Megosztás a következőn keresztül:


Az Azure AI-szolgáltatások biztonsága

A biztonságot minden alkalmazás fejlesztésénél kiemelt prioritásnak kell tekinteni, és a mesterséges intelligenciát használó alkalmazások növekedésével még fontosabb a biztonság. Ez a cikk az Azure AI-szolgáltatásokhoz elérhető különböző biztonsági funkciókat ismerteti. Mindegyik funkció egy adott felelősségre vonatkozik, így több funkció is használható ugyanabban a munkafolyamatban.

Az Azure szolgáltatásbiztonsági ajánlásainak átfogó listájáért tekintse meg az Azure AI-szolgáltatások biztonsági alapkonfigurációját ismertető cikket.

Biztonsági funkciók

Szolgáltatás Leírás
Transport Layer Security (TLS) A HTTP-en keresztül közzétett Összes Azure AI-szolgáltatásvégpont kikényszeríti a TLS 1.2 protokollt. A kényszerített biztonsági protokoll használatával az Azure AI-szolgáltatások végpontot meghívni próbáló felhasználóknak az alábbi irányelveket kell követniük:
  • Az ügyfél operációs rendszerének (OS) támogatnia kell a TLS 1.2-t.
  • A HTTP-híváshoz használt nyelvnek (és platformnak) meg kell adnia a TLS 1.2-t a kérés részeként. A nyelvtől és a platformtól függően a TLS megadása implicit vagy explicit módon történik.
  • A .NET-felhasználók számára tekintse át a Transport Layer Security ajánlott eljárásait
Hitelesítési lehetőségek A hitelesítés a felhasználó identitásának ellenőrzésére szolgál. Ezzel szemben az engedélyezés az erőforrásokhoz való hozzáférési jogosultságok és jogosultságok specifikációja egy adott identitáshoz. Az identitás egy egyszerű felhasználóval kapcsolatos információk gyűjteménye, és az egyszerű felhasználó lehet egyéni felhasználó vagy szolgáltatás.

Alapértelmezés szerint a megadott előfizetési kulcsok használatával hitelesíti az Azure AI-szolgáltatásokba irányuló saját hívásait; ez a legegyszerűbb módszer, de nem a legbiztonságosabb. A legbiztonságosabb hitelesítési módszer a felügyelt szerepkörök használata a Microsoft Entra-azonosítóban. Erről és más hitelesítési lehetőségekről további információt az Azure AI-szolgáltatásokhoz érkező kérelmek hitelesítése című témakörben talál.
Kulcs elforgatása Minden Azure AI-szolgáltatási erőforrás két API-kulccsal rendelkezik a titkos kulcsok rotálásának engedélyezéséhez. Ez egy biztonsági óvintézkedés, amellyel rendszeresen módosíthatja a szolgáltatáshoz hozzáférő kulcsokat, és megvédheti a szolgáltatása adatvédelmi adatait, ha egy kulcs kiszivárog. Erről és más hitelesítési lehetőségekről a Kulcsok elforgatása című témakörben olvashat.
Környezeti változók A környezeti változók név-érték párok, amelyek egy adott fejlesztési környezetben vannak tárolva. A környezeti változók biztonságosabbak, mint a kódban rögzített értékek használata. A környezeti változók kódban való használatáról a Környezeti változók útmutatójában talál útmutatást.

Ha azonban a környezet biztonsága sérül, a környezeti változók is sérülnek, így nem ez a legbiztonságosabb megközelítés. A legbiztonságosabb hitelesítési módszer a felügyelt szerepkörök használata a Microsoft Entra-azonosítóban. Erről és más hitelesítési lehetőségekről további információt az Azure AI-szolgáltatásokhoz érkező kérelmek hitelesítése című témakörben talál.
Ügyfél által felügyelt kulcsok (CMK) Ez a funkció olyan szolgáltatásokhoz használható, amelyek az ügyféladatokat inaktív állapotban tárolják (48 óránál hosszabb ideig). Bár ezek az adatok már duplán vannak titkosítva az Azure-kiszolgálókon, a felhasználók további biztonságot kaphatnak egy újabb titkosítási réteg hozzáadásával, a saját maguk által kezelt kulcsokkal. A szolgáltatást összekapcsolhatja az Azure Key Vaulttal, és ott kezelheti az adattitkosítási kulcsokat.

