Keamanan untuk layanan Azure AI
Keamanan harus dianggap sebagai prioritas utama dalam pengembangan semua aplikasi, dan dengan pertumbuhan aplikasi yang mendukung kecerdasan buatan, keamanan bahkan lebih penting. Artikel ini menguraikan berbagai fitur keamanan yang tersedia untuk layanan Azure AI. Setiap fitur menangani kewajiban tertentu, sehingga beberapa fitur dapat digunakan dalam alur kerja yang sama.
Untuk daftar komprehensif rekomendasi keamanan layanan Azure, lihat artikel garis besar keamanan layanan Azure AI.
Fitur keamanan
Fitur | Deskripsi |
---|---|
Keamanan Lapisan Transportasi (TLS) | Semua titik akhir layanan Azure AI yang diekspos melalui HTTP memberlakukan protokol TLS 1.2. Dengan protokol keamanan yang diberlakukan, konsumen yang mencoba memanggil titik akhir layanan Azure AI harus mengikuti panduan berikut:
|
Opsi autentikasi | Autentikasi adalah tindakan memverifikasi identitas pengguna. Sebaliknya, otorisasi, adalah spesifikasi hak akses dan hak istimewa ke sumber daya untuk identitas tertentu. Identitas adalah kumpulan informasi tentang prinsipal, dan prinsipal dapat berupa pengguna individu atau layanan. Secara default, Anda mengautentikasi panggilan Anda sendiri ke layanan Azure AI menggunakan kunci langganan yang disediakan; ini adalah metode paling sederhana tetapi bukan yang paling aman. Metode autentikasi yang paling aman adalah menggunakan peran terkelola di ID Microsoft Entra. Untuk mempelajari tentang ini dan opsi autentikasi lainnya, lihat Mengautentikasi permintaan ke layanan Azure AI. |
Rotasi kunci | Setiap sumber daya layanan Azure AI memiliki dua kunci API untuk mengaktifkan rotasi rahasia. Ini adalah tindakan pencegahan keamanan yang memungkinkan Anda secara teratur mengubah kunci yang dapat mengakses layanan Anda, melindungi privasi layanan Anda jika kunci bocor. Untuk mempelajari tentang ini dan opsi autentikasi lainnya, lihat Memutar kunci. |
Variabel lingkungan | Variabel lingkungan adalah pasangan nama-nilai yang disimpan dalam lingkungan pengembangan tertentu. Variabel lingkungan lebih aman daripada menggunakan nilai yang dikodekan secara permanen dalam kode Anda. Untuk petunjuk tentang cara menggunakan variabel lingkungan dalam kode Anda, lihat panduan Variabel lingkungan. Namun, jika lingkungan Anda disusupi, variabel lingkungan juga disusupi, jadi ini bukan pendekatan yang paling aman. Metode autentikasi yang paling aman adalah menggunakan peran terkelola di ID Microsoft Entra. Untuk mempelajari tentang ini dan opsi autentikasi lainnya, lihat Mengautentikasi permintaan ke layanan Azure AI. |
Kunci yang dikelola pelanggan (CMK) | Fitur ini ditujukan untuk layanan yang menyimpan data tidak aktif pelanggan (lebih dari 48 jam). Meskipun data ini sudah dienkripsi ganda di server Azure, pengguna bisa mendapatkan keamanan ekstra dengan menambahkan lapisan enkripsi lain, dengan kunci yang mereka kelola sendiri. Anda dapat menautkan layanan Anda ke Azure Key Vault dan mengelola kunci enkripsi data Anda di sana. Periksa untuk melihat apakah CMK didukung oleh layanan yang ingin Anda gunakan dalam dokumentasi Kunci yang dikelola pelanggan. |
Jaringan virtual | Dengan jaringan virtual, Anda dapat menentukan titik akhir mana yang dapat melakukan panggilan API ke sumber daya Anda. Layanan Azure menolak panggilan API dari perangkat di luar jaringan Anda. Anda dapat menetapkan definisi berbasis rumus dari jaringan yang diizinkan, atau Anda dapat menentukan daftar lengkap titik akhir yang diizinkan. Ini adalah lapisan keamanan lain yang dapat digunakan dalam kombinasi dengan yang lain. |
Pencegahan kehilangan data | Dengan fitur pencegahan hilangnya data, administrator dapat memutuskan jenis URI apa yang dapat diambil oleh sumber daya Azure mereka sebagai input (untuk panggilan API yang menggunakan URI sebagai input). Hal ini dapat dilakukan untuk mencegah kemungkinan penyelundupan data sensitif perusahaan: Jika perusahaan menyimpan informasi sensitif (seperti data pribadi pelanggan) dalam parameter URL, pelaku jahat di dalam perusahaan tersebut dapat mengirimkan URL sensitif ke layanan Azure yang memunculkan data di luar perusahaan. Dengan pencegahan hilangnya data, Anda dapat mengonfigurasi layanan untuk menolak bentuk URI tertentu pada saat kedatangan. |
Customer Lockbox | Fitur Customer Lockbox menyediakan antarmuka bagi pelanggan untuk meninjau dan menyetujui atau menolak permintaan akses data. Hal ini digunakan apabila seorang teknisi ahli Microsoft perlu mengakses data pelanggan selama permintaan dukungan. Untuk informasi tentang bagaimana permintaan Customer Lockbox dimulai, dilacak, dan disimpan untuk tinjauan dan audit nanti, lihat panduan Customer Lockbox. Customer Lockbox tersedia untuk layanan berikut:
|
Bawa penyimpanan Anda sendiri (BYOS) | Layanan Ucapan saat ini tidak mendukung Customer Lockbox. Namun, Anda dapat mengatur agar data khusus layanan Anda disimpan di sumber daya penyimpanan Anda sendiri menggunakan bring-your-own-storage (BYOS). Dengan BYOS, Anda dapat mencapai kontrol data yang serupa dengan Customer Lockbox. Perlu diingat bahwa data layanan Ucapan tetap ada dan diproses di wilayah Azure tempat sumber daya Ucapan dibuat. Ini berlaku untuk data tidak aktif dan data saat transit. Untuk fitur kustomisasi seperti Ucapan Kustom dan Suara Kustom, semua data pelanggan ditransfer, disimpan, dan diproses di wilayah yang sama tempat sumber daya layanan Ucapan dan sumber daya BYOS (jika digunakan) berada. Untuk menggunakan BYOS dengan Ucapan, ikuti panduan Enkripsi ucapan data tidak aktif . Microsoft tidak menggunakan data pelanggan untuk meningkatkan model Ucapannya. Selain itu, jika pengelogan titik akhir dinonaktifkan dan tidak ada kustomisasi yang digunakan, maka tidak ada data pelanggan yang disimpan oleh Ucapan. |
Langkah berikutnya
- Jelajahi layanan Azure AI dan pilih layanan untuk memulai.