Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure AI Search poskytuje komplexní bezpečnostní mechanismy pro přístup k síti, přístup k datům a ochranu dat, aby splňovaly podnikové požadavky. Jako architekt řešení byste měli rozumět třem klíčovým doménám zabezpečení:
- Vzory síťového provozu a zabezpečení sítě: Příchozí, odchozí a interní provoz.
- Mechanismy řízení přístupu: Klíče rozhraní API nebo ID Microsoft Entra s rolemi.
- Umístění a ochrana dat: Šifrování při přenosu, při použití s volitelným důvěrným výpočetním prostředím, a v úložišti s volitelným dvojitým šifrováním.
Vyhledávací služba podporuje několik topologií zabezpečení sítě, od omezení brány firewall protokolu IP pro základní ochranu až po privátní koncové body pro úplnou izolaci sítě. Volitelně můžete pomocí hraniční sítě vytvořit logickou hranici kolem prostředků Azure PaaS. V případě podnikových scénářů vyžadujících podrobná oprávnění můžete implementovat řízení přístupu na úrovni dokumentu. Všechny funkce zabezpečení se integrují s architekturou dodržování předpisů Azure a podporují běžné podnikové vzory, jako je víceklientská architektura a ověřování mezi službami pomocí spravovaných identit.
Tento článek podrobně popisuje možnosti implementace jednotlivých vrstev zabezpečení, které vám pomůžou navrhnout vhodné architektury zabezpečení pro vývojová a produkční prostředí.
Vzory síťového provozu
Službu Azure AI Search je možné hostovat ve veřejném cloudu Azure, privátním cloudu Azure nebo suverénním cloudu (například Azure Government). Ve výchozím nastavení pro všechny hostitele cloudu je vyhledávací služba obvykle přístupná klientskými aplikacemi přes veřejná síťová připojení. I když je tento vzor převládající, není to jediný vzor provozu, o který potřebujete starat. Pochopení všech vstupních a odchozích toků je nezbytným základem pro zabezpečení vývojových a produkčních prostředí.
Azure AI Search má tři základní vzory síťového provozu:
- Příchozí požadavky provedené uživatelem nebo klientem do vyhledávací služby (převládající vzor)
- Odchozí požadavky vydané vyhledávací službou pro jiné služby v Azure a jinde
- Interní požadavky na službu přes zabezpečenou páteřní síť Microsoftu
Příchozí provoz
Mezi příchozí požadavky, které cílí na koncový bod vyhledávací služby, patří:
- Vytvoření, čtení, aktualizace nebo odstranění indexů a dalších objektů ve vyhledávací službě
- Načtení indexu s využitím vyhledávacích dokumentů
- Dotazování indexu
- Spouštění úloh indexeru nebo sady dovedností
Rozhraní REST API popisují celý rozsah příchozích požadavků, které zpracovává vyhledávací služba.
Všechny příchozí požadavky musí být minimálně ověřeny pomocí některé z těchto možností:
- Ověřování na základě klíčů (výchozí) Příchozí požadavky poskytují platný klíč rozhraní API.
- Řízení přístupu na základě role: Autorizace probíhá prostřednictvím identit Microsoft Entra a přiřazení rolí ve vaší vyhledávací službě.
Kromě toho můžete přidat funkce zabezpečení sítě pro další omezení přístupu ke koncovému bodu. Můžete vytvořit pravidla příchozího spojení v bráně firewall protokolu IP, nebo vytvořit privátní koncové body, které plně chrání vaši vyhledávací službu před veřejným internetem.
Odchozí provoz
Odchozí požadavky můžete zabezpečit a spravovat vy. Odchozí požadavky pocházejí z vyhledávací služby do jiných aplikací. Tyto požadavky obvykle provádějí indexery pro textové a multimodální indexování, rozšiřování umělé inteligence založené na vlastních dovednostech a vektorizace v době dotazu. Odchozí požadavky zahrnují operace čtení i zápisu.
