Baca dalam bahasa Inggris

Bagikan melalui

Garis besar keamanan Azure untuk Azure OpenAI

  • Artikel

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure OpenAI. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure OpenAI.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Azure OpenAI telah dikecualikan. Untuk melihat bagaimana Azure OpenAI sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure OpenAI lengkap.

Profil keamanan

Profil keamanan meringkas perilaku berdampak tinggi dari Azure OpenAI, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Produk Kategori AI+ML
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan Benar
Menyimpan konten pelanggan saat tidak aktif Benar

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Virtual Network

Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Siapkan aturan jaringan untuk membatasi akses ke akun layanan Azure AI Anda. Secara default, mengaktifkan aturan firewall memblokir semua permintaan masuk kecuali berasal dari subnet Azure Virtual Network yang diizinkan atau daftar alamat IP tertentu. Otorisasi diperlukan menggunakan kredensial ID Microsoft Entra atau kunci API. Anda harus terlebih dahulu menolak semua lalu lintas secara default lalu membuat aturan yang mengizinkan akses dari jaringan tertentu, memastikan batas yang aman untuk aplikasi Anda.

Referensi: Mengonfigurasi jaringan virtual layanan Azure AI

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.

Referensi: Mengonfigurasi jaringan virtual layanan Azure AI

Nonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalihan untuk akses jaringan publik.

Referensi: Mengonfigurasi jaringan virtual layanan Azure AI

Pengelolaan identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure ACTIVE Directory Diperlukan untuk Akses Data Plane

Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Benar Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Cara mengonfigurasi Layanan Azure OpenAI dengan identitas terkelola

Metode Autentikasi Lokal untuk Akses Data Plane

Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Catatan fitur: Meskipun Anda dapat mengautentikasi terhadap layanan Azure AI menggunakan kunci langganan layanan tunggal atau multi-layanan, atau menggunakan kunci tersebut untuk mengautentikasi dengan token akses, metode autentikasi ini tidak termasuk dalam skenario yang lebih kompleks yang memerlukan kontrol akses berbasis peran Azure (Azure RBAC). Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.

Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses data plane. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Mengautentikasi dengan token akses

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Referensi: Cara mengonfigurasi Layanan Azure OpenAI dengan identitas terkelola

Perwakilan layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

Referensi: Cara mengonfigurasi Layanan Azure OpenAI dengan identitas terkelola

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyar Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Catatan fitur: Layanan Azure OpenAI tidak menyimpan rahasia (misalnya, kata sandi, dll.).

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.

Referensi: Mengembangkan aplikasi layanan Azure AI dengan Key Vault

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-7: Ikuti prinsip administrasi secukupnya (hak istimewa terendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Kontrol Akses Berbasis Peran Azure (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan untuk pengguna, grup, perwakilan layanan, dan identitas terkelola.

Referensi: Cara mengonfigurasi Layanan Azure OpenAI dengan identitas terkelola

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.

Referensi: Customer Lockbox untuk Microsoft Azure

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Perlindungan Informasi Azure) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Salah Tidak Berlaku Tidak Berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Kemampuan pencegahan kehilangan data layanan Azure OpenAI memungkinkan pelanggan untuk mengonfigurasi daftar URL keluar yang diizinkan untuk diakses oleh sumber daya layanan Azure OpenAI mereka. Konfigurasi ini menciptakan tingkat kontrol lain bagi pelanggan untuk mencegah kehilangan data.

Referensi: Mengonfigurasi pencegahan kehilangan data untuk layanan Azure AI

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk data plane. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Benar Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Data saat Enkripsi Tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Benar Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Enkripsi data Azure OpenAI Service tidak aktif

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Tidak Aktif Data Menggunakan CMK

Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Enkripsi data Azure OpenAI Service tidak aktif

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau saat ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Enkripsi data Azure OpenAI Service tidak aktif

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Catatan fitur: Silakan lihat kebijakan untuk layanan Azure AI.

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Benar Salah Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis sumber daya dan layanan Azure.

Referensi: Memantau Layanan Azure OpenAI

Langkah berikutnya