Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Esta base de referencia de seguridad aplica la guía de la Prueba comparativa de la seguridad en la nube de Microsoft versión 1.0 en servicios de Azure AI. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a los servicios de Azure AI.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota
se han excluido las características no aplicables a los servicios de Azure AI. Para ver cómo Servicios de Azure AI se asigna por completo a la Prueba comparativa de la seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Servicios de Azure AI.
El perfil de seguridad resume los comportamientos de alto impacto de los servicios de Azure AI, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría del producto | AI+ML |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Falso |
| Almacena el contenido del cliente en reposo | Verdadero |
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Seguridad de red.
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta función no se admite para proteger este servicio.
Descripción: El tráfico de red de servicio respeta la asignación de reglas de los Grupos de Seguridad de Red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Notas de características: Aunque no se admiten Grupos de Seguridad de Red para este servicio, se puede configurar un cortafuegos a nivel de servicio. Para obtener más información, visite: Administración de reglas de red IP
Guía de configuración: esta función no se admite para asegurar este servicio.
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: implementación de puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link, para establecer un punto de acceso privado para los recursos.
Referencia: Usar puntos de conexión privados
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de la regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado ACL IP a nivel de servicio o un conmutador para el acceso a la red pública.
referencia: Cambiar la regla de acceso de red predeterminada
Definiciones integradas de Azure Policy - Microsoft.CognitiveServices:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| los recursos de Azure AI Services deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Esto se puede lograr mediante la configuración de reglas de red para que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticar mediante Azure Active Directory
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Notas de características: Aunque puede autenticarse en los servicios de Azure AI mediante una clave de suscripción de un solo servicio o de varios servicios, o bien usar esas claves para autenticarse con tokens de acceso, estos métodos de autenticación quedan cortos en escenarios más complejos que requieren el control de acceso basado en roles de Azure (Azure RBAC). Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Reference: Autenticación con token de acceso
Definiciones predefinidas de Azure Policy - Microsoft.CognitiveServices:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| los recursos de Azure AI Services deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a claves (autenticación local) para la seguridad. Azure OpenAI Studio, que normalmente se usa en desarrollo o pruebas, requiere acceso a claves y no funcionará si el acceso a claves está deshabilitado. Después de deshabilitar, microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegio mínimo y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
referencia: Autorizar el acceso a identidades administradas
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: autenticar solicitudes a los Servicios de Azure AI
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de Configuración: Defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la tarea. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Referencia: Desarrollar aplicaciones de servicios de Azure AI con Key Vault
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Acceso con privilegios.
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta característica no está disponible para asegurar este servicio.
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use el control de acceso basado en rol de Azure (Azure RBAC) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.
Referencia: Autenticar mediante Azure Active Directory
Descripción: Customer Lockbox se puede usar para el acceso al soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a sus datos, use Customer Lockbox para revisar y, a continuación, aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Protección de datos.
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: las funcionalidades de prevención de pérdida de datos de los servicios de Azure AI permiten a los clientes configurar la lista de direcciones URL salientes a las que pueden acceder sus recursos de servicios de Azure AI. Esto crea otro nivel de control para que los clientes eviten la pérdida de datos.
Referencia: Configurar la prevención de pérdida de datos para los servicios de Azure AI
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Referencia: Seguridad de los servicios de Azure AI
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Referencia: Configuración de claves administradas por el cliente con Azure Key Vault para servicios de Azure AI
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Referencia: Configuración de claves gestionadas por el cliente con Azure Key Vault para Servicios de Azure AI
Definiciones integradas de Azure Policy - Microsoft.CognitiveServices:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| las cuentas de servicios de Azure AI deben habilitar el cifrado de datos con una clave administrada por el cliente | Las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en los servicios de Azure AI con una clave de Azure Key Vault creada y propiedad de usted. Tiene control total y responsabilidad sobre el ciclo de vida clave, incluida la rotación y la administración. Obtenga más información sobre las claves administradas por el cliente en https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Configuración de claves administradas por el cliente con Azure Key Vault para servicios de Azure AI
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Instrucciones de configuración : Esta función no es compatible para asegurar este servicio.
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía para la configuración: Utilice Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de sus recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Utiliza los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar configuraciones seguras en los recursos de Azure.
Referencia: Definiciones de directivas integradas de Azure Policy para los servicios de Azure AI
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : registro y detección de amenazas.
Descripción: el servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para asegurar este servicio.
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de Configuración: Habilitar los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o y Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de los registros de recursos varía según el tipo de recurso y el servicio de Azure.
Referencia: Habilitar el registro de diagnóstico para los servicios de Azure AI
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : copia de seguridad y recuperación.
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta característica no se admite para asegurar este servicio.
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta función no se admite para garantizar la seguridad de este servicio.
Cursos
Módulo
Supervisión de la protección de cargas de trabajo en Azure Backup - Training
Aprenda a supervisar las cargas de trabajo protegidas con Azure Backup mediante Azure Monitor.
Certificación
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.