sai-teja-girimaji/dspm-posture-simulator
GitHub: sai-teja-girimaji/dspm-posture-simulator
这是一个基于浏览器的Azure AI代理数据暴露风险评估模拟器,帮助用户量化风险并提供行动建议。
Stars: 0 | Forks: 0
# DSPM 姿态模拟器 — Azure AI 代理数据暴露风险评估
[](https://sai-teja-girimaji.github.io/dspm-posture-simulator)
[](#built-with)
[](https://pages.github.com/)
[](#disclaimer)
这是一个基于浏览器的交互式工具,它根据实践者提供的环境参数,计算跨越五个加权维度的 **Azure AI 代理数据暴露风险评分**。它将关于代理驱动数据暴露的对话 — _"如果 Copilot 能访问到这个范围,我们暴露了多少?"_ — 转化为一个具体的评分、一段叙述和一份优先级排序的行动列表,而无需接触任何实际租户。
## 实时演示
**[https://sai-teja-girimaji.github.io/dspm-posture-simulator](https://sai-teja-girimaji.github.io/dspm-posture-simulator)**
无需安装,无需注册,无数据追踪。打开链接,即可开始调整滑块。
## 评估内容
模拟器将整体暴露度分解为五个加权的子维度,每个子维度评分范围为 `0–100`:
| # | 维度 | 衡量内容 | 权重 |
|---|------|----------|------|
| 1 | **发现差距** | 数据资产中有多少部分是未分类、未标记的,且对安全团队来说实质上是未知的 | 20% |
| 2 | **访问爆炸半径** | 代理一旦被调用,能触及敏感数据的范围有多广 — 这取决于 RBAC 卫生状况、资产规模和代理覆盖范围 | 25% |
| 3 | **策略覆盖差距** | 有多少敏感数据未被 DLP 策略和出站控制所保护 | 20% |
| 4 | **代理扩散风险** | 由活跃 AI 代理数量产生的暴露面,在周围控制措施薄弱时会被放大 | 20% |
| 5 | **修复滞后** | 上次数据发现活动的陈旧程度 — 根据昨日资产校准的控制措施无法治理今日的环境 | 15% |
总体评分是这五个维度的加权总和。
## 使用方法
1. **打开实时网址** — [sai-teja-girimaji.github.io/dspm-posture-simulator](https://sai-teja-girimaji.github.io/dspm-posture-simulator)。
2. **调整左侧的滑块和下拉菜单**,以反映您的 Azure 环境 — 存储规模、代理覆盖范围、RBAC 卫生状况、DLP 覆盖率、敏感数据类别以及上次数据发现活动后的时间。
3. **在右侧查看您的风险评分和分解详情** — 总体评分、各维度评分条以及一段解释输入组合含义的叙述性段落。
4. **查看前三项优先建议** — 每条建议都根据您的输入量身定制,并附有估计的分值降低量。
5. **复制可分享的摘要** 作为文本,用于 LinkedIn、内部报告、董事会汇报或客户沟通。
所有计算均在客户端完成;页面状态是临时的,绝不会离开您的浏览器。
## 数据输入
模拟器接受八项输入:
1. **Azure 存储帐户和 Blob 容器的数量** — 滑块,范围 `1–500`。
2. **AI 代理可访问的 SharePoint 站点数量** — 滑块,范围 `1–200`。
3. **活跃的 Copilot / 代理型 AI 部署数量** — 滑块,范围 `1–50`。
4. **数据分类覆盖率** — 滑块,范围 `0–100%`。
5. **RBAC 卫生状况** — 下拉菜单:严格(<10%),适中(10–30%),宽松(30–60%),未治理(>60%)。
6. **DLP 策略覆盖率** — 下拉菜单:全面,部分,最小化,无。
7. **存在的敏感数据类别** — 多选:PII、凭据和机密、财务记录、医疗数据、法律与合同、源代码、内部战略。
8. **上次数据发现活动** — 下拉菜单:过去30天,过去6个月,过去一年,从未。
## 风险评分
每个子维度根据相关输入的加权组合计算得出。然后,总体评分是五个子维度的加权总和(权重见上表),得出一个 `0–100` 的综合评分。
该综合评分映射到四个等级:
| 分数范围 | 等级 | 含义 |
|----------|------|------|
| `0 – 30` | **低** | 防御姿态良好 — 保持现有控制和节奏。 |
| `31 – 60` | **中** | 存在暴露但可控制 — 优先处理主要驱动因素。 |
| `61 – 80` | **高** | 显著暴露 — 需要协调一致的修复措施。 |
| `81 – 100` | **危急** | 危急暴露 — 当前存在事件发生的条件。 |
类别敏感性被纳入考量,而不仅仅是简单计数:凭据和医疗数据比内部战略文档具有更高的权重,这反映了现实世界的数据泄露影响和监管风险。
## 覆盖的 Azure 技术栈
该模型针对 AI 代理数据暴露最常涉及的 Microsoft Azure 和 Microsoft 365 控制平面进行了校准:
- **Microsoft Entra ID** — 身份卫生、RBAC、代理服务主体
- **Azure Blob 存储** — 作为主要数据存储库的存储帐户和容器
- **SharePoint Online** — 代理可访问的内容界面
- **Microsoft Copilot** — Microsoft 365 Copilot、自定义 Copilot、Azure AI 代理
- **Microsoft Purview** — 数据发现、分类和标记
- **DLP 策略** — Purview DLP、Defender for Cloud Apps 及等效的出站控制
## 免责声明
这是一个基于常见 DSPM 框架和实践者启发法的**教育工具**。它**不是供应商产品**,不连接到任何实际的 Azure 环境,也不会传输、存储或分析租户数据。模拟器产生的评分是说明性的 —— 它们是风险对话的框架辅助工具,不能替代审计或作为合规性证明。
## 构建工具
- **纯 HTML、CSS 和原生 JavaScript** — 无框架,无构建步骤。
- **无后端、无 API 密钥、无数据追踪** — 完全在客户端运行。
- **CDN 依赖**仅限于 Google Fonts (Inter)。
- **可部署在 GitHub Pages** 上,作为一个单一的静态 `index.html` 文件。
- **使用 [Claude Code](https://claude.com/claude-code) 构建** — Anthropic 官方的代理工程 CLI 工具。
## 作者
**Sai Teja Girimaji**
**NTT DATA** 网络安全能力负责人
云安全 · AI 安全 · 托管安全服务
GitHub — [github.com/sai-teja-girimaji](https://github.com/sai-teja-girimaji)
标签:AI安全, Azure, Azure AI, Chat Copilot, DSPM, 交互式工具, 代理风险, 后端开发, 多模态安全, 安全态势管理, 安全评分, 教育工具, 数据可视化, 数据暴露, 数据治理, 浏览器应用