أمان خدمات Azure الذكاء الاصطناعي

  • مقالة

وينبغي اعتبار الأمان أولوية قصوى في تطوير جميع التطبيقات، ومع نمو التطبيقات الممكنة للذكاء الاصطناعي، يصبح الأمان أكثر أهمية. توضح هذه المقالة ميزات الأمان المختلفة المتوفرة لخدمات Azure الذكاء الاصطناعي. تتناول كل ميزة مسؤولية محددة، لذلك يمكن استخدام ميزات متعددة في نفس سير العمل.

للحصول على قائمة شاملة بتوصيات أمان خدمة Azure، راجع مقالة أساس أمان خدمات Azure الذكاء الاصطناعي.

ميزات الأمان

الميزة ‏‏الوصف
أمان طبقة النقل (TLS) تفرض جميع نقاط نهاية خدمات Azure الذكاء الاصطناعي المكشوفة عبر HTTP بروتوكول TLS 1.2. باستخدام بروتوكول أمان مفروضة، يجب على المستهلكين الذين يحاولون استدعاء نقطة نهاية خدمات Azure الذكاء الاصطناعي اتباع هذه الإرشادات:
  • يحتاج نظام تشغيل العميل (OS) إلى دعم TLS 1.2.
  • تحتاج اللغة (والنظام الأساسي) المستخدمة لإجراء مكالمة HTTP إلى تحديد TLS 1.2 كجزء من الطلب. اعتمادا على اللغة والنظام الأساسي، يتم تحديد TLS إما ضمنيا أو صريحا.
  • بالنسبة لمستخدمي .NET، ضع في اعتبارك أفضل ممارسات أمان طبقة النقل
خيارات المصادقة المصادقة هي عملية التحقق من هوية المستخدم. التخويل من خلال التباين هو تحديد حقوق وامتيازات الوصول إلى الموارد لهوية معينة. الهوية هي مجموعة من المعلومات حول كيان، ويمكن أن يكون الأساسي إما مستخدما فرديا أو خدمة.

بشكل افتراضي، يمكنك مصادقة مكالماتك الخاصة إلى خدمات Azure الذكاء الاصطناعي باستخدام مفاتيح الاشتراك المتوفرة؛ هذا هو أبسط طريقة ولكن ليس الأكثر أمانا. أسلوب المصادقة الأكثر أمانا هو استخدام الأدوار المدارة في معرف Microsoft Entra. للتعرف على هذه الخيارات وخيارات المصادقة الأخرى، راجع مصادقة الطلبات إلى خدمات Azure الذكاء الاصطناعي.
تدوير المفتاح يحتوي كل مورد خدمات Azure الذكاء الاصطناعي على مفتاحي API لتمكين تدوير البيانات السرية. هذا إجراء وقائي أمني يتيح لك تغيير المفاتيح التي يمكنها الوصول إلى الخدمة بانتظام، وحماية خصوصية الخدمة في حالة تسريب مفتاح. للتعرف على هذا الخيار وخيارات المصادقة الأخرى، راجع تدوير المفاتيح.
متغيرات البيئة متغيرات البيئة هي أزواج اسم-قيمة، مخزنة في بيئة معينة. يمكنك تخزين بيانات الاعتماد الخاصة بك بهذه الطريقة كبديل أكثر أمانا لاستخدام القيم المضمنة في التعليمات البرمجية الخاصة بك. ومع ذلك، إذا تم اختراق بيئتك، يتم اختراق متغيرات البيئة أيضا، لذلك هذا ليس النهج الأكثر أمانا.

للحصول على إرشادات حول كيفية استخدام متغيرات البيئة في التعليمات البرمجية الخاصة بك، راجع دليل متغيرات البيئة.
المفاتيح المدارة من قبل العميل (CMK) هذه الميزة مخصصة للخدمات التي تخزن بيانات العملاء الثابتة (أطول من 48 ساعة). في حين أن هذه البيانات مشفرة بشكل مزدوج بالفعل على خوادم Azure، يمكن للمستخدمين الحصول على أمان إضافي عن طريق إضافة طبقة أخرى من التشفير، باستخدام المفاتيح التي يديرونها بأنفسهم. يمكنك ربط خدمتك بـ Azure Key Vault وإدارة مفاتيح تشفير البيانات هناك.

