Az Azure AI-szolgáltatások biztonsága
A biztonságot minden alkalmazás fejlesztése során kiemelt prioritásnak kell tekinteni, és a mesterséges intelligencia által engedélyezett alkalmazások növekedésével a biztonság még fontosabb. Ez a cikk az Azure AI-szolgáltatásokhoz elérhető különböző biztonsági funkciókat ismerteti. Mindegyik funkció egy adott felelősségre vonatkozik, így több funkció is használható ugyanabban a munkafolyamatban.
Az Azure szolgáltatásbiztonsági ajánlásainak átfogó listájáért tekintse meg az Azure AI-szolgáltatások biztonsági alapkonfigurációját ismertető cikket.
Biztonsági funkciók
| Funkció | Leírás |
|---|---|
| Transport Layer Security (TLS) | A HTTP-en keresztül közzétett Összes Azure AI-szolgáltatásvégpont kikényszeríti a TLS 1.2 protokollt. A kényszerített biztonsági protokoll használatával az Azure AI-szolgáltatások végpontot meghívni próbáló felhasználóknak az alábbi irányelveket kell követniük:
|
| Hitelesítési lehetőségek | A hitelesítés a felhasználó identitásának ellenőrzésére szolgál. Ezzel szemben az engedélyezés az erőforrásokhoz való hozzáférési jogosultságok és jogosultságok specifikációja egy adott identitáshoz. Az identitás egy egyszerű felhasználóval kapcsolatos információk gyűjteménye, és az egyszerű felhasználó lehet egyéni felhasználó vagy szolgáltatás.Alapértelmezés szerint a megadott előfizetési kulcsok használatával hitelesíti az Azure AI-szolgáltatásokba irányuló saját hívásait; ez a legegyszerűbb módszer, de nem a legbiztonságosabb. A legbiztonságosabb hitelesítési módszer a felügyelt szerepkörök használata a Microsoft Entra-azonosítóban. Erről és más hitelesítési lehetőségekről további információt az Azure AI-szolgáltatásokhoz érkező kérelmek hitelesítése című témakörben talál. |
| Kulcs elforgatása | Minden Azure AI-szolgáltatási erőforrás két API-kulccsal rendelkezik a titkos kulcsok rotálásának engedélyezéséhez. Ez egy biztonsági óvintézkedés, amellyel rendszeresen módosíthatja a szolgáltatáshoz hozzáférő kulcsokat, és megvédheti a szolgáltatása adatvédelmi adatait abban az esetben, ha egy kulcs kiszivárog. Erről és más hitelesítési lehetőségekről a Kulcsok elforgatása című témakörben olvashat. |
| Környezeti változók | A környezeti változók név-érték párok, amelyek egy adott fejlesztési környezetben vannak tárolva. A hitelesítő adatait így biztonságosabb alternatívaként tárolhatja a kódban lévő merevlemez-értékek használata helyett. Ha azonban a környezet sérül, a környezeti változók is sérülnek, így nem ez a legbiztonságosabb megközelítés. A környezeti változók kódban való használatáról a Környezeti változók útmutatójában talál útmutatást. |
| Ügyfél által felügyelt kulcsok (CMK) | Ez a funkció olyan szolgáltatásokhoz használható, amelyek az ügyféladatokat inaktív állapotban tárolják (48 óránál hosszabb ideig). Bár ezek az adatok már duplán vannak titkosítva az Azure-kiszolgálókon, a felhasználók további biztonságot kaphatnak egy újabb titkosítási réteg hozzáadásával, a saját maguk által kezelt kulcsokkal. A szolgáltatást összekapcsolhatja az Azure Key Vaulttal, és ott kezelheti az adattitkosítási kulcsokat. Csak egyes szolgáltatások használhatják a CMK-t; keresse meg a szolgáltatást az Ügyfél által felügyelt kulcsok lapon. |
| Virtuális hálózatok | A virtuális hálózatok lehetővé teszik annak megadását, hogy mely végpontok kezdeményezhetnek API-hívásokat az erőforráshoz. Az Azure szolgáltatás elutasítja a hálózaton kívüli eszközökről érkező API-hívásokat. Beállíthatja az engedélyezett hálózat képletalapú definícióját, vagy definiálhatja az engedélyezendő végpontok teljes listáját. Ez egy másik biztonsági réteg, amely másokkal együtt használható. |
| Adatveszteség-megelőzés | Az adatveszteség-megelőzési funkcióval a rendszergazdák eldönthetik, hogy az Azure-erőforrásuk milyen típusú URI-kat fogad bemenetként (azoknál az API-hívásoknál, amelyek bemenetként használják az URI-kat). Ez megakadályozhatja a bizalmas vállalati adatok esetleges kiszivárgását: Ha egy vállalat bizalmas adatokat (például egy ügyfél személyes adatait) tárol URL-paraméterekben, a vállalaton belüli rossz szereplő elküldheti a bizalmas URL-címeket egy Azure-szolgáltatásnak, amely a vállalaton kívüli adatokat jeleníti meg. Az adatveszteség-megelőzés lehetővé teszi a szolgáltatás konfigurálását bizonyos URI-űrlapok érkezéskor történő elutasítására. |
| Ügyfélzárolás | A Customer Lockbox funkció felületet biztosít az ügyfelek számára az adathozzáférési kérelmek áttekintéséhez, jóváhagyásához vagy elutasításához. Olyan esetekben használják, amikor egy Microsoft-mérnöknek hozzá kell férnie az ügyféladatokhoz egy támogatási kérelem során. Az ügyfél-zárolási kérelmek kezdeményezésével, nyomon követésével és tárolásával kapcsolatos további információkért tekintse meg a Customer Lockbox útmutatót.A Customer Lockbox a következő szolgáltatásokhoz érhető el:
|
| Saját tárterület (BYOS) használata | A Speech szolgáltatás jelenleg nem támogatja a Customer Lockbox szolgáltatást. Gondoskodhat azonban arról, hogy a szolgáltatásspecifikus adatokat saját tárolóerőforrásában tárolja a bring-your-own-storage (BYOS) használatával. A BYOS lehetővé teszi a Customer Lockboxhoz hasonló adatvezérlők elérését. Ne feledje, hogy a Speech szolgáltatás adatai megmaradnak, és abban az Azure-régióban vannak feldolgozva, ahol a Speech-erőforrás létrejött. Ez az inaktív adatokra és az átvitt adatokra vonatkozik. Az olyan testreszabási funkciók esetében, mint a Custom Speech és a Custom Voice, az összes ügyféladat átvitele, tárolása és feldolgozása ugyanabban a régióban történik, ahol a Speech szolgáltatás erőforrása és a BYOS-erőforrás (ha van) található. Ha a BYOS-t a Speechkel szeretné használni, kövesse az adatok speechtitkosítását a rest útmutatóban . A Microsoft nem használja fel az ügyféladatokat a Speech-modellek fejlesztésére. Emellett ha a végpontnaplózás le van tiltva, és nem használ testreszabásokat, akkor a Speech nem tárol ügyféladatokat. |
Következő lépések
- Ismerkedjen meg az Azure AI-szolgáltatásokkal , és válasszon ki egy szolgáltatást az első lépésekhez.