Sicherheit von Azure KI Services
Sicherheit sollte als oberste Priorität bei der Entwicklung aller Anwendungen betrachtet werden, und mit der wachsenden Verbreitung von Anwendungen, die sich auf künstliche Intelligenz stützen, wird Sicherheit zu einem noch dringlicheren Thema. In diesem Artikel werden verschiedene Sicherheitsfeatures beschrieben, die für Azure KI Services verfügbar sind. Jedes Feature richtet sich an eine bestimmte Verpflichtung, daher können mehrere Features im gleichen Workflow verwendet werden.
Eine umfassende Liste der Sicherheitsempfehlungen für Azure-Dienste finden Sie im Artikel Azure KI Services-Sicherheitsbaseline.
Sicherheitsfeatures
| Funktion | BESCHREIBUNG |
|---|---|
| Transport Layer Security (TLS) | Für alle Azure KI Services-Endpunkte, die über HTTP verfügbar gemacht werden, wird das TLS 1.2-Protokoll erzwungen. Aufgrund des erzwungenen Sicherheitsprotokolls sollten Benutzer*innen, die einen Azure KI Services-Endpunkt aufrufen möchten, diesen Richtlinien folgen:
|
| Authentifizierungsoptionen | Bei der Authentifizierung handelt es sich um die Überprüfung der Identität eines Benutzers. Autorisierung ist demgegenüber die Angabe von Zugriffsrechten und Berechtigungen für Ressourcen für eine bestimmte Identität. Eine Identität ist eine Sammlung von Informationen zu einem Prinzipal, und ein Prinzipal kann entweder ein*e einzelne*r Benutzer*in oder ein Dienst sein.Standardmäßig authentifizieren Sie Ihre eigenen Aufrufe von Azure KI Services mithilfe der bereitgestellten Abonnementschlüssel. Dies ist die einfachste Methode, aber nicht die sicherste. Die sicherste Authentifizierungsmethode besteht in der Verwendung von verwalteten Rollen in Microsoft Entra ID. Weitere Informationen zu diesen und anderen Authentifizierungsoptionen finden Sie unter Authentifizieren von Anforderungen für Azure KI Services. |
| Schlüsselrotation | Jede Azure KI Services-Ressource verfügt über zwei API-Schlüssel, um die Rotation von Geheimnissen zu ermöglichen. Dies ist eine Sicherheitsvorkehrung, mit der Sie die Schlüssel für den Dienstzugriff regelmäßig ändern können, um die Vertraulichkeit Ihres Diensts zu schützen, sollte ein Schlüssel kompromittiert werden. Weitere Informationen zu dieser Authentifizierung und anderen Authentifizierungsoptionen finden Sie unter Rotieren von Schlüsseln. |
| Umgebungsvariablen | Umgebungsvariablen sind Name-Wert-Paare, die in einer bestimmten Entwicklungsumgebung gespeichert sind. Sie können Ihre Anmeldeinformationen auf diese Weise speichern, als sicherere Alternative zur Verwendung von hartcodierten Werten in Ihrem Code. Wenn Ihre Umgebung jedoch gefährdet ist, trifft dies auch auf die Umgebungsvariablen zu. Dies ist also nicht der sicherste Ansatz. Anweisungen zum Verwenden von Umgebungsvariablen in Ihrem Code finden Sie im Leitfaden zu Umgebungsvariablen. |
| Kundenseitig verwaltete Schlüssel (CMK) | Dieses Feature ist für Dienste bestimmt, die ruhende Kundendaten (länger als 48 Stunden) speichern. Zwar sind diese Daten bereits auf Azure-Servern doppelt verschlüsselt, doch können Benutzer zusätzliche Sicherheit erhalten, indem sie eine weitere Verschlüsselungsebene mit Schlüsseln hinzufügen, die sie selbst verwalten. Sie können Ihren Dienst mit Azure Key Vault verknüpfen und Ihre Datenverschlüsselungsschlüssel dort verwalten. Nur einige Dienste können CMK verwenden. Suchen Sie Ihren Dienst auf der Seite Kundenseitig verwaltete Schlüssel. |
