Raccomandazioni per la sicurezza dell'intelligenza artificiale
Questo articolo elenca tutte le raccomandazioni sulla sicurezza di intelligenza artificiale che potrebbero essere visualizzate in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Raccomandazioni di Azure
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale)
Descrizione: è consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo aver disabilitato l'impostazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Altre informazioni.
Questa raccomandazione sostituisce gli account di Servizi cognitivi di raccomandazione precedenti devono avere metodi di autenticazione locali disabilitati. In precedenza era nella categoria Servizi cognitivi e Ricerca cognitiva ed è stato aggiornato per essere conforme al formato di denominazione di Servizi di intelligenza artificiale di Azure e allineato alle risorse pertinenti.
Gravità: medio
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete
Descrizione: limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere alla risorsa del servizio azure per intelligenza artificiale.
- Questa raccomandazione è coperta da un'altra raccomandazione di rete per i servizi di intelligenza artificiale di Azure: gli account di Servizi cognitivi devono limitare l'accesso alla rete.
- Gli account di Servizi cognitivi devono limitare la raccomandazione di accesso alla rete è ora sostituito da un nuovo account (i servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete).
- Questa raccomandazione sostituisce gli account di Servizi cognitivi di raccomandazione precedenti devono limitare l'accesso alla rete. In precedenza era nella categoria Servizi cognitivi e Ricerca cognitiva ed è stato aggiornato per essere conforme al formato di denominazione di Servizi di intelligenza artificiale di Azure e allineato alle risorse pertinenti.
- Gli account servizi cognitivi per la definizione di criteri correlati devono disabilitare l'accesso alla rete pubblica è stato rimosso dal dashboard di conformità alle normative.
Gravità: medio
I log delle risorse nelle aree di lavoro di Azure Machine Learning devono essere abilitati (anteprima)
Descrizione e criteri correlati: i log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa.
Gravità: medio
Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica (anteprima)
Descrizione e criterio correlato: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning.
Gravità: medio
I calcoli di Azure Machine Learning devono trovarsi in una rete virtuale (anteprima)
Descrizione e criteri correlati: i Rete virtuale di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale.
Gravità: medio
I calcoli di Azure Machine Learning devono avere metodi di autenticazione locali disabilitati (anteprima)
Descrizione e criteri correlati: la disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i calcoli di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere Criteri di Azure controlli di conformità alle normative per Azure Machine Learning.
Gravità: medio
Le istanze di calcolo di Azure Machine Learning devono essere ricreate per ottenere gli aggiornamenti software più recenti (anteprima)
Descrizione e criteri correlati: assicurarsi che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere Gestione delle vulnerabilità per Azure Machine Learning.
Gravità: medio
I log di diagnostica nelle risorse dei Servizi di Azure AI devono essere abilitati
Descrizione: abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. In questo modo è possibile ricreare i percorsi attività a scopo di indagine, quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa.
Questa raccomandazione sostituisce i log di diagnostica delle raccomandazioni precedenti nelle servizio di ricerca devono essere abilitati. In precedenza era nella categoria Servizi cognitivi e Ricerca cognitiva ed è stato aggiornato per essere conforme al formato di denominazione di Servizi di intelligenza artificiale di Azure e allinearsi alle risorse pertinenti.
Gravità: Bassa
I log delle risorse nelle aree di lavoro di Azure Databricks devono essere abilitati (anteprima)
Descrizione e criteri correlati: i log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa.
Gravità: medio
Le aree di lavoro di Azure Databricks devono disabilitare l'accesso alla rete pubblica (anteprima)
Descrizione e criterio correlato: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Abilitare collegamento privato di Azure.
Gravità: medio
I cluster di Azure Databricks devono disabilitare l'indirizzo IP pubblico (anteprima)
Descrizione e criterio correlato: la disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti su Internet pubblico. Per altre informazioni, vedere Proteggere la connettività del cluster.
Gravità: medio
Le aree di lavoro di Azure Databricks devono trovarsi in una rete virtuale (anteprima)
Descrizione e criteri correlati: i Rete virtuale di Azure offrono sicurezza e isolamento avanzati per le aree di lavoro di Azure Databricks, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere Distribuire Azure Databricks nella rete virtuale di Azure.
Gravità: medio
Le aree di lavoro di Azure Databricks devono usare il collegamento privato (anteprima)
Descrizione e criterio correlato: collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere Creare l'area di lavoro e gli endpoint privati nell'interfaccia utente di portale di Azure.
Gravità: medio
Raccomandazioni di AWS per l'intelligenza artificiale
AWS Bedrock deve avere la registrazione delle chiamate al modello abilitata
Descrizione: con la registrazione delle chiamate, è possibile raccogliere i dati completi delle richieste, i dati di risposta e i metadati associati a tutte le chiamate eseguite nell'account. In questo modo è possibile ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza.
Gravità: Bassa
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per