Následující seznam obsahuje úplný výčet odchozích požadavků, pro které můžete nakonfigurovat zabezpečená připojení. Vyhledávací služba provádí žádosti vlastním jménem a jménem indexeru nebo vlastní dovednosti.
| Operation | Scenario |
|---|---|
| Indexers | Připojte se k externím zdrojům dat a načtěte data (přístup pro čtení). Další informace najdete v tématu Přístup indexeru k obsahu chráněnému zabezpečením sítě Azure. |
| Indexers | Připojte se ke službě Azure Storage pro operace zápisu do úložišť znalostí, rozšiřování mezipaměti a ladicí relace. |
| Vlastní dovednosti | Připojte se k funkcím Azure, webovým aplikacím Azure nebo jiným aplikacím, na kterých běží externí kód hostovaný mimo službu. Během provádění sady dovedností se odešle požadavek na externí zpracování. |
| Indexery a integrovaná vektorizace | Připojte se k Azure OpenAI a nasazenému vloženému modelu, nebo použijte vlastní dovednost pro připojení k vámi poskytnutému modelu vkládání. Vyhledávací služba odesílá text do vložených modelů pro vektorizaci během indexování. |
| Vectorizers | Připojte se k Azure OpenAI nebo jiným modelům vkládání v době dotazu, abyste převedli textové řetězce uživatelů na vektory pro vektorové vyhledávání. |
| Agenti znalostí | Připojte se k modelům dokončování chatu pro plánování dotazů na načítání agentů a také k formulaci odpovědí založených na výsledcích hledání. Pokud implementujete základní vzor RAG, logika dotazu volá model dokončení externího chatu pro formulaci odpovědí založených na výsledcích hledání. Pro tento model používá připojení k modelu identitu vašeho klienta nebo uživatele. Identita vyhledávací služby se pro připojení nepoužívá. Pokud naproti tomu používáte agenty znalostí ve vzoru načítání RAG, provede odchozí požadavek spravovaná identita vyhledávací služby. |
| Search | Připojte se ke službě Azure Key Vault pro šifrovací klíče spravované zákazníkem, které se používají k šifrování a dešifrování citlivých dat. |
Odchozí připojení se dají obecně provádět pomocí připojovacího řetězce úplného přístupu prostředku, který zahrnuje klíč nebo přihlášení k databázi, nebo spravovanou identitu , pokud používáte ID Microsoft Entra a přístup na základě role.
Pokud chcete získat přístup k prostředkům Azure za bránou firewall, vytvořte příchozí pravidla pro jiné prostředky Azure, které přijímají požadavky vyhledávací služby.
Pokud chcete získat přístup k prostředkům Azure chráněným službou Azure Private Link, vytvořte sdílené privátní propojení, které indexer používá k vytvoření připojení.
Výjimka pro služby vyhledávání a úložiště ve stejné oblasti
Pokud jsou Služby Azure Storage a Azure AI Search ve stejné oblasti, síťový provoz se směruje přes privátní IP adresu a probíhá přes páteřní síť Microsoftu. Použitím privátních IP adres nemůžete nakonfigurovat firewally nebo privátní koncový bod pro síťové zabezpečení.
Nakonfigurujte připojení stejné oblasti pomocí některého z následujících přístupů:
Interní provoz
Interní požadavky jsou zabezpečené a spravované Microsoftem. Tato připojení nemůžete konfigurovat ani řídit. Pokud uzamknete přístup k síti, nevyžaduje se žádná akce na vaší straně, protože interní provoz není konfigurovatelný zákazníkem.
Interní provoz se skládá z:
- Volání mezi službami pro úlohy, jako je ověřování a autorizace prostřednictvím ID Microsoft Entra, protokolování prostředků odesílané do služby Azure Monitor a připojení privátních koncových bodů, která využívají službu Azure Private Link.
- Žádosti o integrované zpracování dovedností, s požadavky na stejnou oblast směrované na interně hostovaný víceslužební prostředek Azure AI, využívaný výhradně pro integrované zpracování dovedností službou Azure AI Search.
- Požadavky na různé modely, které podporují sémantické řazení.
Zabezpečení sítě
Zabezpečení sítě chrání prostředky před neoprávněným přístupem nebo útokem použitím ovládacích prvků na síťový provoz. Azure AI Search podporuje síťové funkce, které můžou být vaší frontovou ochranou před neoprávněným přístupem.
Příchozí připojení přes IP firewally
Vyhledávací služba je zřízena s veřejným koncovým bodem, který umožňuje přístup pomocí veřejné IP adresy. Pokud chcete omezit provoz přicházející přes veřejný koncový bod, vytvořte příchozí pravidlo brány firewall, které přijímá požadavky z konkrétní IP adresy nebo rozsahu IP adres. Všechna připojení klientů musí být provedena prostřednictvím povolené IP adresy nebo připojení je odepřeno.
