Üçüncü Taraf LLM'lerde Veri Koruma için Microsoft Purview'i Yapılandırma

Üçüncü Taraf LLM'lerde Veri Koruma için Microsoft Purview'i Yapılandırma

18 Şubat 2026

Giriş: Harici Yüksek Lisans Çağında Veri Yönetişiminin Zorlukları

2026 yılına gelindiğinde Büyük Dil Modelleri (LLM'ler) ve üretken Yapay Zeka (AI) araçlarının benimsenmesi birçok kuruluşta bir gerçeklik haline geldi. Microsoft 365 Copilot gibi yerel çözümler güvenli entegrasyonlar ve veri yönetimi sunarken birçok şirket, web veya API'ler aracılığıyla erişilebilen çeşitli diğer üçüncü taraf LLM'lerden de yararlanır. Harici yapay zeka araçlarının bu şekilde çoğalması, inovasyon ve üretkenlik açısından faydalı olsa da önemli bir riski de beraberinde getiriyor: hassas verilerin kasıtsız veya kötü niyetli olarak açığa çıkması [1].

Verimlilik veya merak peşinde koşan çalışanlar, yanlışlıkla ticari sırları, müşteri bilgilerini, finansal verileri veya fikri mülkiyet haklarını, kurumsal çözümlerle aynı güvenlik ve gizlilik garantilerine sahip olmayan genel yapay zeka sohbet arayüzlerine veya üçüncü taraf LLM'lere yapıştırabilir. Bu davranış, büyük veri sızıntılarına, uyumluluk ihlallerine ve ciddi itibar hasarına yol açabilir. Çalışanların halka açık yapay zeka modellerini hassas şirket verileriyle "eğitmesi" riski, 2026'nın en büyük veri güvenliği ve yönetişim endişelerinden biridir [2].

Microsoft Purview, bu zorluğun üstesinden gelmek için 2026'da Veri Kaybını Önleme (DLP) özelliklerini önemli ölçüde genişletti. Purview artık bir "Yapay Zeka güvenlik ağ geçidi" görevi görüyor ve hassas verilerin yetkisiz harici yapay zeka araçlarına gerçek zamanlı olarak gönderilmesini izliyor ve engelliyor. Giden trafiği inceler, hassas veri kalıplarını tanımlar ve sızıntıyı önleyecek politikaları uygulayarak yapay zeka inovasyonunun veri güvenliği ve uyumluluğundan taviz vermemesini sağlar [3].

Bu teknik ve eğitici makalenin amacı uyumluluk yöneticilerine, güvenlik analistlerine ve BT liderlerine üçüncü taraf LLM'lerle ilişkili riskleri anlama ve hassas verileri korumak için Microsoft Purview savunmalarını yapılandırma konusunda rehberlik etmektir. Yapay zeka hizmetleri için belirli DLP politikalarının uygulanmasına yönelik temel ilkeleri, ön koşulları ve ayrıntılı bir adım adım kılavuzu ele alacağız.

Üçüncü Taraf LLM'lerin Riskleri ve Yönetişim İhtiyacı

Üçüncü taraf LLM'lere erişim kolaylığı ve gücü, iki ucu keskin bir kılıç olabilir. Avantajlar sunarken aynı zamanda kurumsal veri güvenliğine yönelik önemli riskler de taşırlar:

  • Kasıtsız Veri Sızdırması: Çalışanlar, bu verilerin yapay zeka modelini eğitmek için saklanabileceğini veya kullanılabileceğini ve bu verilerin üçüncü taraflarca herkese açık veya erişilebilir hale getirilebileceğinin farkında olmadan, kötü niyet göstermeden, hassas verileri harici LLM istemlerine kopyalayıp yapıştırabilir, içerik özetleyebilir, analiz edebilir veya oluşturabilir.

  • Kötü Amaçlı Veri Sızdırması: Kötü niyetli bir çalışan, geleneksel güvenlik kontrollerini atlayarak hassas verileri sızdırmak için üçüncü taraf bir LLM'yi kanal olarak kullanabilir.

  • Uyum İhlalleri: Düzenlemeye tabi verilerin (PII, PHI, PCI gibi) harici LLM'lere gönderilmesi, veri gizliliği yasalarını (GDPR, LGPD) ve sektöre özel düzenlemeleri ihlal edebilir, bu da ağır para cezalarına ve itibar kaybına neden olabilir.

  • Fikri Mülkiyet: Ticari sırlar, özel kaynak kodları ve iş planları, üçüncü taraf LLM'lere eklenirse ifşa edilebilir.

  • Görünürlük ve Kontrol Eksikliği: Uygun araçlar olmadan kuruluşlar, hangi üçüncü taraf LLM'lerin kullanıldığı, hangi verilerin paylaşıldığı ve bu hizmetlerin iç güvenlik politikalarına uygun olup olmadığı konusunda görünürlükten yoksundur.

Microsoft Purview, DLP yeteneklerini yapay zeka hizmetleri alanına genişleterek bu riskleri giderir. Kuruluşların hassas verilerin bu hizmetlere akışını tanımlamasına, izlemesine ve kontrol etmesine olanak tanıyarak veri yönetişimi politikalarının dijital ekosistem genelinde tutarlı bir şekilde uygulanmasını sağlar [4].

Microsoft Purview'da Yapay Zeka için Veri Koruma İlkeleri

Microsoft Purview'deki üçüncü taraf LLM'lerdeki hassas verilerin etkili şekilde korunması aşağıdaki ilkelere dayanmaktadır:

  1. Yapay Zeka Keşfi ve Sınıflandırma: Ağda hangi üçüncü taraf yapay zeka hizmetlerine erişildiğini belirleyin ve bunların düzeylerini sınıflandırınrisk. Bu, DLP politikalarının hedefe yönelik ve etkili olmasını sağlar.

  2. Gerçek Zamanlı Hassas Veri Tespiti: Harici bir LLM'ye ulaşmadan önce hassas bilgilerin (kredi kartı numaraları, sosyal güvenlik numaraları, sağlık verileri gibi) varlığını belirlemek için giden trafiği gerçek zamanlı olarak inceleyin.

  3. Erişim Kontrolü ve Engelleme: Hassas verileri yetkisiz LLM'lerle paylaşma girişimlerini engellemek veya uyarmak için politikalar uygulayarak yalnızca onaylı kanalların kullanılmasını sağlayın.

  4. Kullanıcı Farkındalığı: Kullanıcılara politika ihlalleri hakkında anında geri bildirim sağlayın, onları yapay zeka araçlarının güvenli kullanımı ve hassas verilerin paylaşılmasıyla ilişkili riskler konusunda eğitin.

  5. Denetim ve Raporlama: Tüm politika ihlallerine ilişkin ayrıntılı bir kayıt tutun ve güvenlik duruşunun analiz edilmesi ve sürekli iyileştirilmesi için raporlar sağlayın.

Uygulamanın Önkoşulları

Üçüncü taraf LLM'lere yönelik Microsoft Purview korumalarını yapılandırmak için aşağıdaki öğelere ihtiyacınız olacaktır:

  • Microsoft 365 E5 veya Microsoft Purview Uyumluluk Paketi Lisansı: Bu planlar gerekli gelişmiş DLP ve AI yönetişim yeteneklerini içerir.

  • Yönetici Erişimi: Microsoft Purview uyumluluk portalında ("compliance.microsoft.com") Uyumluluk Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici izinlerine sahip Hesaplar.

  • Veri Politikaları Bilgisi: Kuruluşunuzun hassas veri türlerine ve dahili uyumluluk politikalarına aşinalık.

  • DLP Aracısı Dağıtımı: Uç nokta izleme için Microsoft Purview DLP aracılarının kullanıcıların cihazlarına dağıtılması gerekir.

Adım Adım Kılavuz: Microsoft Purview'da AI için DLP Politikalarını Yapılandırma

Hassas verilerin üçüncü taraf LLM'lere gönderilmesine karşı korumaların ayarlanması, riskli AI uygulamalarının belirlenmesini ve hedeflenen DLP politikalarının oluşturulmasını içerir.

1. Adım: Riskli Yapay Zeka Uygulamalarını Belirleme

İlk adım, ağınızda hangi üçüncü taraf yapay zeka hizmetlerine erişildiğini görmek ve risklerini değerlendirmektir.

  1. Microsoft Purview Uyumluluk Portalına erişin: Tarayıcınızı açın ve compliance.microsoft.com adresine gidin. Gerekli yönetici izinlerine sahip bir hesapla oturum açın.

  2. AI Hub'a gidin: Sol gezinme bölmesinde AI Hub > Keşif'e gidin. AI Hub, AI güvenliğini ve uyumluluğunu yönetmek için 2026'da kullanıma sunulan yeni bölümdür.

  3. Keşfedilen AI Hizmetlerini İnceleyin: Purview, ağınızda erişilen tüm üçüncü taraf web sitelerini ve AI hizmetlerini listeleyecektir. Her hizmet için, sağlayıcının itibarı, bilinen gizlilik politikaları, verilerin konumu ve hizmetin işlediği veri türü gibi faktörlere dayalı olarak bir "Risk Puanı" atayacaktır. Bu, hangi üçüncü taraf LLM'lerin kuruluşunuz için en büyük riski oluşturduğunu belirlemenize yardımcı olur.

  4. Uygulamaları Sınıflandırın: Risk puanına ve dahili politikalara göre yapay zeka uygulamalarını "Onaylandı", "İzleniyor" veya "Yetkisiz" olarak sınıflandırın.

Adım 2: Üçüncü Taraf LLM'ler için DLP Engelleme Politikaları Oluşturma

Riskli yapay zeka uygulamalarının belirlenmesiyle hassas verilerin akışını kontrol etmek için DLP politikaları oluşturabilirsiniz.

  1. Yeni Bir DLP İlkesi Oluşturun: Microsoft Purview uyumluluk portalında Veri Kaybını Önleme > İlkeler'e gidin. + Politika oluştur'u tıklayın.

  2. Bir Şablon Seçin veya Özelleştirin: Önceden mevcut bir şablonla (ör. "Finansal Veriler", "Sağlık Verileri") başlayabilir veya özel bir politika oluşturabilirsiniz. Üçüncü taraf LLM'ler için özel bir politika daha fazla esneklik sunar.

  3. Konumları Ayarlayın: Konumlar bölümünde "Yapay Zeka Hizmetleri ve Sohbet Robotları" seçeneğini seçin. Bu, 2026'da kullanıma sunulan ve özellikle üçüncü taraf LLM'lerle etkileşimlere yönelik politikaları hedeflemenize olanak tanıyan yeni bir seçenektir. Kopyalama/yapıştırma işlemlerini izlemek için uç noktalar gibi başka konumları da ekleyebilirsiniz.

  4. Koşulları Tanımlayın: Politikayı tetikleyecek koşulları yapılandırın. Bu genellikle aşağıdakiler gibi belirli hassas bilgi türlerinin (SIT'ler) tespit edilmesini içerir:

  5. Finansal Veriler: Kredi kartı numaralarıdedi, banka hesapları.

  6. Kişisel Veriler: CPF'ler, kimlik numaraları, kurumsal e-posta adresleri.

  7. Fikri Mülkiyet: Kaynak kodu, belirli hassasiyet etiketlerine sahip belgeler (ör. "Gizli").

  8. Özel verileri belirten anahtar kelimeleri veya normal ifadeleri içerecek şekilde koşulları hassaslaştırabilirsiniz.

  9. Eylemleri Ayarlayın: Yetkisiz veya yüksek riskli üçüncü taraf LLM'ler için eylemi "Politika İpucuyla Engelle" olarak ayarlayın. Politika ipucu, kullanıcıya eylemin engellendiği ve bunun nedeni hakkında bilgi vererek onları güvenlik politikası konusunda eğitecektir. İzlenen LLM'ler için, "Denetle" veya "Kullanıcı geçersiz kılma ile engelle" seçeneğini seçebilirsiniz (kullanıcının gerekçe vermesine ve devam etmesine olanak tanır).

  10. İlkeyi Kaydedin ve Etkinleştirin: İlkeyi gözden geçirin ve etkinleştirin. DLP politikalarının ortamınızın tamamına tam olarak uygulanması biraz zaman alabilir.

Adım 3: İzleme ve Sürekli Eğitim

İzleme, DLP politikalarının etkinliğini sağlamak ve ek eğitime ihtiyaç duyan alanları belirlemek için gereklidir.

  1. AI Hub Raporlarını Kullanın: Microsoft Purview AI Hub'da, üçüncü taraf LLM'lerle ilgili DLP politikası ihlallerine ilişkin ayrıntılı raporlar bulacaksınız. Bu raporlar şunları gösterecektir:

  2. Hangi üçüncü taraf LLM'lerin kullanıldığı: En popüler hizmetleri ve en büyük riski oluşturan hizmetleri belirleyin.

  3. Hangi hassas veriler paylaşılıyor: Kullanıcıların harici LLM'lere göndermeye çalıştığı bilgi türlerini anlayın.

  4. Hangi kullanıcılar/bölümler politikaları ihlal ediyor: Ek eğitim veya farkındalık gerektiren alanları belirleyin.

  5. Olay Araştırması: Kullanıcı, dosya, ilgili AI hizmeti ve engellenen içerik dahil olmak üzere DLP olaylarını ayrıntılı olarak araştırmak için Purview'de Etkinlik Gezgini'ni kullanın.

  6. Eğitim ve Farkındalık: Yapay zeka güvenliği farkındalığı eğitimini desteklemek için raporlama verilerini kullanın. Çalışanlara hassas verileri üçüncü taraf LLM'lerle paylaşmanın risklerini açıklayın ve şirket onaylı yapay zeka araçlarının kullanımını teşvik edin.

  7. Periyodik Politika İncelemesi: Yapay zeka ortamı sürekli olarak gelişmektedir. Yeni tehditlere ve ortaya çıkan yapay zeka hizmetlerine karşı alakalı ve etkili kaldıklarından emin olmak için üçüncü taraf LLM'lere yönelik DLP politikalarınızı düzenli olarak inceleyin.

Ek Hususlar ve En İyi Uygulamalar

  • Veri Sınıflandırması: Sağlam veri sınıflandırması, etkili DLP politikalarının temelidir. Hassas verileri otomatik veya manuel olarak sınıflandırmak için hassasiyet etiketlerini kullanın.

  • Açık İletişim: Yapay zeka kullanım politikalarını çalışanlara açıkça iletin. Neye izin verildiğini, nelere izin verilmediğini ve yetkisiz LLM'lerin kullanılmasıyla ilişkili riskleri açıklayın.

  • Aşamalı Yaklaşım: Katı blokajları uygulamadan önce kullanıcı davranışını anlamak için denetim modundan başlayarak DLP politikalarını aşamalar halinde uygulamayı düşünün.

  • SIEM/SOAR Entegrasyonu: Güvenlik olaylarının merkezi bir görünümü ve otomatik yanıtların düzenlenmesi için Microsoft Purview DLP uyarılarını SIEM sisteminizle (Microsoft Sentinel gibi) entegre edin.

  • Yapay Zeka Tedarikçi Değerlendirmesi: Üçüncü taraf LLM'lerin kullanımını değerlendirirken, uyumluluk gereksinimlerinizi karşıladıklarından emin olmak için sağlayıcılar üzerinde sıkı bir güvenlik ve gizlilik değerlendirmesi yapın.

Sonuç

Üçüncü taraf LLM'lerin geniş çapta erişilebilir olduğu bir dünyada hassas verileri korumak, 2026'da kritik bir bilgi güvenliği sorunudur. Gelişmiş DLP ve AI yönetişim yetenekleriyle Microsoft Purview, veri sızıntısı ve uyumluluk ihlalleri risklerini azaltmak için güçlü bir çözüm sunar. Hedeflenen DLP politikalarını uygulayarak, riskli yapay zeka uygulamalarını belirleyerek ve kullanıcıları eğiterek kuruluşlar, en değerli varlıklarının güvenliğinden ödün vermeden yapay zekanın faydalarından yararlanabilirler. Microsoft Purview'i üçüncü taraf LLM'lerde veri koruması için etkili bir şekilde yapılandırmak yalnızca teknik bir önlem değil, aynı zamanda kapsamlı ve proaktif bir yapay zeka güvenlik stratejisinin temel dayanağıdır.

Referanslar

[1] Microsoft Veri Güvenliği Dizini 2026." Keşfetortaya çıkan yenilikler ve stratejilerin yanı sıra öneriler ve en iyi uygulamalar da dahil olmak üzere veri güvenliğinin geleceği." Şu adreste bulunabilir: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Microsoft Güvenlik Blogu. "2026'da yapay zeka destekli kimlik ve ağ erişim güvenliği için dört öncelik." Şu adresten ulaşılabilir: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Microsoft 365 Yol Haritası. "Microsoft 365 yol haritası, ticari özelliklerin tahmini yayın tarihlerini ve açıklamalarını sağlar." Şu adreste bulunabilir: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Microsoft Güvenliği. "Kimlik güvenliğini yapay zeka ile güçlendirin." Şu adreste bulunabilir: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id