Recomendaciones de seguridad de inteligencia artificial
En este artículo se enumeran todas las recomendaciones de seguridad de inteligencia artificial que puede ver en Microsoft Defender for Cloud.
Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.
Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.
Recomendaciones de Azure
Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local)
Descripción: se recomienda deshabilitar el acceso a claves (autenticación local) para la seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Una vez deshabilitada la configuración, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegio mínimo y el control pormenorizado. Más información.
Esta recomendación reemplaza a las cuentas antiguas de Cognitive Services deben tener deshabilitados los métodos de autenticación locales. Anteriormente estaba en la categoría Cognitive Services y Cognitive Search, y se actualizó para cumplir con el formato de nomenclatura de Azure AI Services y alinearse con los recursos pertinentes.
Gravedad: media
Los recursos de Servicios de Azure AI deben restringir el acceso a la red
Descripción: al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Esto se puede lograr mediante la configuración de reglas de red para que solo las aplicaciones de las redes permitidas puedan acceder al recurso del servicio Azure AI.
- Esta recomendación está cubierta por otra recomendación de red para los servicios de Azure AI: las cuentas de Cognitive Services deben restringir el acceso a la red.
- Las cuentas de Cognitive Services deben restringir la recomendación de acceso a la red ahora se reemplaza por una nueva (Azure AI Services debe restringir el acceso a la red).
- Esta recomendación reemplaza la recomendación anterior que las cuentas de Cognitive Services deben restringir el acceso a la red. Anteriormente estaba en la categoría Cognitive Services y Cognitive Search, y se actualizó para cumplir con el formato de nomenclatura de Azure AI Services y alinearse con los recursos pertinentes.
- La definición de directiva relacionada las cuentas de Cognitive Services debe deshabilitar el acceso a la red pública se ha quitado del panel de cumplimiento normativo.
Gravedad: media
Los registros de recursos del área de trabajo de Azure Machine Learning deben estar habilitados (versión preliminar)
Descripción y directiva relacionada: los registros de recursos permiten volver a crear rutas de actividad para usarlas con fines de investigación cuando se produce un incidente de seguridad o cuando la red está en peligro.
Gravedad: media
Las áreas de trabajo de Azure Machine Learning deben deshabilitar el acceso a la red pública (versión preliminar)
Descripción y directiva relacionada: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que las áreas de trabajo de Machine Learning no están expuestas en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Para obtener más información, consulte Configurar un punto de conexión privado para un área de trabajo de Azure Machine Learning.
Gravedad: media
Los procesos de Azure Machine Learning deben estar en una red virtual (versión preliminar)
Descripción y directiva relacionada: Las redes virtuales de Azure proporcionan seguridad y aislamiento mejorados para los clústeres e instancias de proceso de Azure Machine Learning, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual.
Gravedad: media
Los procesos de Azure Machine Learning deberían tener deshabilitados los métodos de autenticación local (versión preliminar)
Descripción y directiva relacionada: deshabilitar los métodos de autenticación local mejora la seguridad asegurándose de que los procesos de Machine Learning requieren identidades de Azure Active Directory exclusivamente para la autenticación. Para obtener más información, vea los Controles de cumplimiento normativo de Azure Policy para Azure Machine Learning.
Gravedad: media
Las instancias de proceso de Azure Machine Learning se deben recrear para obtener las actualizaciones de software más recientes (versión preliminar)
Descripción y directiva relacionada: asegúrese de que las instancias de proceso de Azure Machine Learning se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, consulte Administración de vulnerabilidades para Azure Machine Learning.
Gravedad: media
Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados
Descripción: habilite los registros para los recursos de servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro.
Esta recomendación reemplaza los registros de diagnóstico de recomendación antiguos en servicio Search deben estar habilitados. Anteriormente estaba en la categoría Cognitive Services y Cognitive Search, y se actualizó para cumplir con el formato de nomenclatura de Azure AI Services y alinearse con los recursos pertinentes.
Gravedad: baja
Los registros de recursos en las áreas de trabajo de Azure Databricks deben estar habilitados (versión preliminar)
Descripción y directiva relacionada: los registros de recursos permiten volver a crear rutas de actividad para usarlas con fines de investigación cuando se produce un incidente de seguridad o cuando la red está en peligro.
Gravedad: media
Las áreas de trabajo de Azure Databricks deberían deshabilitar el acceso a la red pública (versión preliminar)
Descripción y directiva relacionada: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que el recurso no está expuesto en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Para obtener más información, consulte Habilitar Azure Private Link.
Gravedad: media
Los clústeres de Azure Databricks deben deshabilitar la IP pública (versión preliminar)
Descripción y directiva relacionada: deshabilitar la dirección IP pública de los clústeres en áreas de trabajo de Azure Databricks mejora la seguridad asegurándose de que los clústeres no se exponen en la red pública de Internet. Para obtener más información consulte Proteger la conectividad del clúster.
Gravedad: media
Las áreas de trabajo de Azure Databricks deben estar en una red virtual (versión preliminar)
Descripción y directiva relacionada: Las redes virtuales de Azure proporcionan seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Para más información, consulte Implementación de Azure Databricks en la red virtual de Azure.
Gravedad: media
Las áreas de trabajo de Azure Databricks deben usar un vínculo privado (versión preliminar)
Descripción y directiva relacionada: Azure Private Link le permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Para más información, consulte Creación del área de trabajo y de puntos de conexión privados en la interfaz de usuario de Azure Portal.
Gravedad: media
Recomendaciones de AWS AI
AWS Bedrock debe tener habilitado el registro de invocación de modelos
Descripción: con el registro de invocación, puede recopilar los datos completos de solicitud, los datos de respuesta y los metadatos asociados a todas las llamadas realizadas en su cuenta. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad.
Gravedad: baja
Contenido relacionado
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de