Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza az Azure AI Studióra. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure AI Studióhoz kapcsolódó útmutatás szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
Az Azure AI Studióra nem vonatkozó funkciók ki vannak zárva.**.
Biztonsági profil
A biztonsági profil összefoglalja a Azure AI Studio nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | AI+ML |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Jellemzők
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Megosztott |
Konfigurációs útmutató: Privát kapcsolati kapcsolatot állíthat be az Azure AI Studio virtuális hálózatról való eléréséhez. A beépített felügyelt hálózatelkülönítési funkcióval hálózatelkülönítést biztosíthat a számítási erőforrások számára a Azure AI Studio, például a számítási példányban.
Referencia: Privát kapcsolat konfigurálása az Azure AI Hubhoz
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A hálózati biztonsági csoportot (NSG) a Azure AI Studio támogatja. Az ügyfelek felelőssége a szabályzatok megfelelő konfigurálása és az NSG erőforrásokra való alkalmazása.
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozása a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Jellemzők
Azure Private Link
Leírás: A szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Privát végpontok üzembe helyezése a Private Link szolgáltatást támogató összes Azure-erőforráshoz, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Referencia: Privát kapcsolat konfigurálása az Azure AI Hubhoz
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A nyilvános internet-hozzáférés letiltását az Azure AI Studio támogatja, az ügyfél konfigurálhatja az Azure Private Linket az Azure AI Studióhoz és a számítási erőforrásokhoz való biztonságos hozzáféréshez.
konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsoló használatával.
Referencia: Privát kapcsolat konfigurálása az Azure AI Hubhoz
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Jellemzők
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az Azure szerepköralapú hozzáférés-vezérlés az Azure AI Studióhoz való hozzáférés előre definiált szerepkörökkel való kezelésére szolgál. A Microsoft Entra azonosítójában lévő felhasználóknak szerepkörökhöz kell rendelniük az erőforrások eléréséhez a Azure AI Studio.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Hivatkozás:/azure/ai-studio/concepts/rbac-ai-studio
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: Az adatsík helyi hitelesítését a Azure AI Studio nem támogatja. Az ügyfeleknek az Azure Entra ID-t kell használniuk az adatsíkhoz való hozzáférés kezeléséhez. Az ügyfél azonban konfigurálhatja a helyi hitelesítést a számítási példányhoz, amely alapértelmezés szerint le van tiltva.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Jellemzők
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A felügyelt identitást a Azure AI Studio támogatja. Az ügyfeleknek azonban meg kell győződniük arról, hogy a felügyelt identitás megfelelően van konfigurálva a célerőforrásokhoz a hozzáférés engedélyezéséhez.
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban és erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, rotálja és védi, elkerülve ezzel a hitelesítő adatok keménykódolását a forráskódban vagy a konfigurációs fájlokban.
Szolgáltatási principálok
Leírás: Az adatsík szolgáltatásobjektumok használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A szolgáltatásneveket a Azure AI Studio támogatja, és konfigurálhatók az AI-projektet támogató erőforrásokhoz, beleértve a Storage-fiókot és az Azure Key Vaultot stb.
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Jellemzők
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A feltételes hozzáférést a Azure AI Studio támogatja, azonban az ügyfeleknek konfigurálniuk kell azokat a szabályzatokat, amelyek alapértelmezés szerint nincsenek engedélyezve.
