
      • 您可以包含和排除自訂 URL 和自訂雲端應用程式。
      重要
      重要
      規則可能不適用於未安裝安全存取模組且不發送包含X-Forwarded-For (XFF)標頭欄位的 HTTP/HTTPS 請求的裝置。網路存取閘道無法檢索這些裝置的私人 IP 位址。
    • Device posture profile:選擇或新增裝置狀態設定檔,以排除使用安全存取模組存取網路的合規裝置。
    • Locations:目標為在您的網路存取雲端閘道或網路存取內部閘道上定義的可用企業或公共/家庭網路位置。
      • 透過前往「Secure Access Configuration」「Internet Access and AI Secure Access Configuration」「Gateways」來定義特定閘道上的網路位置。
    流量
    此規則適用於 AI 服務流量
    AI services
    指定所有可用的AI服務或選定的AI服務。關於支援的AI服務的詳細資訊,請參閱公共AI服務類別
    重要
    重要
    • Services supporting content inspection中選擇以啟用進階生成式 AI 內容正在過濾。不支援內容檢查的 AI 服務只能允許或已封鎖。目前支援的 AI 服務包括:
      • 亞馬遜基岩
        • Converse 和 ConverseStream(所有版本)
        • InvokeModel 和 InvokeModelWithResponseStream(僅限 Anthropic 模型)
      • Anthropic API 和 Claude(所有版本)
      • ChatGPT(所有版本)
      • DeepSeek(所有版本)
      • GitHub Copilot(Visual Studio Code – 聊天面板專用)
      • Google Gemini(前稱 Bard)
      • Microsoft Copilot(前稱 Bing 聊天)
      • Microsoft 365 的 Microsoft Copilot
      • 困惑度(所有版本)
    • 如果將規則應用於公共AI服務,您必須前往「Internet Access and AI Secure Access Configuration」「HTTPS Inspection」,並為以下URL類別添加或啟用HTTPS檢查規則:
      • 商業/經濟
      • 搜尋引擎/入口網站
      • 電腦/網路
    排程
    規則應用的時間範圍
    選擇Custom來設定每週計劃。勾選Only apply the rule during the specified period並選擇日期範圍來設定特定期間。
    注意
    注意
    排程使用您公司網路位置中定義的時區。來自公共或家庭網路的連線使用 UTC+0。
    處理行動
    當規則被觸發時的中毒處理行動
    • 封鎖 AI 安全存取:封鎖對所有支援的 AI 服務的存取。
    • 允許 AI 透過進階 AI 內容檢查進行安全存取:允許在指定的內容檢查參數內存取指定的 AI 服務以進行提示或回應。
      注意
      注意
      預設情況下,所有參數均設為「允許」。您可以將個別參數設置為:
      • 「監控」。這允許提示或回應訪問支援的AI服務,但會記錄事件。
      • 「封鎖」。阻止對所有支援的AI服務的存取。
      • 提示設定包括:
        • 檔案上傳偵測:監控或封鎖嘗試上傳檔案至AI服務
        • 敏感資料遺失提示檢測:根據AI內容檢查規則監控或阻止包含敏感資料的提示文件。如果您選擇此設定,必須選擇一個AI內容檢查規則。
          注意
          注意
          目前,ZTSA 僅支援 3 種 AI 服務進行敏感資料內容檢查:
          • Google Gemini(Google Bard)
          • Microsoft Copilot / Bing Copilot / Bing 搜尋
          • OpenAI ChatGPT
        • 潛在的提示注入檢測:監控或封鎖可能嘗試向 AI 服務提供惡意指令的提示,並允許該服務散佈惡意程式、竊取敏感資料或控制系統
        • 有害提示檢測:監控或封鎖以下有害提示:
          • 仇恨:故意表達歧視、騷擾、威脅、侮辱或髒話的語言。
          • 淫穢內容:涉及露骨性行為及/或圖像的內容。
          • 暴力和非法:描述非法或危險行為的語言。
        • 檔案上傳偵測:監控或封鎖嘗試上傳檔案至 AI 服務的行為
      • 回應設定包括:
        • 不當回應內容檢測:根據 AI 內容檢查規則,監控或阻止被檢測為包含不當資料的回應
        • 封鎖包含惡意 URL 的回應,這些 URL 由趨勢科技安全威脅專家檢測出來
  6. 點選儲存
    「AI Secure Access」畫面上查看所有可用的規則。