Freigeben über

Azure AI Bot Service-Verschlüsselung für ruhende Daten

GILT FÜR: SDK v4

Azure AI Bot Service verschlüsselt Ihre Daten automatisch, wenn sie in der Cloud gespeichert sind, um die Daten zu schützen und die Sicherheits- und Complianceverpflichtungen der Organisation zu erfüllen.

Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Sie können Ihre Bot-Ressource mit Ihren eigenen Schlüsseln verwalten, die als vom Kunden verwaltete Schlüssel bezeichnet werden. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen für die Daten, die der Azure AI Bot-Dienst speichert. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Beim Verschlüsseln von Daten verschlüsselt azure AI Bot Service mit zwei Verschlüsselungsebenen. Wenn vom Kunden verwaltete Schlüssel nicht aktiviert sind, werden beide von Microsoft verwendeten Schlüssel verwendet. Wenn vom Kunden verwaltete Schlüssel aktiviert sind, werden die Daten sowohl mit dem vom Kunden verwalteten Schlüssel als auch mit einem von Microsoft verwalteten Schlüssel verschlüsselt.

Von Kunden verwaltete Schlüssel mit Azure Key Vault

Um das Feature mit vom Kunden verwalteten Schlüsseln zu nutzen, müssen Sie Schlüssel in Azure Key Vault speichern und verwalten. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Ihre Azure Bot-Ressource und der Schlüsseltresor müssen sich im gleichen Microsoft Entra ID-Mandanten befinden, können jedoch in verschiedenen Abonnements liegen. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).

Bei Verwendung eines vom Kunden verwalteten Schlüssels verschlüsselt azure AI Bot Service Ihre Daten in seinem Speicher. Wenn der Zugriff auf diesen Schlüssel widerrufen oder der Schlüssel gelöscht wird, kann Ihr Bot azure AI Bot Service nicht zum Senden oder Empfangen von Nachrichten verwenden, und Sie können nicht auf die Konfiguration Ihres Bots im Azure-Portal zugreifen oder diese bearbeiten.

Wenn Sie eine Azure Bot-Ressource über das Portal erstellen, generiert Azure eine App-ID und ein Kennwort, speichert sie aber nicht im Azure Key Vault. Sie können Key Vault mit Azure AI Bot Service verwenden. Weitere Informationen finden Sie unter Konfigurieren der Web-App zum Herstellen einer Verbindung mit Key Vault. Ein Beispiel zum Speichern und Abrufen von Geheimnissen mit Key Vault finden Sie in Schnellstart: Azure Key Vault Secret-Clientbibliothek für .NET (SDK v4).

Von Bedeutung

Das Azure AI Bot Service-Team kann einen vom Kunden verwalteten Verschlüsselungsschlüssel-Bot ohne Zugriff auf den Schlüssel nicht wiederherstellen.

Welche Daten werden verschlüsselt?

Azure AI Bot Service speichert Kundendaten über den Bot, die von ihm verwendeten Kanäle, Konfigurationseinstellungen, die der Entwickler festlegt, und, falls erforderlich, eine Aufzeichnung der derzeit aktiven Unterhaltungen. Es speichert auch vorübergehend, für weniger als 24 Stunden, die Nachrichten, die über die Direct Line- oder Web-Chatkanäle gesendet wurden, und alle hochgeladenen Anlagen.

Alle Kundendaten werden mit zwei Verschlüsselungsebenen im Azure AI Bot Service verschlüsselt; entweder mit von Microsoft verwalteten Verschlüsselungsschlüsseln oder von Microsoft und vom Kunden verwalteten Verschlüsselungsschlüsseln. Der Azure AI Bot-Dienst verschlüsselt vorübergehend gespeicherte Daten mithilfe der von Microsoft verwalteten Verschlüsselungsschlüssel und verschlüsselt abhängig von der Konfiguration der Azure Bot-Ressource längerfristige Daten mithilfe der von Microsoft oder vom Kunden verwalteten Verschlüsselungsschlüssel.