Ellenőrizze, hogy a CMK-t támogatja-e az ügyfél által felügyelt kulcsok dokumentációjában használni kívánt szolgáltatás.
Virtuális hálózatok A virtuális hálózatok lehetővé teszik annak megadását, hogy mely végpontok kezdeményezhetnek API-hívásokat az erőforráshoz. Az Azure szolgáltatás elutasítja a hálózaton kívüli eszközökről érkező API-hívásokat. Beállíthatja az engedélyezett hálózat képletalapú definícióját, vagy definiálhatja az engedélyezendő végpontok teljes listáját. Ez egy másik biztonsági réteg, amely másokkal együtt használható.
Adatveszteség-megelőzés Az adatveszteség-megelőzési funkcióval a rendszergazdák eldönthetik, hogy az Azure-erőforrásuk milyen típusú URI-kat fogad bemenetként (azoknál az API-hívásoknál, amelyek bemenetként használják az URI-kat). Ez megakadályozhatja a bizalmas vállalati adatok esetleges kiszivárgását: Ha egy vállalat bizalmas adatokat (például egy ügyfél személyes adatait) tárol URL-paraméterekben, a vállalaton belüli rossz szereplő elküldheti a bizalmas URL-címeket egy Azure-szolgáltatásnak, amely a vállalaton kívüli adatokat jeleníti meg. Az adatveszteség-megelőzés lehetővé teszi a szolgáltatás konfigurálását bizonyos URI-űrlapok érkezéskor történő elutasítására.
Ügyfélzárolás A Customer Lockbox funkció felületet biztosít az ügyfelek számára az adathozzáférési kérelmek áttekintéséhez, jóváhagyásához vagy elutasításához. Olyan esetekben használják, amikor egy Microsoft-mérnöknek hozzá kell férnie az ügyféladatokhoz egy támogatási kérelem során. Az ügyfél-zárolási kérelmek kezdeményezésével, nyomon követésével és tárolásával kapcsolatos további információkért tekintse meg a Customer Lockbox útmutatót.

A Customer Lockbox a következő szolgáltatásokhoz érhető el:
  • Azure OpenAI
  • Translator
  • Beszélgetési nyelvtanulás
  • Egyéni szövegbesorolás
  • Egyéni elnevezett entitásfelismerés
  • Vezénylési munkafolyamat
Saját tárterület (BYOS) használata A Speech szolgáltatás jelenleg nem támogatja a Customer Lockbox szolgáltatást. Gondoskodhat azonban arról, hogy a szolgáltatásspecifikus adatokat saját tárolóerőforrásában tárolja a bring-your-own-storage (BYOS) használatával. A BYOS lehetővé teszi a Customer Lockboxhoz hasonló adatvezérlők elérését. Ne feledje, hogy a Speech szolgáltatás adatai megmaradnak, és abban az Azure-régióban vannak feldolgozva, ahol a Speech-erőforrás létrejött. Ez az inaktív adatokra és az átvitt adatokra vonatkozik. Az olyan testreszabási funkciók esetében, mint a Custom Speech és a Custom Voice, az összes ügyféladat átvitele, tárolása és feldolgozása ugyanabban a régióban történik, ahol a Speech szolgáltatás erőforrása és a BYOS-erőforrás (ha van) található.

Ha a BYOS-t a Speechkel szeretné használni, kövesse az adatok speechtitkosítását a rest útmutatóban .

A Microsoft nem használja fel az ügyféladatokat a Speech-modellek fejlesztésére. Emellett ha a végpontnaplózás le van tiltva, és nem használ testreszabásokat, akkor a Speech nem tárol ügyféladatokat.

Következő lépések