Partager via


Sécurité des services Azure AI

Lors du développement de toutes les applications, la sécurité doit être considérée comme une priorité absolue. Avec la croissance des applications basées sur l'intelligence artificielle, la sécurité est d'autant plus importante. Cet article décrit les différentes fonctionnalités de sécurité disponibles pour Azure AI services. Chaque fonctionnalité traite d’une responsabilité spécifique, de sorte que plusieurs fonctionnalités peuvent être utilisées dans le même workflow.

Pour obtenir la liste complète des recommandations de sécurité des services Azure, consultez l’article Base de référence de sécurité d’Azure AI services.

Fonctionnalités de sécurité

Fonctionnalité Description
TLS (Transport Layer Security) Tous les points de terminaison d’Azure AI services exposés via HTTP appliquent le protocole TLS 1.2. Avec un protocole de sécurité appliqué, les consommateurs qui tentent d’appeler un point de terminaison de services Azure AI doivent suivre les instructions suivantes :
  • Le système d’exploitation client doit prendre en charge TLS 1.2.
  • Le langage (et la plateforme) utilisé pour effectuer l’appel HTTP doit spécifier TLS 1.2 dans le cadre de la requête. Selon le langage et la plateforme, la spécification de TLS s’effectue implicitement ou explicitement.
  • Pour les utilisateurs .NET, tenez compte des meilleures pratiques de Transport Layer Security
Options d’authentification L’authentification est l’action consistant à vérifier l’identité d’un utilisateur. L’autorisation, par contraste, est la spécification de droits d’accès et de privilèges sur des ressources pour une identité donnée. Une identité est une collection d’informations sur un principal, et un principal peut être un utilisateur individuel ou un service.

Par défaut, vous authentifiez vos propres appels à Azure AI services à l’aide des clés d’abonnement fournies. Il s’agit de la méthode la plus simple, mais pas la plus sécurisée. La méthode d’authentification la plus sécurisée consiste à utiliser des rôles gérés dans Microsoft Entra ID. Pour en savoir plus sur cette option et d’autres options d’authentification, consultez Authentifier des requêtes auprès d’Azure AI services.
Rotation des clés Chaque ressource Azure AI services a deux clés API pour permettre la rotation des secrets. Cette précaution de sécurité vous permet de changer régulièrement les clés qui peuvent accéder à votre service, ce qui protège la confidentialité de votre service en cas de fuite d’une clé. Pour en savoir plus sur cette option et d’autres options d’authentification, consultez la rubrique Rotation des clés.
Variables d’environnement Les variables d’environnement sont des paires nom-valeur stockées dans un environnement de développement spécifique. Les variables d’environnement sont plus sécurisées que l’utilisation de valeurs codées en dur dans votre code. Pour obtenir des instructions sur l’utilisation des variables d’environnement dans votre code, consultez le Guide sur les variables d’environnement.

Toutefois, si votre environnement est compromis, les variables d’environnement sont également compromises. Il ne s’agit donc pas de l’approche la plus sécurisée. La méthode d’authentification la plus sécurisée consiste à utiliser des rôles gérés dans Microsoft Entra ID. Pour en savoir plus sur cette option et d’autres options d’authentification, consultez Authentifier des requêtes auprès d’Azure AI services.
Clés gérées par le client (CMK) Cette fonctionnalité concerne les services qui stockent les données client au repos (plus de 48 heures). Bien que ces données soient déjà chiffrées deux fois sur des serveurs Azure, les utilisateurs peuvent bénéficier d’une sécurité supplémentaire grâce à l’ajout d’une autre couche de chiffrement, avec des clés qu’ils gèrent eux-mêmes. Vous pouvez lier votre service à Azure Key Vault et y gérer vos clés de chiffrement de données.

Vérifiez si CMK est pris en charge par le service que vous souhaitez utiliser dans la documentation sur les Clés gérées par le client.
Réseaux virtuels Les réseaux virtuels vous permettent de spécifier quels points de terminaison peuvent effectuer des appels d’API à votre ressource. Le service Azure rejette les appels d'API émis par les appareils qui ne se trouvent pas sur votre réseau. Vous pouvez définir une définition basée sur une formule du réseau autorisé, ou vous pouvez définir une liste exhaustive de points de terminaison à autoriser. Il s’agit d’une autre couche de sécurité qui peut être utilisée en combinaison avec d’autres.
Prévention contre la perte de données La fonctionnalité de protection contre la perte de données permet à un administrateur de décider quels types d’URI leur ressource Azure peut prendre en tant qu’entrées (pour ces appels d’API qui prennent des URI en tant qu’entrée). Cela peut être fait pour empêcher l’exfiltration possible des données d’entreprise sensibles : si une entreprise stocke des informations sensibles (telles que les données privées d’un client) dans les paramètres d’URL, un mauvais acteur au sein de cette société peut soumettre les URL sensibles à un service Azure, qui expose ces données en dehors de l’entreprise. La protection contre la perte de données vous permet de configurer le service de manière à rejeter certains formulaires URI à l’arrivée.
Customer Lockbox La fonctionnalité Customer Lockbox offre une interface permettant aux clients de passer en revue et d'approuver ou de rejeter les demandes d'accès aux données. Elle est utilisée lorsqu’un ingénieur Microsoft doit accéder aux données client dans le cadre d’une demande de support. Pour plus d'informations sur la façon dont les demandes Customer Lockbox sont initiées, suivies et stockées en vue d'audits et de révisions ultérieures, consultez le Guide sur Customer Lockbox.

Customer Lockbox est disponible pour les services suivants :
  • Azure OpenAI
  • Convertisseur
  • Compréhension du langage courant
  • Classification de texte personnalisée
  • Reconnaissance d’entité nommée personnalisée
  • Workflow d'orchestration
Apporter votre propre stockage (BYOS) Actuellement, le service Speech ne prend pas en charge Customer Lockbox. Toutefois, vous pouvez organiser le stockage des données propres à votre service dans votre propre ressource de stockage à l’aide de BYOS. BYOS vous permet d’atteindre des contrôels de données similaires à Customer Lockbox. N'oubliez pas que les données du service Speech restent et sont traitées dans la région Azure où la ressource Speech a été créée. Cela s'applique à toutes les données au repos ainsi qu'aux données en transit. Pour les fonctionnalités de personnalisation, telles que Custom Speech et Custom Voice, toutes les données client sont transférées, stockées et traitées dans la région où résident les ressources BYOS (si utilisées) et du service Speech.

Pour utiliser BYOS avec Speech, suivez le guide Chiffrement Speech des données au repos.

Microsoft n’utilise pas les données client pour améliorer ses modèles Speech. En outre, si la journalisation des points de terminaison est désactivée et qu'aucune personnalisation n'est utilisée, aucune donnée client n'est stockée.

Étapes suivantes