Sécurité d’Azure AI services
La sécurité doit être considérée comme une priorité absolue dans le développement de toutes les applications et, avec la croissance des applications compatibles avec l’intelligence artificielle, la sécurité est encore plus importante. Cet article décrit les différentes fonctionnalités de sécurité disponibles pour Azure AI services. Chaque fonctionnalité traite d’une responsabilité spécifique, de sorte que plusieurs fonctionnalités peuvent être utilisées dans le même workflow.
Pour obtenir la liste complète des recommandations de sécurité des services Azure, consultez l’article Base de la sécurité d’Azure AI services.
Fonctionnalités de sécurité
| Fonctionnalité | Description |
|---|---|
| TLS (Transport Layer Security) | Tous les points de terminaison d’Azure AI services exposés via HTTP appliquent le protocole TLS 1.2. Avec un protocole de sécurité appliqué, les consommateurs qui tentent d’appeler un point de terminaison de services Azure AI doivent suivre les instructions suivantes :
|
| Options d’authentification | L’authentification est l’action consistant à vérifier l’identité d’un utilisateur. L’autorisation, par contraste, est la spécification de droits d’accès et de privilèges sur des ressources pour une identité donnée. Une identité est une collection d’informations sur un principal, et un principal peut être un utilisateur individuel ou un service.Par défaut, vous authentifiez vos propres appels à Azure AI services à l’aide des clés d’abonnement fournies. Il s’agit de la méthode la plus simple, mais pas la plus sécurisée. La méthode d’authentification la plus sécurisée consiste à utiliser des rôles gérés dans Microsoft Entra ID. Pour en savoir plus sur cette option et d’autres options d’authentification, consultez Authentifier des requêtes auprès d’Azure AI services. |
| Rotation des clés | Chaque ressource Azure AI services a deux clés API pour permettre la rotation des secrets. Il s’agit d’une précaution de sécurité qui vous permet de modifier régulièrement les clés qui peuvent accéder à votre service, en protégeant la confidentialité de votre service en cas de fuite d’une clé. Pour en savoir plus sur cette option et d’autres options d’authentification, consultez la rubrique Rotation des clés. |
| Variables d’environnement | Les variables d’environnement sont des paires nom-valeur stockées dans un environnement de développement spécifique. Vous pouvez stocker vos informations d’identification de cette façon comme alternative plus sécurisée à l’utilisation de valeurs codées en dur dans votre code. Toutefois, si votre environnement est compromis, les variables d’environnement sont également compromises. Il ne s’agit donc pas de l’approche la plus sécurisée. Pour obtenir des instructions sur l’utilisation des variables d’environnement dans votre code, consultez le guide des variables d’environnement. |
| Clés gérées par le client (CMK) | Cette fonctionnalité concerne les services qui stockent les données client au repos (plus de 48 heures). Bien que ces données soient déjà chiffrées deux fois sur des serveurs Azure, les utilisateurs peuvent bénéficier d’une sécurité supplémentaire grâce à l’ajout d’une autre couche de chiffrement, avec des clés qu’ils gèrent eux-mêmes. Vous pouvez lier votre service à Azure Key Vault et y gérer vos clés de chiffrement de données. Seuls certains services peuvent utiliser CMK. Recherchez votre service sur la page Clés gérées par le client. |
| Réseaux virtuels | Les réseaux virtuels vous permettent de spécifier quels points de terminaison peuvent effectuer des appels d’API à votre ressource. Le service Azure rejette les appels d’API à partir d’appareils en dehors de votre réseau. Vous pouvez définir une définition basée sur une formule du réseau autorisé, ou vous pouvez définir une liste exhaustive de points de terminaison à autoriser. Il s’agit d’une autre couche de sécurité qui peut être utilisée en combinaison avec d’autres. |
| Prévention contre la perte de données | La fonctionnalité de protection contre la perte de données permet à un administrateur de décider quels types d’URI leur ressource Azure peut prendre en tant qu’entrées (pour ces appels d’API qui prennent des URI en tant qu’entrée). Cela peut être fait pour empêcher l’exfiltration possible des données d’entreprise sensibles : si une entreprise stocke des informations sensibles (telles que les données privées d’un client) dans les paramètres d’URL, un mauvais acteur au sein de cette société peut soumettre les URL sensibles à un service Azure, qui expose ces données en dehors de l’entreprise. La protection contre la perte de données vous permet de configurer le service de manière à rejeter certains formulaires URI à l’arrivée. |
| Customer Lockbox | La fonctionnalité Customer Lockbox offre une interface permettant aux clients de passer en revue et d'approuver ou de rejeter les demandes d'accès aux données. Elle est utilisée lorsqu’un ingénieur Microsoft doit accéder aux données client dans le cadre d’une demande de support. Pour plus d’informations sur la façon dont les demandes Customer Lockbox sont lancées, suivies et stockées pour les révisions et audits ultérieurs, consultez le guide Customer Lockbox.Customer Lockbox est disponible pour les services suivants :
|
| Apporter votre propre stockage (BYOS) | Actuellement, le service Speech ne prend pas en charge Customer Lockbox. Toutefois, vous pouvez organiser le stockage des données propres à votre service dans votre propre ressource de stockage à l’aide de BYOS. BYOS vous permet d’atteindre des contrôels de données similaires à Customer Lockbox. N'oubliez pas que les données du service Speech restent et sont traitées dans la région Azure où la ressource Speech a été créée. Cela s'applique à toutes les données au repos ainsi qu'aux données en transit. Pour les fonctionnalités de personnalisation, telles que Custom Speech et Custom Voice, toutes les données client sont transférées, stockées et traitées dans la région où résident les ressources BYOS (si utilisées) et du service Speech. Pour utiliser BYOS avec Speech, suivez le guide Chiffrement Speech des données au repos. Microsoft n'utilise pas les données client pour améliorer ses modèles vocaux. En outre, si la journalisation des points de terminaison est désactivée et qu'aucune personnalisation n'est utilisée, aucune donnée client n'est stockée. |
Étapes suivantes
- Explorez Azure AI services et choisissez un service pour commencer.