Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure AI Search. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Cognitive Search.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure AI Search telah dikecualikan. Untuk melihat bagaimana Azure AI Search sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure AI Search lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Azure AI Search, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
Atribut Perilaku Layanan
Nilai
Produk Kategori
AI+ML, Seluler, Web
Pelanggan dapat mengakses HOST / OS
Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan
Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Tautan Privat Azure
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
Panduan Konfigurasi: Sebarkan titik akhir privat untuk membuat titik akses privat untuk sumber daya. Blokir semua koneksi di titik akhir publik untuk layanan penelusuran Anda.
Tingkatkan keamanan untuk jaringan virtual, dengan memungkinkan Anda memblokir eksfiltrasi data dari jaringan virtual.
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Azure AI Search mendukung aturan IP untuk akses masuk melalui firewall, mirip dengan aturan IP yang akan Anda temukan di grup keamanan jaringan virtual Azure. Dengan memanfaatkan aturan IP, Anda dapat membatasi akses layanan pencarian ke set mesin dan layanan cloud yang disetujui. Akses ke data yang disimpan dalam layanan pencarian Anda dari set mesin dan layanan yang disetujui masih akan mengharuskan pemanggil untuk menunjukkan token otorisasi yang valid.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure ACTIVE Directory Diperlukan untuk Akses Data Plane
Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Benar
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyar Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Kontrol Akses Berbasis Peran Azure (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Azure menyediakan sistem otorisasi kontrol akses berbasis peran global (RBAC) untuk semua layanan yang berjalan di platform. Di Ai Search, Anda dapat menggunakan peran Azure untuk:
Operasi sarana kontrol (tugas administrasi layanan melalui Azure Resource Manager).
Operasi sarana data, seperti membuat, memuat, dan mengkueri indeks.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Perlindungan Informasi Azure) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk data plane. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Benar
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Data saat Enkripsi Tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Benar
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Tidak Aktif Data Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau saat ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Pertahanan Microsoft khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Benar
Salah
Pelanggan
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan guna melihat log operasi Pencarian Azure I, metrik pencarian, dan lain-lain.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
Salah
Tidak Berlaku
Tidak Berlaku
Catatan fitur: Karena Azure AI Search bukan solusi penyimpanan data utama, Microsoft tidak menyediakan mekanisme formal untuk pencadangan dan pemulihan layanan mandiri. Namun, Anda dapat mencadangkan dan memulihkan indeks menggunakan kode Anda sendiri.
Lihat: Mencadangkan dan memulihkan alternatif
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pelajari tentang Azure Backup sebelum belajar menerapkan Vault Pemulihan dan Kebijakan Azure Backup. Pelajari cara menerapkan pemulihan Windows IaaS VM, melakukan pencadangan dan pemulihan beban kerja lokal, dan mengelola cadangan Azure VM.
Mencantumkan kontrol Kepatuhan Terhadap Peraturan Azure Policy yang tersedia untuk Azure AI Search. Definisi kebijakan bawaan ini memberikan pendekatan umum untuk mengelola kepatuhan sumber daya Azure Anda.
Garis besar keamanan Azure AI Studio menyediakan panduan prosedural dan sumber daya untuk menerapkan rekomendasi keamanan yang ditentukan dalam tolok ukur keamanan cloud Microsoft.
Pelajari konsep dan persyaratan impor yang terkait dengan opsi keamanan tingkat jaringan untuk permintaan keluar yang dibuat oleh pengindeks di Azure AI Search.