يمكن لبعض الخدمات فقط استخدام CMK؛ ابحث عن خدمتك في صفحة المفاتيح المدارة من قبل العميل.
الشبكات الظاهرية تسمح لك الشبكات الظاهرية بتحديد نقاط النهاية التي يمكنها إجراء استدعاءات واجهة برمجة التطبيقات للنظام إلى المورد الخاص بك. سترفض خدمة Azure استدعاءات واجهة برمجة التطبيقات من الأجهزة خارج شبكتك. يمكنك تعيين تعريف يستند إلى صيغة للشبكة المسموح بها، أو يمكنك تحديد قائمة شاملة بنقاط النهاية للسماح بها. هذه طبقة أخرى من الأمان يمكن استخدامها مع الآخرين.
منع فقدان البيانات تتيح ميزة منع فقدان البيانات للمسؤول تحديد أنواع عناوين URL التي يمكن أن يتخذها مورد Azure كإدخالات (لمكالمات واجهة برمجة التطبيقات هذه التي تأخذ عناوين URL كإدخال). يمكن القيام بذلك لمنع النقل غير المصرح به المحتمل لبيانات الشركة الحساسة: إذا قامت شركة بتخزين معلومات حساسة (مثل البيانات الخاصة للعميل) في معلمات URL، يمكن لممثل سيئ داخل تلك الشركة إرسال عناوين URL الحساسة إلى خدمة Azure، والتي تظهر تلك البيانات خارج الشركة. يتيح لك منع فقدان البيانات تكوين الخدمة لرفض نماذج URI معينة عند الوصول.
صندوق تأمين العميل توفر ميزة مربع تأمين العميل واجهة للعملاء لمراجعة طلبات الوصول إلى البيانات والموافقة عليها أو رفضها. يُستخدم في الحالات التي يحتاج فيها مهندس Microsoft إلى الوصول إلى بيانات العميل أثناء طلب الدعم. للحصول على معلومات حول كيفية بدء طلبات مربع تأمين العميل وتعقبها وتخزينها للمراجعات والتدقيقات اللاحقة، راجع دليل مربع تأمين العميل.

يتوفر مربع تأمين العميل للخدمات التالية:
  • Azure OpenAI
  • المترجم
  • فهم لغة المحادثة
  • تصنيف نص مخصص
  • التعرف على رموز الأحرف المخصصة
  • سير عمل التنسيق
أحضر مساحة التخزين الخاص بك (BYOS) لا تدعم خدمة الكلام حاليًا مربع تأمين العميل. ومع ذلك، يمكنك ترتيب تخزين البيانات الخاصة بالخدمة في مورد التخزين الخاص بك باستخدام إحضار التخزين الخاص بك (BYOS). يتيح لك BYOS تحقيق ضوابط بيانات مماثلة لـ مربع تأمين العميل. ضع في اعتبارك أن بيانات خدمة الكلام تبقى وتعالج في منطقة Azure التي تم فيها إنشاء مورد الكلام. هذا ينطبق على أي بيانات ثابتة والبيانات التي يتم نقلها. بالنسبة لميزات التخصيص مثل أدوات تخصيص الكلام وأدوات تخصيص الصوت، يتم نقل جميع بيانات العملاء وتخزينها ومعالجتها في نفس المنطقة التي يوجد بها مورد خدمة الكلام ومورد BYOS (إذا تم استخدامه).

لاستخدام BYOS مع الكلام اتبع دليل تشفير الكلام للبيانات الثابتة.

لا تستخدم Microsoft بيانات العملاء لتحسين نماذج الكلام الخاصة بها. بالإضافة إلى ذلك، إذا تم تعطيل تسجيل نقطة النهاية ولم يتم تستخدم أي تخصيصات، فلن يتم تخزين بيانات العميل من خلال الكلام.

الخطوات التالية

  • استكشف خدمات Azure الذكاء الاصطناعي واختر خدمة للبدء.