Můžete použít Azure portal k konfiguraci přístupu k bráně firewall.
Alternativně můžete použít rozhraní REST API pro správu. Počínaje rozhraním API verze 2020-03-13 můžete s parametrem IpRule omezit přístup k vaší službě tak, že identifikujete IP adresy, jednotlivě nebo v rozsahu, kterým chcete udělit přístup k vaší vyhledávací službě.
Příchozí připojení k privátnímu koncovému bodu (izolace sítě, bez internetového provozu)
Pokud chcete přísnější zabezpečení, můžete vytvořit privátní koncový bod pro Azure AI Search, který klientovi ve virtuální síti umožní zabezpečený přístup k datům v indexu vyhledávání přes Private Link.
Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro připojení k vaší vyhledávací službě. Síťový provoz mezi klientem a vyhledávací službou prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu. Virtuální síť umožňuje zabezpečenou komunikaci mezi prostředky s vaší místní sítí i internetem.
I když je toto řešení nejbezpečnější, používání dalších služeb je přidanou cenou, takže před potápěním se ujistěte, že dobře rozumíte výhodám. Další informace o nákladech najdete na stránce s cenami. Další informace o tom, jak tyto komponenty spolupracují, najdete v tomto videu. Pokrytí možnosti privátního koncového bodu začíná ve videu v 5:48. Pokyny k nastavení koncového bodu najdete v tématu Vytvoření privátního koncového bodu pro Azure AI Search.
Perimetr zabezpečení sítě
Bezpečnostní obvod sítě je logická hranice sítě kolem prostředků platformy jako služby (PaaS), které jsou nasazeny mimo virtuální síť. Vytvoří hraniční síť pro řízení přístupu k prostředkům, jako je Azure AI Search, Azure Storage a Azure OpenAI. Výjimky můžete udělit prostřednictvím explicitních pravidel přístupu pro příchozí a odchozí provoz. Tento přístup pomáhá zabránit exfiltraci dat při zachování nezbytného připojení pro vaše aplikace.
Příchozí klientská připojení a připojení mezi službami probíhají v rámci hranice, což zjednodušuje a posiluje ochranu před neoprávněným přístupem. V řešeních Azure AI Search je běžné používat více prostředků Azure. Všechny následující prostředky je možné připojit k existující hraniční síti zabezpečení sítě:
Úplný seznam oprávněných služeb najdete v tématu Onboarded private link resources.
Authentication
Jakmile je žádost povolená do vyhledávací služby, musí stále projít ověřováním a autorizací, která určuje, jestli je požadavek povolený. Azure AI Search podporuje dva přístupy:
Microsoft Entra ověřování stanoví volajícího (a nikoli požadavek) jako ověřenou identitu. Přiřazení role Azure určuje autorizaci.
Ověřování na základě klíče se provádí na požadavku (ne volající aplikaci nebo uživatele) prostřednictvím klíče rozhraní API, kde je klíč tvořený náhodně vygenerovanými čísly a písmeny, které ukazují, že požadavek pochází z důvěryhodného zdroje. Klíče jsou vyžadovány v každém požadavku. Odeslání platného klíče je považováno za důkaz, že požadavek pochází z důvěryhodné entity.
Spoléhání na ověřování založené na klíčích rozhraní API znamená, že byste měli mít v pravidelných intervalech plán opětovného vygenerování klíče správce podle osvědčených postupů zabezpečení Azure. Pro každou vyhledávací službu existují maximálně dva klíče správce. Další informace o zabezpečení a správě klíčů rozhraní API najdete v tématu Vytváření a správa klíčů api-keys.
Ověřování na základě klíčů je výchozí pro operace roviny dat (vytváření a používání objektů ve vyhledávací službě). Můžete použít obě metody ověřování nebo zakázat přístup , který nechcete mít ve vyhledávací službě k dispozici.
Authorization
Azure AI Search poskytuje modely autorizace pro správu služeb a správu obsahu.
Privilegovaný přístup
V nové vyhledávací službě se stávající přiřazení rolí na úrovni předplatného dědí vyhledávací službou a přístup můžou udělit jenom vlastníci a správci uživatelských přístupů.
