Šifrování služby Azure AI Bot Service pro neaktivní uložená data

  • Článek

PLATÍ PRO: SDK v4

Azure AI Bot Service automaticky šifruje vaše data, když jsou trvale uložená v cloudu, aby chránila data a splňovala závazky organizace týkající se zabezpečení a dodržování předpisů.

Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.

Správa šifrovacích klíčů

Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. Prostředek robota můžete spravovat pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem. Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu k datům v úložištích Azure AI Bot Service. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

Při šifrování dat služba Azure AI Bot Service šifruje se dvěma úrovněmi šifrování. V případě, že klíče spravované zákazníkem nejsou povolené, používají se oba klíče jako klíče spravované Microsoftem. Když jsou klíče spravované zákazníkem povolené, data se šifrují pomocí klíče spravovaného zákazníkem i klíče spravovaného Microsoftem.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Pokud chcete využívat funkci klíčů spravovaných zákazníkem, musíte ukládat a spravovat klíče ve službě Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Váš prostředek Azure Bot a trezor klíčů musí být ve stejném tenantovi Microsoft Entra ID, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Při použití klíče spravovaného zákazníkem služba Azure AI Bot Service šifruje vaše data v úložišti. Pokud dojde k odvolání nebo odstranění klíče, robot nebude moct pomocí služby Azure AI Bot Service odesílat nebo přijímat zprávy a nebudete mít přístup ke konfiguraci robota na webu Azure Portal ani ho nebudete moct upravovat.

Když vytvoříte prostředek Azure Bot prostřednictvím portálu, Azure vygeneruje ID aplikace a heslo, ale neukládá je ve službě Azure Key Vault. Key Vault můžete použít se službou Azure AI Bot Service. Informace najdete v tématu Konfigurace webové aplikace pro připojení ke službě Key Vault. Příklad ukládání a načítání tajných kódů pomocí služby Key Vault najdete v rychlém startu: Klientská knihovna tajných klíčů služby Azure Key Vault pro .NET (SDK v4).

Důležité

Tým Azure AI Bot Service nemůže obnovit robota šifrovacího klíče spravovaného zákazníkem bez přístupu ke klíči.

Jaká data jsou šifrovaná?

Azure AI Bot Service ukládá zákaznická data o robotovi, kanály, které používá, nastavení konfigurace sad vývojářů a v případě potřeby záznam aktuálně aktivních konverzací. Zprávy odeslané přes přímý řádek nebo Webový chat kanály a všechny nahrané přílohy se ukládají také přechodně po dobu kratší než 24 hodin.

Všechna zákaznická data se šifrují se dvěma vrstvami šifrování ve službě Azure AI Bot Service. se spravovanými šifrovacími klíči Microsoftu nebo šifrovacími klíči spravovanými zákazníkem microsoftu. Azure AI Bot Service šifruje přechodně uložená data pomocí šifrovacích klíčů spravovaných Microsoftem a v závislosti na konfiguraci prostředku Robota Azure šifruje dlouhodobější data pomocí šifrovacích klíčů spravovaných Microsoftem nebo zákazníkem.

Poznámka:

Vzhledem k tomu, že služba Azure AI Bot Service existuje, aby zákazníkům poskytovala možnost doručovat zprávy uživatelům z jiných služeb mimo Azure AI Bot Service, šifrování se na tyto služby nevztahuje. To znamená, že v rámci řízení služby Azure AI Bot Service se data budou ukládat zašifrovaná podle pokynů v tomto článku; Při opuštění služby k doručení do jiné služby se však data dešifrují a pak se posílají pomocí šifrování TLS 1.2 cílové službě.

Konfigurace instance služby Azure Key Vault

Použití klíčů spravovaných zákazníkem se službou Azure AI Bot Service vyžaduje, abyste v instanci služby Azure Key Vault povolili dvě vlastnosti, které chcete použít k hostování šifrovacích klíčů: obnovitelné odstranění a ochrana před vymazáním. Tyto funkce zajišťují, že pokud je váš klíč z nějakého důvodu omylem odstraněn, můžete ho obnovit. Další informace o obnovitelném odstranění a ochraně před vymazáním najdete v přehledu obnovitelného odstranění služby Azure Key Vault.

Screenshot of soft delete and purge protection enabled.

Pokud používáte existující instanci služby Azure Key Vault, můžete ověřit, že jsou tyto vlastnosti povolené, a to v části Vlastnosti na webu Azure Portal. Pokud některé z těchto vlastností nejsou povolené, podívejte se do části Věnované povolení obnovitelného odstranění a ochrany před vymazáním ve službě Key Vault.