Konfigurációs útmutatás: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és kritériumokat a munkaterhelésben. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Jellemzők
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az ügyfelek az Azure Key Vault használatával kezelhetik a titkos kulcsokat, például az erőforrás-kapcsolatok kapcsolati sztringjeit. Az adatelkülönítéshez a titkos kulcsok nem kérhetők le projektek között API-k használatával.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Hivatkozás:/azure/ai-studio/concepts/architecture
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Jellemzők
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: A számítási példány létrehozása során az ügyfelek a biztonsági lapon konfigurálhatják a rendszergazdai hozzáférést. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Számítási példányok létrehozása és kezelése az Azure AI Studióban
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Jellemzők
Azure RBAC az adatsíkhoz
Leírás: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az Azure szerepköralapú hozzáférés-vezérlését az Azure AI Studio előre definiált szerepkörökkel támogatja. Az ügyfeleknek hozzá kell rendelniük a szerepköröket a felhasználókhoz, mielőtt hozzáférhetnek az Azure AI Studióhoz.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Hivatkozás:/azure/ai-studio/concepts/rbac-ai-studio
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Jellemzők
Ügyfél Biztonsági Doboz
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Jellemzők
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: A bizalmas adatok felderítését és besorolását a Azure AI Studio jelenleg nem támogatja. Míg az átvitel alatt álló és az inaktív adatok titkosítva vannak, az ügyfeleknek figyelembe kell venniük a konfigurálható funkciókat, például a hálózat elkülönítését, a hozzáférés-vezérlést stb. az adatok védelme érdekében.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Jellemzők
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok mozgásának nyomon követéséhez (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: Az adatszivárgás/-veszteségmegelőzési (DLP) megoldást jelenleg nem támogatja a Azure AI Studio. Az ügyfélnek fontolóra kell vennie az adatok védelmét segítő vezérlők alkalmazását, beleértve a hálózat elkülönítését, a hozzáférés-kezelést stb.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Jellemzők
Adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Azure AI Studio titkosítást használ az inaktív és átvitel közbeni adatok védelmére. Alapértelmezés szerint a Microsoft által felügyelt kulcsok használhatók a titkosításhoz.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Jellemzők
Nyugalmi állapotban lévő adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az Azure AI több Azure-szolgáltatásra épül. Az adatok biztonságosan vannak tárolva a Microsoft által alapértelmezés szerint biztosított titkosítási kulcsokkal.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Jellemzők
Inaktív állapotú adatok titkosítása CMK használatával
Leírás: Az adatok nyugalmi állapotban történő titkosítása ügyfél által kezelt kulcsokkal támogatott az ügyféltartalmak esetében, amelyeket a szolgáltatás tárol. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Azure AI Studio titkosítást használ az inaktív és átvitel közbeni adatok védelmére. Alapértelmezés szerint a Microsoft által felügyelt kulcsok használhatók a titkosításhoz. Az ügyfelek azonban használhatják saját titkosítási kulcsaikat (ügyfél által felügyelt kulcsok, CMK). A funkció használatát választó ügyfeleknek fel kell tölteniük a kulcsaikat az Azure Key Vaultba, hogy kihasználhassák a funkció előnyeit.
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Engedélyezze és valósítsa meg a nyugalmi állapotban lévő adatok titkosítását az ügyfél által felügyelt kulccsal ezekhez a szolgáltatásokhoz.
Hivatkozás:/azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Biztonságos kulcskezelési folyamat használata
Jellemzők
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Azure AI Hub-erőforrás létrehozásakor függő erőforrásként Azure Key Vault szükséges.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Azure AI Studio architektúra
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Jellemzők
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Jellemzők
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Azure AI Studio beépített Azure-szabályzatokat biztosít. A szabályzatok azonban alapértelmezés szerint nincsenek engedélyezve. Az ügyfeleknek szükség esetén át kell tekinteniük és engedélyezniük kell a szabályzatokat.
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérés észlelhető az erőforrásokon. Az Azure Policy [deny] és az [üzembe helyezés, ha nem létezik] effektusokkal kényszerítheti ki a biztonságos konfigurációt az Azure-erőforrások között.
Hivatkozás: /azure/ai-services/policy-reference
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Jellemzők
Microsoft Defender for Cloud – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja a virtuális gépen futó ügyfélalkalmazásokat a Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: A Microsoft Defender for Servers ügynök telepítése jelenleg nem támogatott.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Jellemzők
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: A Microsoft Defender konfigurálható a Azure AI Studióhoz csatolt különböző erőforrásokhoz. Az ügyfél a Micrsoft Defender dokumentációjában tekintheti át a rendelkezésre állást.
Konfigurációs útmutató: A felügyeleti sík hozzáférésének vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként. Amikor riasztást kap a Key Vaulthoz készült Microsoft Defendertől, vizsgálja meg és válaszoljon a riasztásra.
Referencia: Microsoft Defender termékek és szolgáltatások
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Jellemzők
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az Azure Monitor és az Azure Log Analytics monitorozást és naplózást biztosít a Azure AI Studio által használt mögöttes erőforrásokhoz.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Azure AI Studio architektúra
Testtartás és sebezhetőség kezelése
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztet: Testtartás és sebezhetőség-kezelés.
PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása
Jellemzők
Az Azure Automation állapotkonfigurációja
Leírás: Az Azure Automation állapotkonfigurációja használható az operációs rendszer biztonsági konfigurációjának fenntartásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Azure Policy vendégkonfigurációs ügynök
Leírás: Az Azure Policy vendégkonfigurációs ügynöke a számítási erőforrások bővítményeként telepíthető. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Azure AI Studio beépített Azure-szabályzatokat biztosít. A szabályzatok azonban alapértelmezés szerint nincsenek engedélyezve. Az ügyfeleknek szükség esetén át kell tekinteniük és engedélyezniük kell a szabályzatokat.
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
Hivatkozás: /azure/ai-services/policy-reference
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által biztosított virtuálisgép-rendszerképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: A számítási erőforrások virtuálisgép-rendszerképét a Microsoft kezeli, és az egyéni virtuálisgép-rendszerképek nem támogatottak.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Egyéni tárolók lemezképe
Leírás: A szolgáltatás támogatja a felhasználó által biztosított tárolólemezképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Az ügyfelek dönthetnek úgy, hogy egyéni tárolórendszerképet használnak az AI-projekthez csatolt számítási erőforrásokon.
Konfigurációs útmutató: Használjon előre konfigurált megerősített rendszerképet egy megbízható szállítótól, például a Microsofttól, vagy építse be a kívánt biztonságos konfigurációs alapkonfigurációt a tároló rendszerképsablonjába
PV-5: Biztonsági rések felmérése
Jellemzők
Sebezhetőségi felmérés a Microsoft Defender használatával
Leírás: A szolgáltatást sebezhetőségi vizsgálatnak lehet alávetni a Microsoft Defender for Cloud vagy bármely más Microsoft Defender szolgáltatás beágyazott sebezhetőségi felmérési képességével (beleértve a Microsoft Defender for Server, a tárolóregisztrációt, az App Service-et, az SQL-t és a DNS-t). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud ajánlásait az Azure-beli virtuális gépeken, tárolólemezképeken és SQL-kiszolgálókon végzett biztonságirés-felméréshez.
Referencia: Biztonságirés-kezelés az Azure AI Studióhoz
PV-6: A biztonsági rések gyors és automatikus elhárítása
Jellemzők
Azure automatizált frissítéskezelés
Leírás: A szolgáltatás az Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: Az Azure Automation Update nem támogatja a Azure AI Studio. Az üzemelő példányok virtuálisgép-rendszerképeket és Docker-rendszerképeket használhatnak. A frissítési/javítási módszereket és gyakoriságot a dokumentáció dokumentálja – Sebezhetőség-kezelés Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Végpont biztonsága
További információ: Microsoft felhőbiztonsági benchmark: Endpoint Security.
ES-1: Végpontészlelés és -válasz (EDR) használata
Jellemzők
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
ES-2: Modern kártevőirtó szoftverek használata
Jellemzők
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például a Microsoft Defender víruskereső, a Microsoft Defender for Endpoint üzembe helyezhető a végponton. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: A kártevőirtó megoldás nem támogatott a Azure AI Studio végpontjain. Az ügyfelek azonban dönthetnek úgy, hogy kártevőirtó megoldásokat telepítenek a számítási példányra. Részletekért tekintse meg a /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance című témakört.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
ES-3: Kártevőirtó szoftverek és aláírások frissítésének biztosítása
Jellemzők
Kártevőirtó megoldás állapotfigyelése
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform, a motor és az automatikus aláírásfrissítésekhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Az ügyfelek dönthetnek úgy, hogy kártevőirtó megoldásokat telepítenek az AI-projekthez csatolt számítási példányra.
konfigurációs útmutató: Konfigurálja kártevőirtó megoldását, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Hivatkozás:/azure/ai-studio/concepts/vulnerability-management
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Jellemzők
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Az Azure biztonsági mentése az AI-projekthez csatolt tárfiókon konfigurálható.
konfigurációs útmutató: Engedélyezze az Azure Backupot, és konfigurálja a biztonsági mentés forrását (például Azure Virtual Machines, SQL Server, HANA-adatbázisok vagy fájlmegosztások) a kívánt gyakorisággal és a kívánt megőrzési időtartammal. Az Azure Virtual Machines esetében az Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Azure-blobok biztonsági mentésének konfigurálása és kezelése a Azure Backup
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: Azure AI Studio nem biztosít natív biztonsági mentési funkciót. Az ügyfeleknek az AI-projektek erőforrásaihoz Azure Backup kell használniuk.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapkonfigurációiról