Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Ricerca di intelligenza artificiale di Azure include protezioni di sicurezza gestite automaticamente da Microsoft, senza alcuna azione da parte dei clienti. Comprendere cosa gestisce Microsoft consente di concentrare le attività di sicurezza sui controlli e le configurazioni per cui si è responsabili.
Questo articolo illustra le protezioni predefinite di Microsoft, tra cui architettura di rete, crittografia (in transito, in uso e inattivi), residenza dei dati, garanzie di privacy e certificazioni di conformità. Per le procedure consigliate per la sicurezza da configurare, vedere Proteggere un servizio Di ricerca di intelligenza artificiale di Azure.
Ciò che Microsoft gestisce automaticamente
Ricerca di intelligenza artificiale di Azure offre protezioni di sicurezza predefinite complete tra operazioni di rete, dati e servizi. Queste funzionalità sono attive per impostazione predefinita e non richiedono la configurazione:
Transport Layer Security (TLS): tutte le connessioni usano TLS 1.2 o 1.3 per la crittografia in transito.
Crittografia gestita dal servizio: i dati vengono crittografati inattivi usando la crittografia AES (Advanced Encryption Standard) a 256 bit.
Sicurezza di rete interna: le chiamate da servizio a servizio vengono eseguite sulla rete backbone Microsoft sicura.
Certificazioni di conformità: Ricerca di intelligenza artificiale di Azure gestisce le certificazioni per standard globali, regionali e specifici del settore.
Sicurezza operativa: Microsoft gestisce la sicurezza dell'infrastruttura, l'applicazione di patch e gli aggiornamenti del servizio.
Architettura di sicurezza di rete
Azure AI Search utilizza l'infrastruttura di rete sicura di Microsoft per proteggere il traffico da, verso e all'interno del tuo servizio di ricerca.
Protezione interna del traffico
Microsoft protegge e gestisce le richieste interne. Non è possibile configurare o controllare queste connessioni. Il traffico interno è isolato dalle reti pubbliche e protetto dall'infrastruttura di sicurezza di Microsoft.
Il traffico interno include:
Autenticazione e autorizzazione da servizio a servizio: chiamate tramite Microsoft Entra ID, la registrazione delle risorse inviata ad Azure Monitor e le connessioni endpoint private che usano Azure Private Link.
Elaborazione predefinita delle competenze: richieste della stessa area indirizzate a una risorsa Microsoft Foundry ospitata internamente usata esclusivamente per l'elaborazione delle competenze predefinite da Ricerca di intelligenza artificiale di Azure.
Classificazione semantica: richieste effettuate ai modelli che supportano la classificazione semantica.
Transport Layer Security (TLS)
Ricerca di intelligenza artificiale di Azure applica TLS 1.2 o 1.3 per tutte le connessioni. TLS 1.3 è l'impostazione predefinita per i sistemi più recenti. Le versioni precedenti di TLS (1.0 e 1.1) non sono supportate.
Tutti gli endpoint richiedono HTTPS sulla porta 443. I sistemi client devono supportare TLS 1.2 o versione successiva. Per indicazioni sull'implementazione, vedere:
- Crittografia dei dati in transito
- Procedure consigliate per la rete TLS
- Supporto TLS in .NET Framework
Archiviazione di Azure nella stessa regione e Ricerca AI di Azure
Se Archiviazione di Azure e Azure AI Search si trovano nella stessa area, il traffico di rete viene instradato attraverso un indirizzo IP privato e si verifica sulla rete backbone Microsoft. Poiché vengono usati indirizzi IP privati, non è possibile configurare firewall IP o un endpoint privato per la sicurezza di rete nell'account di archiviazione per queste connessioni.
Questa ottimizzazione della stessa area garantisce prestazioni elevate e bassa latenza mantenendo la sicurezza tramite l'isolamento di rete. Il traffico non lascia mai l'infrastruttura di rete Microsoft.
Crittografia dei dati
Ricerca di intelligenza artificiale di Azure crittografa automaticamente tutti i dati dei clienti a più livelli.
Dati in movimento
Tutti i dati trasmessi da e verso Ricerca di intelligenza artificiale di Azure vengono crittografati con TLS 1.2 o versione successiva. Questi dati includono:
- Richieste dell'applicazione client all'endpoint del servizio di ricerca
- Risposte dal servizio di ricerca alle applicazioni client
- Richieste API per la gestione degli indici, le operazioni di query e l'indicizzazione
I dati in transito sono protetti end-to-end tra il client e il servizio di ricerca. Per le comunicazioni interne da servizio a servizio, la crittografia avviene tramite la rete backbone Microsoft.
Dati in uso
Per impostazione predefinita, Ricerca intelligenza artificiale di Azure distribuisce il servizio di ricerca nell'infrastruttura standard di Azure. Questa infrastruttura crittografa i dati inattivi e in transito, ma non protegge i dati mentre vengono elaborati attivamente in memoria.