Udělení přístupu k trezoru klíčů službě Azure AI Bot Service

Aby služba Azure AI Bot Service měla přístup k trezoru klíčů, který jste vytvořili pro tento účel, musí být nastavená zásada přístupu, která instančnímu objektu služby Azure AI Bot Service dává aktuální sadu oprávnění. Další informace o službě Azure Key Vault, včetně postupu vytvoření trezoru klíčů, najdete v tématu o službě Azure Key Vault.

  1. Zaregistrujte poskytovatele prostředků Azure AI Bot Service ve vašem předplatném obsahujícím trezor klíčů.

    1. Přejděte na Azure Portal.
    2. Otevřete okno Předplatná a vyberte předplatné, které obsahuje trezor klíčů.
    3. Otevřete okno Poskytovatelé prostředků a zaregistrujte poskytovatele prostředků Microsoft.BotService .

    Microsoft.BotService registered as a resource provider

  2. Azure Key Vault podporuje dva modely oprávnění: řízení přístupu na základě role (RBAC) Azure nebo zásady přístupu k trezoru. Můžete se rozhodnout použít některý z modelů oprávnění. Ujistěte se, že v okně Sítě ve službě Key Vault jsou brány firewall a virtuální sítě nastavené tak, aby umožňovaly veřejný přístup ze všech sítí v tomto kroku. Dále se ujistěte, že má operátor udělené oprávnění operace správy klíčů.

    Screenshot of the two permission models available for your key vault.

    1. Konfigurace modelu oprávnění Azure RBAC ve vašem trezoru klíčů:

      1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
      2. Přejděte do okna Řízení přístupu (IAM) a přiřaďte roli uživatele šifrování kryptografických služeb služby Key Vault ke službě Bot Service CMEK Prod. Tuto změnu může provést jenom uživatel s rolí vlastníka předplatného.

      Screenshot of key vault configuration showing the crypto service encryption user role has been added.

    2. Konfigurace modelu oprávnění zásad přístupu ke službě Key Vault ve vašem trezoru klíčů:

      1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
      2. Přidejte aplikaci Bot Service CMEK Prod jako zásadu přístupu a přiřaďte jí následující oprávnění:
      • Získání (z operací správy klíčů)
      • Rozbalení klíče (z kryptografických operací)
      • Zalamování klíče (z kryptografických operací)
      1. Výběrem možnosti Uložit uložte všechny provedené změny.

      Bot Service CMEK Prod added as an access policy

  3. Povolte službě Key Vault obejít bránu firewall.

    1. Otevřete okno Trezory klíčů a vyberte trezor klíčů.
    2. Otevřete okno Sítě a přejděte na kartu Brány firewall a virtuální sítě .
    3. Pokud je možnost Povolit přístup nastavená na Zakázat veřejný přístup, ujistěte se, že je vybraná možnost Povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.
    4. Výběrem možnosti Uložit uložte všechny provedené změny.

    Firewall exception added for Key Vault

Povolení klíčů spravovaných zákazníkem

Pokud chcete robota zašifrovat pomocí šifrovacího klíče spravovaného zákazníkem, postupujte takto:

  1. Otevřete okno prostředku robota Azure pro vašeho robota.

  2. Otevřete okno Šifrování robota a jako typ šifrování vyberte Klíče spravované zákazníkem.

  3. Zadejte úplný identifikátor URI klíče, včetně verze, nebo klikněte na Vybrat trezor klíčů a klíč , abyste klíč našli.

  4. V horní části okna klikněte na Uložit.

    Bot resource using customer-managed encryption

Po dokončení těchto kroků spustí služba Azure AI Bot Service proces šifrování, který může trvat až 24 hodin. Robot zůstane během tohoto časového období funkční.

Obměna klíčů spravovaných zákazníkem

Pokud chcete obměňovat šifrovací klíč spravovaný zákazníkem, musíte aktualizovat prostředek služby Azure AI Bot Service tak, aby používal nový identifikátor URI pro nový klíč (nebo novou verzi existujícího klíče).

Vzhledem k tomu, že k opětovnému šifrování s novým klíčem dochází asynchronně, ujistěte se, že starý klíč zůstane dostupný, aby bylo možné data i nadále dešifrovat; jinak může robot přestat fungovat. Starý klíč byste měli zachovat alespoň jeden týden.

Odvolání přístupu ke klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup, odeberte ze svého trezoru klíčů zásady přístupu pro instanční objekt služby Bot Service CMEK Prod .

Poznámka:

Odvolání přístupu přeruší většinu funkcí přidružených k vašemu robotovi. Pokud chcete funkci klíčů spravovaných zákazníkem zakázat, před odvoláním přístupu tuto funkci vypněte, abyste zajistili, že robot může pokračovat v práci.

Další kroky

Další informace o službě Azure Key Vault