Hinweis

Da Azure AI Bot Service vorhanden ist, um Kunden die Möglichkeit zu bieten, Nachrichten an und von Benutzern in anderen Diensten außerhalb des Azure AI Bot-Diensts zu übermitteln, erstreckt sich die Verschlüsselung nicht auf diese Dienste. Dies bedeutet, dass unter der Kontrolle des Azure AI Bot Service Daten gemäß den Anweisungen in diesem Artikel verschlüsselt gespeichert werden; wenn der Dienst jedoch einen anderen Dienst verlässt, um an einen anderen Dienst geliefert zu werden, werden die Daten entschlüsselt und mit TLS 1.2-Verschlüsselung an den Zieldienst gesendet.

So konfigurieren Sie Ihre Azure Key Vault-Instanz

Die Verwendung kundengesteuerter Schlüssel mit Azure AI Bot Service erfordert, dass zwei Eigenschaften auf der Azure Key Vault-Instanz aktiviert werden, die Sie zum Speichern Ihrer Verschlüsselungsschlüssel verwenden möchten: Vorläufiges Löschen und Löschschutz. Diese Features stellen sicher, dass Sie ihn wiederherstellen können, wenn Ihr Schlüssel aus irgendeinem Grund versehentlich gelöscht wurde. Weitere Informationen zur Wiederherstellungslöschung und zum Schutz vor unwiderruflichem Löschen finden Sie in der Übersicht über die Wiederherstellungslöschung bei Azure Key Vault.

Screenshot von aktiviertem Schutz für Soft Delete und Endgültiges Löschen.

Bei Verwendung einer vorhandenen Azure Key Vault-Instanz können Sie überprüfen, ob diese Eigenschaften aktiviert sind, indem Sie sich im Azure-Portal den Abschnitt Eigenschaften ansehen. Falls eine dieser Eigenschaften nicht aktiviert ist, sehen Sie im Abschnitt "Key Vault" in "Aktivieren des vorläufigen Löschens und Löschschutzes" nach.

Gewähren Sie dem Azure AI Bot Service Zugriff auf einen Schlüsseltresor.

Damit Azure-AI-Bot-Service Zugriff auf den Schlüsseltresor hat, den Sie für diesen Zweck erstellt haben, muss eine Zugriffsrichtlinie festgelegt werden, die dem Dienstprinzipal des Azure-AI-Bot-Dienstes den aktuellen Satz von Berechtigungen verleiht. Weitere Informationen zu Azure Key Vault, einschließlich der Erstellung eines Schlüsseltresors, finden Sie unter Azure Key Vault.

  1. Registrieren Sie den Azure AI Bot Service-Ressourcenanbieter für Ihr Abonnement, das den Key Vault enthält.

    1. Öffnen Sie das Azure-Portal.
    2. Öffnen Sie den Bereich "Abonnements" und wählen Sie das Abonnement aus, das den Key Vault enthält.
    3. Öffnen Sie das Blatt "Ressourcenanbieter ", und registrieren Sie den Microsoft.BotService-Ressourcenanbieter .

    Microsoft.BotService als Ressourcenanbieter registriert

  2. Azure Key Vault unterstützt zwei Berechtigungsmodelle: Azure role-based access control (RBAC) oder Tresorzugriffsrichtlinie. Sie können wählen, welches der beiden Berechtigungsmodelle Sie verwenden möchten. Stellen Sie sicher, dass die Firewalls und virtuellen Netzwerke im Blatt "Netzwerk " des Key Vault auf " Öffentlichen Zugriff von allen Netzwerken in diesem Schritt zulassen" festgelegt sind. Stellen Sie außerdem sicher, dass dem Operator die Berechtigung "Key Management Operations" erteilt wurde.

    Screenshot der beiden für Ihren Key Vault verfügbaren Berechtigungsmodelle.

    1. So konfigurieren Sie das Azure RBAC-Berechtigungsmodell in Ihrem Schlüsseltresor:

      1. Öffnen Sie den Schlüsseltresore-Bereich und wählen Sie Ihren Schlüsseltresor aus.
      2. Gehen Sie zum Access control (IAM)-Bereich und weisen Sie die Rolle Key Vault Crypto Service Encryption User dem Bot Service CMEK Prod zu. Nur ein Benutzer mit der Rolle als Abonnementinhaber kann diese Änderung vornehmen.