Per gli scenari che richiedono la protezione basata su hardware dei dati in uso, Ricerca di intelligenza artificiale di Azure offre confidential computing. Questo tipo di calcolo ha una disponibilità a livello di area limitata, disabilita o limita determinate funzionalità e aumenta il costo dell'esecuzione del servizio di ricerca. Per altre informazioni, vedere (facoltativo) Abilitare il confidential computing.
Dati inattivi
Azure AI Search crittografa automaticamente tutti i dati a riposo utilizzando la crittografia AES a 256 bit con chiavi gestite da Microsoft. Questo vale per indici, mappe sinonimiche e definizioni di oggetti (indicizzatori, origini dati e set di competenze) su dischi dati e dischi temporanei. Per altre informazioni, vedere Crittografia di Azure dei dati inattivi.
Crittografia gestita dal servizio:
- È integrato e automatico (nessuna configurazione necessaria)
- È disponibile in tutti i piani tariffari in tutte le aree
- Usa la crittografia conforme a FIPS 140-2
È possibile configurare chiavi gestite dal cliente (CMK) per gestire le proprie chiavi di crittografia. CMK aggiunge un secondo livello di crittografia sulla crittografia gestita dal servizio. Per altre informazioni, vedere (Facoltativo) Aggiungere la crittografia della chiave gestita dal cliente.
Residenza dei dati
Quando si crea un servizio di ricerca, si seleziona un'area all'interno di un'area geografica di Azure. Ricerca di intelligenza artificiale di Azure archivia ed elabora i dati all'interno di tale area geografica, ma Microsoft potrebbe replicare i dati in altre aree all'interno della stessa area geografica per la disponibilità elevata. L'eccezione è il Brasile meridionale, in cui i dati rimangono all'interno dell'area.
I dati rimangono nel tuo ambito geografico a meno che non si configurino funzionalità che scrivono su Azure Storage (cache di arricchimento, sessioni di debug, archivi di conoscenze) in una regione diversa.
I nomi degli oggetti (indici, campi, indicizzatori) possono essere elaborati anche all'esterno dell'area selezionata. Questi nomi vengono visualizzati nei log di telemetria usati da Microsoft per il supporto del servizio. Evitare di inserire dati sensibili nei nomi degli oggetti.
Per altre informazioni, vedere:
Privacy e gestione dei dati
Microsoft si impegna a proteggere i dati e a rispettare la privacy quando si usa Ricerca di intelligenza artificiale di Azure.
Nessun dato del cliente usato per il training del modello
Microsoft non usa i dati dei clienti di Ricerca intelligenza artificiale di Azure per eseguire il training o migliorare i modelli, incluse le competenze predefinite, la classificazione semantica o altre funzionalità di intelligenza artificiale. I documenti, le query e altri dati vengono usati esclusivamente per recapitare e gestire il servizio di ricerca configurato.
Registrazione dei dati
Ricerca di intelligenza artificiale di Azure non registra le identità utente, quindi non è possibile fare riferimento ai log per informazioni su un utente specifico. Tuttavia, il servizio esegue operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD), che potrebbe essere possibile correlare con altri log per determinare chi ha eseguito azioni specifiche.
Acquisizione dei log delle risorse:
- Operazioni amministrative (creazione del servizio, modifiche alla configurazione)
- Operazioni di query (con testo di query ma senza identità utente)
- Operazioni di indicizzazione (aggiunte di documenti, aggiornamenti, eliminazioni)
I log delle risorse non acquisiscono:
- Identità utente singole
- Informazioni personali sugli utenti
- Contenuto del documento in dettaglio (solo i metadati relativi ai documenti indicizzati)
Per informazioni sulla configurazione dei log, vedere Monitorare Ricerca intelligenza artificiale di Azure e Monitorare le richieste di query.
Conformità e certificazioni
Ricerca di intelligenza artificiale di Azure viene sottoposta a controlli regolari di terze parti e gestisce le certificazioni in base a standard globali, regionali, governativi e specifici del settore, tra cui ISO 27001, ISO 27018, ISO 27701, SOC 2, FedRAMP, HIPAA e GDPR.
Per elenchi di certificazione completi, report di controllo e documentazione sulla conformità, vedere:
- Offerte di conformità di Azure
- White paper sulle offerte di conformità di Microsoft Azure
- Centro Affidabilità Microsoft
Modello di responsabilità condivisa
Ricerca di intelligenza artificiale di Azure opera nel modello di responsabilità condivisa. Microsoft protegge l'infrastruttura e le funzionalità predefinite della piattaforma descritte in questo articolo. Si è responsabili della configurazione dei controlli di sicurezza per la distribuzione specifica.
Microsoft gestisce la sicurezza fisica, l'infrastruttura di rete, la sicurezza della piattaforma, la crittografia predefinita (in transito, in uso e inattivi), le certificazioni di conformità e gli aggiornamenti dell'infrastruttura.
È possibile configurare controlli di accesso alla rete, autenticazione e autorizzazione, connessioni in uscita, autorizzazioni a livello di documento, monitoraggio e avvisi, e CMK facoltativo e Confidential Computing.