Úlohy operací řídicí roviny (vytváření služeb nebo prostředků a správy) jsou výhradně autorizované prostřednictvím přiřazení rolí bez možnosti používat ověřování založené na klíčích pro správu služeb.
Operace řídicí roviny zahrnují vytvoření, konfiguraci nebo odstranění služby a správu zabezpečení. Přiřazení rolí Azure proto určí, kdo může tyto úlohy provádět, bez ohledu na to, jestli používají portál, PowerShell nebo rozhraní REST API pro správu.
Tři základní role (vlastník, přispěvatel, čtenář) se vztahují na správu vyhledávací služby.
Note
Pomocí mechanismů pro celou Azure můžete uzamknout předplatné nebo prostředek, abyste zabránili náhodnému nebo neoprávněnému odstranění vyhledávací služby uživateli s právy správce. Další informace najdete v tématu Uzamčení prostředků, abyste zabránili neočekávanému odstranění.
Autorizace přístupu k obsahu
Operace roviny dat odkazují na objekty vytvořené a používané ve vyhledávací službě.
Pro autorizaci založenou na rolích použijte přiřazení rolí Azure k zajištění přístupu pro čtení a zápis k operacím.
Pro autorizaci na základě klíčů určuje přístup klíč rozhraní API a kvalifikovaný koncový bod. Koncovým bodem může být samotná služba, kolekce indexů, konkrétní index, kolekce dokumentů nebo konkrétní dokument. Když jsou koncový bod, operace (například žádost o vytvoření) a typ klíče (správce nebo dotaz) zřetězené dohromady, autorizují přístup k obsahu a operacím.
Omezení přístupu k indexům
Pomocí rolí Azure můžete nastavit oprávnění pro jednotlivé indexy , pokud se provádí programově.
Pomocí klíčů může každý, kdo má ke službě klíč správce, číst, upravovat nebo odstraňovat jakýkoli index ve stejné službě. Pro ochranu před náhodným nebo škodlivým odstraněním indexů je interní správa zdrojového kódu řešením pro vrácení nežádoucího odstranění nebo úpravy indexu. Azure AI Search má v rámci clusteru převzetí služeb při selhání, aby se zajistila dostupnost, ale neukládá ani nespustí váš proprietární kód použitý k vytváření nebo načítání indexů.
U víceklientských řešení vyžadujících hranice zabezpečení na úrovni indexu je běžné zpracovávat izolaci indexů ve střední vrstvě v kódu aplikace. Další informace o případu použití s více tenanty najdete v tématu Vzory návrhu pro víceklientské aplikace SaaS a Azure AI Search.
Omezení přístupu k dokumentům
Uživatelská oprávnění na úrovni dokumentu, označovaná také jako zabezpečení na úrovni řádků, je k dispozici jako funkce preview a závisí na zdroji dat. Pokud obsah pochází ze služby Azure Data Lake Storage (ADLS) Gen2 nebo objektů blob Azure, metadata uživatelských oprávnění pocházejících ze služby Azure Storage se zachovají v indexerem generovaných indexech a vynucují se v době dotazu, aby se do výsledků hledání zahrnul pouze autorizovaný obsah.
U jiných zdrojů dat můžete odeslat datovou část dokumentu, která obsahuje metadata oprávnění uživatele nebo skupiny, a tato oprávnění se uchovávají v indexovaném obsahu a vynucují se také v době dotazu. Tato funkce je také ve verzi Preview.
Pokud nemůžete používat funkce ve verzi Preview a potřebujete přístup k obsahu ve výsledcích hledání, existuje technika použití filtrů, které obsahují nebo vylučují dokumenty na základě identity uživatele. Toto alternativní řešení přidá do zdroje dat pole řetězce, které představuje identitu skupiny nebo uživatele, které můžete v indexu filtrovat. Další informace o tomto vzoru najdete v tématu Oříznutí zabezpečení na základě identitních filtrů. Další informace o přístupu k dokumentům najdete v tématu Řízení přístupu na úrovni dokumentu.
Umístění dat podle jurisdikce
Při nastavování vyhledávací služby zvolíte oblast, která určuje, kde se ukládají a zpracovávají zákaznická data. Každá oblast existuje v geografické oblasti (Geo), která často zahrnuje více oblastí (například Švýcarsko je geo, která obsahuje Švýcarsko – sever a Švýcarsko – západ). Azure AI Search může replikovat vaše data do jiné oblasti v rámci stejné geografické oblasti pro zajištění odolnosti a vysoké dostupnosti. Služba neukládá ani nezpracuje zákaznická data mimo zadanou geografickou oblast, pokud nenakonfigurujete funkci, která má závislost na jiném prostředku Azure, a tento prostředek se zřídí v jiné oblasti.
V současné době je jediným externím prostředkem, do kterého vyhledávací služba zapisuje, Azure Storage. Účet úložiště je ten, který poskytnete, a může být v libovolné oblasti. Vyhledávací služba zapisuje do Azure Storage, pokud používáte některou z následujících funkcí:
Další informace o rezidenci dat najdete v tématu Rezidence dat v Azure.
Výjimky z závazků ohledně umístění dat
Názvy objektů se zobrazují v protokolech telemetrie, které Microsoft používá k poskytování podpory pro službu. Názvy objektů se ukládají a zpracovávají mimo vybranou oblast nebo umístění. Názvy objektů zahrnují názvy indexů a polí indexů, aliasů, indexerů, zdrojů dat, sad dovedností, map synonym, prostředků, kontejnerů a úložiště trezoru klíčů. Zákazníci by neměli ukládat žádná citlivá data do polí názvů ani vytvářet aplikace navržené tak, aby do těchto polí ukládaly citlivá data.
Protokoly telemetrie se uchovávají po dobu jednoho a půl roku. Během tohoto období může Společnost Microsoft přistupovat k názvům objektů a odkazovat na je za následujících podmínek:
Diagnostikujte problém, vylepšete funkci nebo opravte chybu. V tomto scénáři je přístup k datům pouze interní, bez přístupu třetích stran.
Během podpory se tyto informace můžou použít k rychlému řešení problémů a eskalaci produktového týmu v případě potřeby.
Ochrana dat
Ve vrstvě úložiště je šifrování dat integrované pro veškerý obsah spravovaný službou uložený na disk, včetně indexů, map synonym a definic indexerů, zdrojů dat a sad dovedností. Šifrování spravované službou se vztahuje na dlouhodobé úložiště dat i dočasné úložiště dat.
Volitelně můžete přidat klíče spravované zákazníkem (CMK) pro doplňkové šifrování indexovaného obsahu pro dvojité šifrování neaktivních uložených dat. Pro služby vytvořené po srpnu 1 2020 se šifrování CMK rozšiřuje na krátkodobá data na dočasných discích.
Přenášená data
Pro připojení vyhledávací služby přes veřejný internet naslouchá Azure AI Search na portu HTTPS 443.
Azure AI Search podporuje šifrování kanálů typu klient-služba tls 1.2 a 1.3:
- Protokol TLS 1.3 je výchozí v novějších klientských operačních systémech a verzích .NET.
- Protokol TLS 1.2 je ve starších systémech výchozí, ale pro požadavek klienta můžete explicitně nastavit protokol TLS 1.3.
Starší verze protokolu TLS (1.0 nebo 1.1) nejsou podporované.
Další informace najdete v tématu Podpora protokolu TLS v rozhraní .NET Framework.
Data ve využití
Azure AI Search ve výchozím nastavení nasadí vaši vyhledávací službu ve standardní infrastruktuře Azure. Tato infrastruktura šifruje neaktivní uložená data a přenášená data, ale nechrání data při aktivním zpracování v paměti.
Volitelně můžete použít Azure Portal nebo služby – Vytvoření nebo aktualizace (REST API) ke konfiguraci důvěrného výpočetního prostředí během vytváření služby. Důvěrné výpočetní prostředí chrání data užitá před neoprávněným přístupem, včetně od Microsoftu, prostřednictvím ověření hardwaru a šifrování. Další informace najdete v tématu Důvěrné případy použití computingu.
Následující tabulka porovnává oba typy výpočetních prostředků.
| Typ výpočetních prostředků | Description | Omezení | Náklady | Availability |
|---|---|---|---|---|
| Výchozí | Zpracovává data na standardních virtuálních počítačích s integrovaným šifrováním neaktivních uložených dat a přenášených dat. Žádná hardwarová izolace pro data, která se používají. | Žádná omezení. | Žádné změny v základních nákladech na bezplatné nebo zpoplatněné úrovně. | K dispozici ve všech oblastech. |
| Confidential | Zpracovává data na důvěrných virtuálních počítačích (DCasv5 nebo DCesv5) v hardwarovém důvěryhodném spouštěcím prostředí. Izoluje výpočty a paměť od hostitelského operačního systému a jiných virtuálních počítačů. | Zakáže nebo omezí agentické vyhledávání, sémantický řadič, přepisování dotazu, provádění sad dovedností a indexery, které běží ve víceklientském prostředí1. | Přidá 10% příplatek k základním nákladům fakturovatelných úrovní. Další informace najdete na stránce s cenami. | Dostupné v některých oblastech. Další informace najdete v seznamu podporovaných oblastí. |
1 Když povolíte tento typ výpočetních prostředků, indexery se můžou spouštět jenom v privátním spouštěcím prostředí, což znamená, že běží z vyhledávacích clusterů hostovaných na důvěrných výpočetních prostředcích.
Důležité
Doporučujeme jenom důvěrné výpočetní operace pro organizace, jejichž požadavky na dodržování předpisů nebo zákonné požadavky vyžadují ochranu před použitím dat. Pro denní využití stačí výchozí typ výpočetních prostředků.
Data v klidu
Pro data zpracovávaná interně vyhledávací službou popisuje následující tabulka modely šifrování dat. Některé funkce, jako je úložiště znalostí, přírůstkové rozšiřování a indexerové indexování, čtení z datových struktur nebo zápis do datových struktur v jiných službách Azure. Služby, které jsou závislé na Službě Azure Storage, můžou využívat funkce šifrování této technologie.
| Model | Keys | Requirements | Restrictions | Vztahuje se na |
|---|---|---|---|---|
| Šifrování na straně serveru | Klíče spravované Microsoftem | Žádné (integrované) | Žádné, dostupné na všech úrovních ve všech oblastech pro obsah vytvořený po 24. lednu 2018. | Obsah (indexy a mapy synonym) a definice (indexery, zdroje dat, sady dovedností) na datových discích a dočasných discích |
| Šifrování na straně serveru | Klíče spravované zákazníkem | Azure Key Vault | K dispozici na fakturovatelných úrovních v konkrétních oblastech pro obsah vytvořený po 1. srpnu 2020. | Obsah (indexy a mapy synonym) a definice (indexery, zdroje dat, sady dovedností) na datových discích |
| Úplné šifrování na straně serveru | Klíče spravované zákazníkem | Azure Key Vault | Dostupné v placených tarifech, ve všech oblastech, ve vyhledávacích službách od 13. května 2021. | Obsah (indexy a mapy synonym) a definice (indexery, zdroje dat, sady dovedností) na datových discích a dočasných discích |
Když zavádíte šifrování CMK, šifrujete obsah dvakrát. U objektů a polí uvedených v předchozí části se obsah nejprve zašifruje pomocí klíče spravovaného Microsoftem. Obsah se na datových discích pro dlouhodobé úložiště a na dočasných discích používaných pro krátkodobé úložiště šifruje obsah.
Klíče spravované službou
Šifrování spravované službou je interní operace Microsoftu, která používá 256bitové šifrování AES. Probíhá automaticky u všech indexů, včetně přírůstkových aktualizací indexů, které nejsou plně šifrované (vytvořené před lednem 2018).
Šifrování spravované službou se vztahuje na veškerý obsah dlouhodobého a krátkodobého úložiště.
Klíče spravované zákazníkem (CMK)
Zákazníci používají CMK ze dvou důvodů: dodatečnou ochranu a možnost odvolat klíče, což brání přístupu k obsahu.
Klíče spravované zákazníkem vyžadují jinou fakturovatelnou službu Azure Key Vault, která může být v jiné oblasti, ale ve stejném tenantovi Azure jako Azure AI Search.
Podpora CMK byla provedena ve dvou fázích. Pokud jste vyhledávací službu vytvořili v první fázi, šifrování CMK bylo omezeno na dlouhodobé úložiště a konkrétní oblasti. Služby vytvořené ve druhé fázi můžou používat šifrování CMK v libovolné oblasti. V rámci zavedení druhé vlny se obsah šifruje v dlouhodobém i krátkodobém úložišti.
