Microsoft Azure-এ একটি কার্যকর AI Governance Framework
একজন অডিটর একটি প্রশ্ন করেন: "আমাকে দেখান এই পলিসিটি রানটাইমে (runtime) কোথায় প্রয়োগ করা হচ্ছে।"
বেশিরভাগ কোম্পানি এই পরীক্ষায় ব্যর্থ হয়। তারা ৪০ পৃষ্ঠার নথি এবং risk registers জমা দেয়। নথিগুলো কেবল উদ্দেশ্য বর্ণনা করে। এগুলো কোনো ডেভেলপারকে একটি অননুমোদিত মডেল ব্যবহার করা থেকে আটকাতে পারে না। এগুলো কোনো এজেন্টকে sub-agents তৈরি করা থেকেও আটকাতে পারে না।
আপনার পলিসি বাইন্ডার এবং আপনার চলমান সিস্টেমের মধ্যকার ব্যবধানেই নিরাপত্তা লঙ্ঘন (breaches) ঘটে।
এটি সমাধানের জন্য আপনার একটি বাধ্যতামূলক AI gateway প্রয়োজন। এটি হলো আপনার ইউনিভার্সাল কন্ট্রোল প্লেন (universal control plane)। প্রতিটি মডেল কল এবং প্রতিটি এজেন্টের কাজ এর মাধ্যমেই সম্পন্ন হতে হবে।
Microsoft Azure-এ, আপনাকে তিনটি প্লেন (planes) সংযুক্ত করতে হবে:
• Identity (Microsoft Entra): গেটওয়েটি প্রতিটি কলারকে (caller) মডেলে পৌঁছানোর আগে যাচাই (authenticate) করে। • Data (Microsoft Purview): গেটওয়েটি PII redaction প্রয়োগ করে এবং এমন সব ইভেন্ট লগ করে যা Purview মিস করতে পারে। • Model (Azure AI Foundry): গেটওয়েটি মডেল allowlists এবং token limits প্রয়োগ করে।
একটি বাধ্যতামূলক গেটওয়ে এমন তিনটি কাজ করে যা নথি দিয়ে সম্ভব নয়:
- এটি shadow models নির্মূল করে: আপনি যদি শুধুমাত্র গেটওয়ের মাধ্যমে মডেল অ্যাক্সেস করার অনুমতি দেন, তবে অননুমোদিত মডেলগুলো সংযোগ করতে ব্যর্থ হবে।
- এটি agent sprawl নিয়ন্ত্রণ করে: প্রতিটি এজেন্টের কাজ অথরাইজেশনের (authorization) জন্য একটি কেন্দ্রীয় পয়েন্টের মাধ্যমে সম্পন্ন হতে হবে।
- এটি নিরবচ্ছিন্ন প্রমাণ (continuous evidence) তৈরি করে: প্রতিটি কল একটি অডিট ইভেন্টে পরিণত হয়। আপনাকে আর রিভিউয়ের জন্য কৃত্রিমভাবে প্রমাণ তৈরি করতে হবে না; আপনি এটি প্রতিনিয়ত সংগ্রহ করতে পারবেন।
Governance-কে গতির ওপর কর (speed tax) হিসেবে গণ্য করবেন না। এটিকে আর্কিটেকচার হিসেবে বিবেচনা করুন।
Shadow models-কে কেবল একটি শনাক্তকরণের (detection) সমস্যা হিসেবে দেখা বন্ধ করুন। এটি একটি রাউটিং সিদ্ধান্ত। আপনার নেটওয়ার্ক যদি শুধুমাত্র গেটওয়ের মাধ্যমে egress করার অনুমতি দেয়, তবে এই সমস্যাটি দূর হয়ে যাবে।
Prompt injection-কে কেবল একটি নিরাপত্তা সমস্যা হিসেবে দেখা বন্ধ করুন। এটি একটি জবাবদিহিতার (accountability) বিষয়। উচ্চ-পরিণতিসম্পন্ন কাজগুলোকে LLM লুপের বাইরে রাখুন। গুরুত্বপূর্ণ অপারেশনগুলো অথরাইজ করার জন্য একটি আলাদা এবং সীমাবদ্ধ পথ ব্যবহার করুন।
আপনার Governance তিনটি ধাপে তৈরি করুন:
- Discovery: অডিট-মোড পলিসি ব্যবহার করুন। কোনো কিছু ব্লক না করেই আপনার shadow models এবং lineage breaks খুঁজে বের করুন।
- Enforced Gates: Deny পলিসি চালু করুন। আপনার CI/CD পাইপলাইনে ইভালুয়েশন গেট (evaluation gates) যুক্ত করুন যাতে নন-কমপ্লায়েন্ট মডেলগুলো ডেভেলপমেন্টের সময়েই ব্যর্থ হয়।
- Continuous Evidence: ইমিউটেবল লগিং (immutable logging) ব্যবহার করুন। নির্দিষ্ট সময়ের অ্যাপ্রুভাল বা অনুমোদনের পরিবর্তে লাইভ ডেটা ব্যবহার করুন।
Governance আপনার কোডে থাকে, আপনার ফোল্ডারে নয়।
Source: https://dev.to/az365ai/an-ai-governance-framework-on-microsoft-azure-that-actually-works-3773
Optional learning community: https://t.me/GyaanSetuAi