      Screenshot der Schlüsseltresorkonfiguration, die zeigt, dass die Verschlüsselungsbenutzerrolle des Kryptodienstes hinzugefügt wurde.

    2. So konfigurieren Sie das Zugriffsrichtlinien-Berechtigungsmodell "Key Vault" in Ihrem Schlüsseltresor:

      1. Öffnen Sie den Schlüsseltresore-Bereich und wählen Sie Ihren Schlüsseltresor aus.
      2. Fügen Sie die Bot Service CMEK Prod-Anwendung als Zugriffsrichtlinie hinzu, und weisen Sie sie den folgenden Berechtigungen zu:
      • Abrufen (aus den Schlüsselverwaltungsvorgängen)
      • Entschlüsselungsschlüssel (aus den kryptografischen Vorgängen)
      • Umbruchschlüssel (aus den kryptografischen Vorgängen)
      1. Wählen Sie "Speichern" aus, um alle von Ihnen vorgenommenen Änderungen zu speichern.

      Bot Service CMEK Prod als Zugriffsrichtlinie hinzugefügt

  3. Zulassen, dass Key Vault Ihre Firewall umgeht.

    1. Öffnen Sie den Schlüsseltresore-Bereich und wählen Sie Ihren Schlüsseltresor aus.
    2. Öffnen Sie das Blatt "Netzwerk ", und wechseln Sie zur Registerkarte "Firewalls" und "Virtuelle Netzwerke ".
    3. Wenn "Zugriff zulassen" auf " Öffentlichen Zugriff deaktivieren" festgelegt ist, stellen Sie sicher, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen können.
    4. Wählen Sie "Speichern" aus, um alle von Ihnen vorgenommenen Änderungen zu speichern.

    Firewall-Ausnahme für Key Vault hinzugefügt

Aktivieren von vom Kunden verwalteten Schlüsseln

Führen Sie die folgenden Schritte aus, um Ihren Bot mit einem vom Kunden verwalteten Verschlüsselungsschlüssel zu verschlüsseln:

  1. Öffnen Sie das Azure Bot-Ressourcenblatt für Ihren Bot.

  2. Öffnen Sie das Blatt "Verschlüsselung " Ihres Bots, und wählen Sie Customer-Managed Schlüssel für den Verschlüsselungstyp aus.

  3. Geben Sie entweder den vollständigen URI Ihres Schlüssels ein, einschließlich der Version, oder klicken Sie auf Schlüsseltresor und Schlüssel auswählen, um Ihren Schlüssel zu finden.

  4. Klicken Sie oben auf der Seite auf Speichern.

    Bot-Ressource mit vom Kunden verwalteter Verschlüsselung

Sobald diese Schritte abgeschlossen sind, startet azure AI Bot Service den Verschlüsselungsprozess, der bis zu 24 Stunden dauern kann. Ihr Bot bleibt während dieses Zeitraums funktionsfähig.

Rotieren von kundenseitig verwalteten Schlüsseln

Um einen vom Kunden verwalteten Verschlüsselungsschlüssel zu drehen, müssen Sie die Azure AI Bot Service-Ressource aktualisieren, um den neuen URI für den neuen Schlüssel (oder die neue Version des vorhandenen Schlüssels) zu verwenden.

Da die erneute Verschlüsselung mit dem neuen Schlüssel asynchron erfolgt, stellen Sie sicher, dass der alte Schlüssel weiterhin verfügbar bleibt, damit Die Daten weiterhin entschlüsselt werden können. andernfalls könnte Ihr Bot nicht mehr funktionieren. Sie sollten den alten Schlüssel mindestens eine Woche lang beibehalten.

Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel

Um den Zugriff zu widerrufen, entfernen Sie die Zugriffsrichtlinie für den Bot Service CMEK Prod-Dienstprinzipal aus Ihrem Schlüsseltresor.

Hinweis

Das Widerrufen des Zugriffs wird die meisten Funktionen, die mit Ihrem Bot verbunden sind, beeinträchtigen. Um das Feature für vom Kunden verwaltete Schlüssel zu deaktivieren, deaktivieren Sie das Feature, bevor Sie den Zugriff widerrufen, um sicherzustellen, dass der Bot weiterhin funktioniert.

Nächste Schritte

Weitere Informationen zu Azure Key Vault