První zavedení bylo 1. srpna 2020 a zahrnovalo následující pět oblastí. Search vytvořené v následujících oblastech podporují cmk pro datové disky, ale ne dočasné disky:
- USA – západ 2
- USA – východ
- Střed USA – jih
- US Gov – Virginie
- US Gov – Arizona
Druhé zavedení 13. května 2021 přidalo šifrování dočasných disků a rozšířené šifrování CMK do všech podporovaných oblastí.
Pokud používáte CMK ze služby vytvořené během prvního uvedení a chcete také šifrování CMK přes dočasné disky, musíte ve zvolené oblasti vytvořit novou vyhledávací službu a znovu nasadit obsah. Pokud chcete zjistit datum vytvoření služby, přečtěte si téma Kontrola vytvoření služby nebo data upgradu.
Povolením šifrování CMK zvýšíte velikost indexu a snížíte výkon dotazů. Na základě pozorování k datu můžete očekávat zvýšení o 30 až 60 procent v časech dotazu, i když skutečný výkon se bude lišit v závislosti na definici indexu a typech dotazů. Z důvodu negativního dopadu na výkon doporučujeme tuto funkci povolit pouze u indexů, které ji skutečně vyžadují. Další informace najdete v tématu Konfigurace šifrovacích klíčů spravovaných zákazníkem ve službě Azure AI Search.
Protokolování a monitorování
Azure AI Search nehlásí identity uživatelů, takže nemůžete odkazovat na protokoly s informacemi o konkrétním uživateli. Služba však protokoluje operace vytvoření-čtení-aktualizace-odstranění, které můžete být schopni korelovat s jinými protokoly, abyste porozuměli agentuře konkrétních akcí.
Pomocí upozornění a infrastruktury protokolování v Azure můžete zachytit nárůsty počtu dotazů nebo rozpoznat jiné akce, které se odchylují od očekávaných úloh. Další informace o nastavení protokolů najdete v tématu Shromažďování a analýza dat protokolu a monitorování požadavků na dotazy.
Dodržování předpisů a zásady správného řízení
Azure AI Search se účastní pravidelných auditů a má certifikaci pro mnoho globálních, regionálních a oborových standardů pro veřejný cloud i Azure Government. Úplný seznam najdete v dokumentu white paper o nabídkách dodržování předpisů Microsoft Azure z oficiální stránky sestav auditu.
Doporučujeme pravidelně kontrolovat certifikace dodržování předpisů a dokumentaci služby Azure AI Search, abyste zajistili soulad s vašimi zákonnými požadavky.
Použití Azure Policy
K dodržování předpisů můžete použít Azure Policy k implementaci osvědčených postupů s vysokým zabezpečením srovnávacího testu zabezpečení cloudu Microsoftu. Srovnávací test zabezpečení cloudu Microsoftu je kolekce doporučení zabezpečení, která jsou kodifikovaná do kontrolních mechanismů zabezpečení, které se mapují na klíčové akce, které byste měli provést pro zmírnění hrozeb pro služby a data. Aktuálně existuje 12 kontrolních mechanismů zabezpečení, včetně zabezpečení sítě, protokolování a monitorování a ochrany dat.
Azure Policy je funkce integrovaná do Azure, která pomáhá spravovat dodržování předpisů pro více standardů, včetně těch, které jsou srovnávacím testem zabezpečení cloudu Microsoftu. Pro dobře známé srovnávací testy poskytuje Azure Policy předdefinované definice, které poskytují kritéria i odezvu s možností reakce, která řeší nedodržování předpisů.
Pro Azure AI Search je aktuálně k dispozici jedna integrovaná definice. Jde o protokolování prostředků. Můžete přiřadit zásadu, která identifikuje vyhledávací služby, u nichž chybí protokolování prostředků, a pak ji zapnout. Další informace najdete v tématu Řízení dodržování právních předpisů azure Policy pro Azure AI Search.
Použití značek
Použijte značky metadat pro kategorizaci vyhledávacích služeb na základě požadavků na citlivost dat a dodržování předpisů. To usnadňuje řádné řízení a bezpečnostní prvky. Další informace najdete v tématu Použití značek k uspořádání prostředků Azure a obecných pokynů – Uspořádání prostředků Azure pomocí značek.
Související obsah
Doporučujeme také následující video o funkcích zabezpečení. Je to několik let a nepokrývá novější funkce, ale pokrývá tyto funkce: CMK, firewally IP adres a privátní propojení. Pokud tyto funkce používáte, může být toto video užitečné.