Sdílet prostřednictvím

Šifrování uložených dat v klidu službou Azure AI Bot Service

URČENO PRO: SDK v4

Azure AI Bot Service automaticky šifruje vaše data, když jsou trvale uložená v cloudu, aby chránila data a splňovala závazky organizace týkající se zabezpečení a dodržování předpisů.

Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.

Správa šifrovacích klíčů

Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. Prostředek robota můžete spravovat pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem. Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu k datům v úložištích Azure AI Bot Service. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

Při šifrování dat služba Azure AI Bot Service šifruje se dvěma úrovněmi šifrování. V případě, že klíče spravované zákazníkem nejsou povolené, používají se oba klíče jako klíče spravované Microsoftem. Když jsou klíče spravované zákazníkem povolené, data se šifrují pomocí klíče spravovaného zákazníkem i klíče spravovaného Microsoftem.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Pokud chcete využívat funkci klíčů spravovaných zákazníkem, musíte ukládat a spravovat klíče ve službě Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Váš prostředek Azure Bot a trezor klíčů musí být ve stejném tenantovi Microsoft Entra ID, ale mohou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Při použití klíče spravovaného zákazníkem služba Azure AI Bot Service šifruje vaše data v úložišti. Pokud dojde k odvolání nebo odstranění klíče, robot nebude moct pomocí služby Azure AI Bot Service odesílat nebo přijímat zprávy a nebudete mít přístup ke konfiguraci robota na webu Azure Portal ani ho nebudete moct upravovat.

Když vytvoříte prostředek Azure Bot prostřednictvím portálu, Azure vygeneruje ID aplikace a heslo, ale neukládá je ve službě Azure Key Vault. Key Vault můžete použít se službou Azure AI Bot Service. Informace najdete v tématu Konfigurace webové aplikace pro připojení ke službě Key Vault. Příklad ukládání a načítání tajných kódů pomocí služby Key Vault najdete v rychlém startu: Klientská knihovna tajných klíčů služby Azure Key Vault pro .NET (SDK v4).

Důležité

Tým Azure AI Bot Service není schopen obnovit bota, který používá šifrovací klíč spravovaný zákazníkem, bez přístupu ke klíči.

Jaká data jsou šifrovaná?

Azure AI Bot Service ukládá zákaznická data o botovi, kanály, které používá, konfigurační nastavení, která vývojář nastaví, a pokud je to nutné, záznam aktuálně aktivních konverzací. Také přechodné, po dobu kratší než 24 hodin, ukládá zprávy odeslané přes kanály Direct Line nebo Web Chat a všechny nahrané přílohy.

Všechna zákaznická data ve službě Azure AI Bot Service jsou šifrována dvěma vrstvami šifrování; buď spravovanými šifrovacími klíči od Microsoftu, nebo šifrovacími klíči spravovanými společně Microsoftem a zákazníkem. Azure AI Bot Service šifruje přechodně uložená data pomocí šifrovacích klíčů spravovaných Microsoftem a v závislosti na konfiguraci prostředku Robota Azure šifruje dlouhodobější data pomocí šifrovacích klíčů spravovaných Microsoftem nebo zákazníkem.

Poznámka:

Vzhledem k tomu, že služba Azure AI Bot Service existuje, aby zákazníkům poskytovala možnost doručovat zprávy uživatelům z jiných služeb mimo Azure AI Bot Service, šifrování se na tyto služby nevztahuje. To znamená, že v rámci řízení služby Azure AI Bot Service se data budou ukládat zašifrovaná podle pokynů v tomto článku; Při opuštění služby k doručení do jiné služby se však data dešifrují a pak se posílají pomocí šifrování TLS 1.2 cílové službě.

Konfigurace instance služby Azure Key Vault

Použití klíčů spravovaných zákazníkem se službou Azure AI Bot Service vyžaduje, abyste v instanci služby Azure Key Vault povolili dvě vlastnosti, které chcete použít k hostování šifrovacích klíčů: Měkké odstranění a Ochrana proti odstranění. Tyto funkce zajišťují, že pokud je váš klíč z nějakého důvodu omylem odstraněn, můžete ho obnovit. Další informace o obnovitelném odstranění a ochraně před vymazáním najdete v přehledu obnovitelného odstranění služby Azure Key Vault.

Snímek obrazovky s povolenou jemnou mazací funkcí a ochranou proti vymazání

Pokud používáte stávající instanci Azure Key Vault, můžete ověřit, zda jsou tyto vlastnosti povoleny, tím, že se podíváte na sekci Vlastnosti na portálu Azure. Pokud některé z těchto vlastností nejsou povolené, podívejte se do části Key Vault v návodu Jak povolit obnovitelné odstranění a ochranu před vymazáním.

Udělení přístupu k trezoru klíčů službě Azure AI Bot Service

Aby služba Azure AI Bot Service měla přístup k trezoru klíčů, který jste vytvořili pro tento účel, musí být nastavená zásada přístupu, která instančnímu objektu služby Azure AI Bot Service dává aktuální sadu oprávnění. Další informace o službě Azure Key Vault, včetně postupu vytvoření trezoru klíčů, najdete v tématu o službě Azure Key Vault.

  1. Zaregistrujte poskytovatele prostředků Azure AI Bot Service ve vašem předplatném obsahujícím trezor klíčů.

    1. Přejděte na webový portál Azure.
    2. Otevřete okno Předplatná a vyberte předplatné, které obsahuje trezor klíčů.
    3. Otevřete okno Poskytovatelé prostředků a zaregistrujte poskytovatele prostředků Microsoft.BotService .

    Microsoft.BotService zaregistrovaný jako poskytovatel prostředků

  2. Azure Key Vault podporuje dva modely oprávnění: řízení přístupu na základě role (RBAC) Azure nebo zásady přístupu k trezoru. Můžete se rozhodnout použít některý z modelů oprávnění. Ujistěte se, že v panelu firewally a virtuální sítě v části Sítě služby Key Vault je v tomto kroku nastaveno Povolit veřejný přístup ze všech sítí. Dále se ujistěte, že má operátor udělené oprávnění operace správy klíčů.

    Snímek obrazovky se dvěma modely oprávnění dostupnými pro váš trezor klíčů

    1. Konfigurace modelu oprávnění Azure RBAC ve vašem trezoru klíčů:

      1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
      2. Přejděte do okna Řízení přístupu (IAM) a přiřaďte roli uživatele šifrování kryptografických služeb služby Key Vault ke službě Bot Service CMEK Prod. Tuto změnu může provést jenom uživatel s rolí vlastníka předplatného.

      Snímek obrazovky s konfigurací trezoru klíčů zobrazující přidání role uživatele šifrování kryptografických služeb

    2. Konfigurace modelu oprávnění zásad přístupu ke službě Key Vault ve vašem trezoru klíčů:

      1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
      2. Přidejte aplikaci Bot Service CMEK Prod jako zásadu přístupu a přiřaďte jí následující oprávnění:
      • Získat (z operací správy klíčů)
      • Rozbalení klíče (z kryptografických operací)
      • Zalamování klíče (z kryptografických operací)
      1. Výběrem možnosti Uložit uložte všechny provedené změny.

      Služba Bot Service CMEK Prod byla přidána jako zásada přístupu

  3. Povolte službě Key Vault obejít bránu firewall.

    1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
    2. Otevřete panel Síť a přejděte na záložku Firewally a virtuální sítě.
    3. Pokud je možnost Povolit přístup z nastavená na Zakázat veřejný přístup, ujistěte se, že je vybrána možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall.
    4. Výběrem možnosti Uložit uložte všechny provedené změny.

    Přidání výjimky brány firewall pro Službu Key Vault

Povolení klíčů spravovaných zákazníkem

Pokud chcete robota zašifrovat pomocí šifrovacího klíče spravovaného zákazníkem, postupujte takto:

  1. Otevřete panel prostředku Azure Bot pro svůj bot.

  2. Otevřete okno Šifrování robota a jako typ šifrování vyberte Customer-Managed Klíče.

  3. Zadejte úplný identifikátor URI klíče, včetně verze, nebo klikněte na Vybrat trezor klíčů a klíč , abyste klíč našli.

  4. V horní části okna klikněte na Uložit .

    Prostředek robota s využitím šifrování spravovaného zákazníkem

Po dokončení těchto kroků spustí služba Azure AI Bot Service proces šifrování, který může trvat až 24 hodin. Robot zůstane během tohoto časového období funkční.

Rotace klíčů spravovaných zákazníkem

Pokud chcete obměňovat šifrovací klíč spravovaný zákazníkem, musíte aktualizovat prostředek služby Azure AI Bot Service tak, aby používal nový identifikátor URI pro nový klíč (nebo novou verzi existujícího klíče).

Vzhledem k tomu, že k opětovnému šifrování s novým klíčem dochází asynchronně, ujistěte se, že starý klíč zůstane dostupný, aby bylo možné data i nadále dešifrovat; jinak může robot přestat fungovat. Starý klíč byste měli zachovat alespoň jeden týden.

Odvolání přístupu ke klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup, odeberte zásady přístupu instančního objektu služby Bot Service CMEK Prod z vašeho trezoru klíčů.

Poznámka:

Odvolání přístupu přeruší většinu funkcí přidružených k vašemu robotovi. Pokud chcete funkci klíčů spravovaných zákazníkem zakázat, před odvoláním přístupu tuto funkci vypněte, abyste zajistili, že robot může pokračovat v práci.

Další kroky

Další informace o službě Azure Key Vault

  • Last updated on