Microsoft Azure Üzerinde Gerçekten Çalışan Bir Yapay Zeka Yönetişim Çerçevesi
Bir denetçi tek bir soru sorar: "Bu politikanın çalışma zamanında (runtime) nerede uygulandığını bana göster."
Çoğu şirket bu testte başarısız olur. 40 sayfalık belgeler ve risk sicilleri sunarlar. Belgeler niyeti tanımlar. Bir geliştiricinin onaylanmamış bir model kullanmasını engellemezler. Bir ajanın alt ajanlar oluşturmasını durdurmazlar.
Politika dosyanız ile çalışan sisteminiz arasındaki boşluk, ihlallerin gerçekleştiği yerdir.
Bunu düzeltmek için zorunlu bir AI gateway'e ihtiyacınız var. Bu, sizin evrensel kontrol düzleminizdir (control plane). Her model çağrısı ve her ajan eylemi onun üzerinden geçmelidir.
Microsoft Azure üzerinde üç düzlemi birbirine bağlamalısınız:
• Kimlik (Microsoft Entra): Gateway, her çağırıcıyı bir modele ulaşmadan önce doğrular. • Veri (Microsoft Purview): Gateway, PII maskelemesi uygular ve Purview'un gözden kaçırabileceği olayları günlüğe kaydeder. • Model (Azure AI Foundry): Gateway, model izin listelerini (allowlists) ve token sınırlarını uygular.
Zorunlu bir gateway, belgelerin yapamadığı üç görevi yerine getirir:
- Gölge modelleri (shadow models) ortadan kaldırır: Eğer model erişimine yalnızca gateway üzerinden izin verirseniz, onaylanmamış modeller bağlantı kuramaz.
- Ajan yayılımını (agent sprawl) kontrol altına alır: Her ajan eylemi, yetkilendirme için merkezi bir noktadan geçmelidir.
- Sürekli kanıt üretir: Her çağrı bir denetim olayı haline gelir. Artık incelemeler için kanıt üretmek zorunda kalmazsınız; onları sürekli olarak toplarsınız.
Yönetişimi bir hız vergisi olarak görmeyin. Onu bir mimari olarak ele alın.
Gölge modelleri bir tespit problemi olarak görmeyi bırakın. Bu bir yönlendirme kararıdır. Eğer ağınız çıkışa (egress) yalnızca gateway üzerinden izin verirse, sorun ortadan kalkar.
Prompt injection'ı sadece bir güvenlik sorunu olarak görmeyi bırakın. Bu bir hesap verebilirlik sorunudur. Yüksek sonuç doğurabilecek eylemleri LLM döngüsünün dışında tutun. Önemli işlemleri yetkilendirmek için ayrı ve kısıtlanmış bir yol kullanın.
Yönetişiminizi üç aşamada inşa edin:
- Keşif: Denetim modu (audit-mode) politikalarını kullanın. Hiçbir şeyi engellemeden gölge modellerinizi ve veri soy ağacı (lineage) kopukluklarını bulun.
- Zorunlu Geçitler: Reddetme (deny) politikalarını açın. Değerlendirme geçitlerini CI/CD hattınıza (pipeline) entegre edin, böylece uyumsuz modeller geliştirme aşamasında başarısız olsun.
- Sürekli Kanıt: Değiştirilemez (immutable) günlükleme kullanın. Belirli anlardaki onayların yerine canlı verileri koyun.
Yönetişim klasörlerinizde değil, kodunuzda yaşar.
Kaynak: https://dev.to/az365ai/an-ai-governance-framework-on-microsoft-azure-that-actually-works-3773
İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi
