أمان أدوات الصب

وينبغي اعتبار الأمن أولوية قصوى في تطوير جميع التطبيقات، ومع نمو التطبيقات التي تدعم الذكاء الاصطناعي، يصبح الأمان أكثر أهمية. توضح هذه المقالة ميزات الأمان المختلفة المتاحة لأدوات الصابك. تعالج كل ميزة مسؤولية محددة، لذلك يمكن استخدام ميزات متعددة في نفس سير العمل.

للحصول على قائمة شاملة بتوصيات أمان خدمات Azure، راجع مقالة Foundry Tools Security Baseline .

ميزات الأمان

ميزة وصف
أمان طبقة النقل (TLS) جميع نقاط نهاية أدوات Foundry Tools المعروضة عبر HTTP تطبق بروتوكول TLS 1.2، أو اختياريا TLS 1.3. مع بروتوكول أمني مفروض، يجب على المستهلكين الذين يحاولون الاتصال بنقطة نهاية Foundry Tools اتباع هذه الإرشادات:
  • يحتاج نظام تشغيل العميل (OS) إلى دعم TLS 1.2 (أو 1.3).
  • تحتاج اللغة (والنظام الأساسي) المستخدم لإجراء استدعاء HTTP إلى تحديد TLS 1.2 (أو 1.3) كجزء من الطلب. اعتمادا على اللغة والنظام الأساسي، يتم تحديد TLS إما ضمنيا أو صريحا.
  • بالنسبة لمستخدمي .NET، ضع في اعتبارك أفضل ممارسات أمان طبقة النقل
خيارات المصادقة المصادقة هي إجراء التحقق من هوية المستخدم. التخويل، على النقيض من ذلك، هو مواصفات حقوق الوصول وامتيازات الموارد لهوية معينة. الهوية هي مجموعة من المعلومات حول كيان، ويمكن أن يكون الأساسي إما مستخدما فرديا أو خدمة.

بشكل افتراضي، تقوم بالتحقق من صحة مكالماتك الخاصة إلى أدوات Foundry باستخدام مفاتيح الاشتراك المقدمة؛ هذه أبسط طريقة لكنها ليست الأكثر أمانا. أسلوب المصادقة الأكثر أمانا هو استخدام الأدوار المدارة في معرف Microsoft Entra. للتعرف على هذا وخيارات المصادقة الأخرى، راجع مصادقة طلبات أدوات الصب (Foundry Tools).
تدوير المفتاح كل مورد في Foundry يحتوي على مفتاحين API لتمكين التدوير السري. هذا إجراء وقائي أمني يتيح لك تغيير المفاتيح التي يمكنها الوصول إلى الخدمة بشكل منتظم، وحماية خصوصية الخدمة إذا تم تسريب مفتاح. للتعرف على هذا الخيار وخيارات المصادقة الأخرى، راجع تدوير المفاتيح.
متغيرات البيئة متغيرات البيئة هي أزواج قيمة الاسم التي يتم تخزينها داخل بيئة تطوير معينة. متغيرات البيئة أكثر أمانا من استخدام القيم المشفرة في التعليمات البرمجية الخاصة بك. للحصول على إرشادات حول كيفية استخدام متغيرات البيئة في التعليمات البرمجية الخاصة بك، راجع دليل متغيرات البيئة.

ومع ذلك، إذا تم اختراق بيئتك، يتم اختراق متغيرات البيئة أيضا، لذلك هذا ليس النهج الأكثر أمانا. أسلوب المصادقة الأكثر أمانا هو استخدام الأدوار المدارة في معرف Microsoft Entra. للتعرف على هذا وخيارات المصادقة الأخرى، راجع مصادقة طلبات أدوات الصب (Foundry Tools).
المفاتيح التي يديرها العميل (CMK) هذه الميزة مخصصة للخدمات التي تخزن بيانات العملاء الثابتة (أكثر من 48 ساعة). في حين أن هذه البيانات مشفرة بشكل مزدوج بالفعل على خوادم Azure، يمكن للمستخدمين الحصول على أمان إضافي عن طريق إضافة طبقة أخرى من التشفير، باستخدام المفاتيح التي يديرونها بأنفسهم. يمكنك ربط خدمتك ب Azure Key Vault وإدارة مفاتيح تشفير البيانات هناك.

تحقق لمعرفة ما إذا كانت CMK مدعومة من قبل الخدمة التي تريد استخدامها في وثائق المفاتيح التي يديرها العميل .
الشبكات الظاهرية تسمح لك الشبكات الظاهرية بتحديد نقاط النهاية التي يمكنها إجراء استدعاءات API إلى المورد الخاص بك. ترفض خدمة Azure استدعاءات واجهة برمجة التطبيقات من أجهزة خارج شبكتك. يمكنك تعيين تعريف يستند إلى صيغة للشبكة المسموح بها، أو يمكنك تحديد قائمة شاملة بنقاط النهاية للسماح بها. هذه طبقة أخرى من الأمان يمكن استخدامها مع الآخرين.
منع فقدان البيانات تتيح ميزة منع فقدان البيانات للمسؤول تحديد أنواع عناوين URI التي يمكن أن يتخذها مورد Azure الخاص به كمدخلات (لمكالمات واجهة برمجة التطبيقات التي تأخذ عناوين URI كإدخل). يمكن القيام بذلك لمنع الاختراق المحتمل لبيانات الشركة الحساسة: إذا قامت شركة بتخزين معلومات حساسة (مثل البيانات الخاصة للعميل) في معلمات URL، يمكن لممثل سيئ داخل تلك الشركة إرسال عناوين URL الحساسة إلى خدمة Azure، والتي تظهر تلك البيانات خارج الشركة. يتيح لك منع فقدان البيانات تكوين الخدمة لرفض بعض نماذج URI عند الوصول.
مربع تأمين العميل توفر ميزة مربع تأمين العميل واجهة للعملاء لمراجعة طلبات الوصول إلى البيانات والموافقة عليها أو رفضها. يتم استخدامه في الحالات التي يحتاج فيها مهندس Microsoft إلى الوصول إلى بيانات العميل أثناء طلب الدعم. للحصول على معلومات حول كيفية بدء طلبات مربع تأمين العميل وتعقبها وتخزينها للمراجعات والتدقيقات اللاحقة، راجع دليل مربع تأمين العميل.

يتوفر مربع تأمين العميل للخدمات التالية:
  • Azure OpenAI
  • المترجم
  • فهم لغة المحادثة
  • تصنيف نص مخصص
  • التعرف على الكيان المسمى المخصص
  • سير عمل التنسيق
إحضار التخزين الخاص بك (BYOS) لا تدعم خدمة الكلام حاليا مربع تأمين العميل. ومع ذلك، يمكنك ترتيب البيانات الخاصة بالخدمة الخاصة بك ليتم تخزينها في مورد التخزين الخاص بك باستخدام إحضار التخزين الخاص بك (BYOS). يسمح لك BYOS بتحقيق عناصر تحكم بيانات مماثلة ل Customer Lockbox. ضع في اعتبارك أن بيانات خدمة الكلام تظل تتم معالجتها في منطقة Azure حيث تم إنشاء مورد الكلام. ينطبق هذا على أي بيانات ثابتة وبيانات أثناء النقل. بالنسبة لميزات التخصيص مثل Custom Speech وCustom Voice، يتم نقل جميع بيانات العملاء وتخزينها ومعالجتها في نفس المنطقة حيث يوجد مورد خدمة Speech ومورد BYOS (إذا تم استخدامه).

لاستخدام BYOS مع Speech، اتبع دليل تشفير الكلام للبيانات الثابتة .

لا تستخدم Microsoft بيانات العملاء لتحسين نماذج الكلام الخاصة بها. بالإضافة إلى ذلك، إذا تم تعطيل تسجيل نقطة النهاية ولم يتم استخدام أي تخصيصات، فلن يتم تخزين بيانات العميل بواسطة Speech.

الخطوة التالية

  • Last updated on