| Virtuelle Netzwerke | In virtuellen Netzwerken haben Sie die Möglichkeit anzugeben, welche Endpunkte API-Aufrufe an Ihre Ressource vornehmen können. Der Azure-Dienst lehnt API-Aufrufe von Geräten außerhalb Ihres Netzwerks ab. Sie können eine formelbasierte Definition des zulässigen Netzwerks festlegen oder eine vollständige Liste der zuzulassenden Endpunkte definieren. Dies ist eine weitere Sicherheitsebene, die in Kombination mit anderen verwendet werden kann. |
| Verhindern von Datenverlusten | Mit dem Feature zur Verhinderung von Datenverlust kann ein Administrator entscheiden, welche Arten von URIs seine Azure-Ressource als Eingaben annehmen kann (für API-Aufrufe, die URIs als Eingabe annehmen). Dies kann geschehen, um die mögliche Exfiltration vertraulicher Unternehmensdaten zu verhindern: Wenn ein Unternehmen vertrauliche Informationen (z. B. die privaten Daten eines Kunden) in URL-Parametern speichert, könnte ein schlechter Akteur innerhalb dieses Unternehmens die vertraulichen URLs an einen Azure-Dienst übermitteln, der diese Daten außerhalb des Unternehmens sichtbar macht. Mit dem Feature zur Verhinderung von Datenverlust können Sie den Dienst so konfigurieren, dass bestimmte URI-Formen bei der Ankunft abgelehnt werden. |
| Kunden-Lockbox | Das Feature Kunden-Lockbox stellt Kunden eine Schnittstelle zum Überprüfen und Genehmigen oder zum Ablehnen von Zugriffsanforderungen für Daten zur Verfügung. Es wird in Fällen verwendet, in denen ein Microsoft-Techniker im Rahmen einer Supportanfrage auf Kundendaten zugreifen muss. Informationen zu der Weise, in der Kunden-Lockbox-Anforderungen initiiert, nachverfolgt und für spätere Überprüfungen und Audits gespeichert werden, finden Sie im Leitfaden zu Kunden-Lockbox.Kunden-Lockbox ist für die folgenden Dienste verfügbar:
|
| Bring Your Own Storage (BYOS) | Der Sprachdienst unterstützt zurzeit keine Kunden-Lockbox. Sie können jedoch dafür sorgen, dass ihre dienstspezifischen Daten in Ihrer eigenen Speicherressource gespeichert werden, indem Sie Bring-your-own-Storage (BYOS) nutzen. BYOS gibt Ihnen die Möglichkeit, eine ähnliche Kontrolle über Ihre Daten wie bei der Kunden-Lockbox zu erzielen. Bedenken Sie, dass Daten des Sprachdiensts in der Azure-Region verarbeitet werden und verbleiben, in der die Speech-Ressource erstellt wurde. Dies betrifft alle Daten, sowohl ruhende Daten als auch übertragene Daten. Bei der Verwendung von Anpassungsfunktionen wie Custom Speech und Custom Voice werden alle Kundendaten in der gleichen Region übertragen, gespeichert und verarbeitet, in der sich die Sprachdienstressource und Ihre BYOS-Ressource (sofern verwendet) befinden. Informationen zum Verwenden von BYOS mit Speech finden Sie im Leitfaden Verschlüsselung für ruhende Daten des Speech-Diensts.Microsoft verwendet keine Kundendaten zur Verbesserung seiner Sprachmodelle. Wenn darüber hinaus die Endpunktprotokollierung deaktiviert ist und keine Anpassungen verwendet werden, werden vom Speech-Dienst keine Kundendaten gespeichert. |
Nächste Schritte
- Erkunden Sie Azure KI Services, und wählen Sie einen Dienst aus, um einzusteigen.