Beveiliging van Azure AI-services

Beveiliging moet als een topprioriteit worden beschouwd bij de ontwikkeling van alle toepassingen en met de groei van toepassingen met kunstmatige intelligentie is beveiliging nog belangrijker. In dit artikel worden verschillende beveiligingsfuncties beschreven die beschikbaar zijn voor Azure AI-services. Elke functie heeft betrekking op een specifieke aansprakelijkheid, zodat meerdere functies in dezelfde werkstroom kunnen worden gebruikt.

Zie het artikel over de beveiligingsbasislijn voor Azure AI-services voor een uitgebreide lijst met aanbevelingen voor azure-servicebeveiliging.

Beveiligingsfuncties

Functie Beschrijving
Transport Layer Security (TLS) Alle Eindpunten van Azure AI-services die via HTTP worden weergegeven, dwingen het TLS 1.2-protocol af. Met een afgedwongen beveiligingsprotocol moeten consumenten die proberen een Eindpunt van Azure AI-services aan te roepen, de volgende richtlijnen volgen:
  • Het clientbesturingssysteem (OS) moet TLS 1.2 ondersteunen.
  • De taal (en het platform) die wordt gebruikt om de HTTP-aanroep te maken, moet TLS 1.2 opgeven als onderdeel van de aanvraag. Afhankelijk van de taal en het platform wordt het opgeven van TLS impliciet of expliciet uitgevoerd.
  • Voor .NET-gebruikers kunt u de best practices voor Transport Layer Security overwegen
Verificatieopties Verificatie is het verifiëren van de identiteit van een gebruiker. Autorisatie is daarentegen de specificatie van toegangsrechten en bevoegdheden voor resources voor een bepaalde identiteit. Een identiteit is een verzameling informatie over een principal en een principal kan een afzonderlijke gebruiker of een service zijn.

Standaard verifieert u uw eigen aanroepen naar Azure AI-services met behulp van de opgegeven abonnementssleutels; dit is de eenvoudigste methode, maar niet de veiligste. De veiligste verificatiemethode is het gebruik van beheerde rollen in Microsoft Entra ID. Zie Verificatieaanvragen voor Azure AI-services voor meer informatie over deze en andere verificatieopties.
Sleutelrotatie Elke Azure AI-servicesresource heeft twee API-sleutels om geheimrotatie mogelijk te maken. Dit is een beveiligingsmaatregel waarmee u regelmatig de sleutels kunt wijzigen die toegang hebben tot uw service, waardoor de privacy van uw service wordt beschermd in het geval dat een sleutel wordt gelekt. Zie Sleutels draaien voor meer informatie over deze en andere verificatieopties.
Omgevingsvariabelen Omgevingsvariabelen zijn naam-waardeparen die worden opgeslagen in een specifieke ontwikkelomgeving. U kunt uw referenties op deze manier opslaan als veiliger alternatief voor het gebruik van vastgelegde waarden in uw code. Als uw omgeving echter is aangetast, worden de omgevingsvariabelen ook gecompromitteerd, dus dit is niet de veiligste benadering.

Zie de handleiding omgevingsvariabelen voor instructies over het gebruik van omgevingsvariabelen in uw code.
Door de klant beheerde sleutels (CMK) Deze functie is bedoeld voor services die klantgegevens in rust opslaan (langer dan 48 uur). Hoewel deze gegevens al dubbel versleuteld zijn op Azure-servers, kunnen gebruikers extra beveiliging krijgen door een andere versleutelingslaag toe te voegen, met sleutels die ze zelf beheren. U kunt uw service koppelen aan Azure Key Vault en uw gegevensversleutelingssleutels daar beheren.

Alleen sommige services kunnen CMK gebruiken; zoek uw service op de pagina Door de klant beheerde sleutels .
Virtuele netwerken Met virtuele netwerken kunt u opgeven welke eindpunten API-aanroepen naar uw resource kunnen maken. De Azure-service weigert API-aanroepen van apparaten buiten uw netwerk. U kunt een op formules gebaseerde definitie van het toegestane netwerk instellen of u kunt een volledige lijst met eindpunten definiëren die moeten worden toegestaan. Dit is een andere beveiligingslaag die kan worden gebruikt in combinatie met anderen.
Preventie van gegevensverlies Met de functie preventie van gegevensverlies kan een beheerder bepalen welke typen URI's hun Azure-resource als invoer kan gebruiken (voor deze API-aanroepen die URI's als invoer gebruiken). Dit kan worden gedaan om mogelijke exfiltratie van gevoelige bedrijfsgegevens te voorkomen: als een bedrijf gevoelige informatie (zoals de persoonlijke gegevens van een klant) opslaat in URL-parameters, kan een slechte actor binnen dat bedrijf de gevoelige URL's verzenden naar een Azure-service, die die gegevens buiten het bedrijf weergeeft. Met preventie van gegevensverlies kunt u de service zo configureren dat bepaalde URI-formulieren bij aankomst worden geweigerd.
Klanten-lockbox De functie Customer Lockbox biedt klanten een interface voor het beoordelen en goedkeuren of afwijzen van aanvragen voor gegevenstoegang. Het wordt gebruikt in gevallen waarin een Microsoft-technicus tijdens een ondersteuningsaanvraag toegang nodig heeft tot klantgegevens. Zie de handleiding klant-lockbox voor meer informatie over hoe klanten-Lockbox-aanvragen worden geïnitieerd, bijgehouden en opgeslagen voor latere beoordelingen en audits.

Customer Lockbox is beschikbaar voor de volgende services:
  • Azure OpenAI
  • Vertaler
  • Spreektaal begrijpen
  • Aangepaste tekstclassificatie
  • Aangepaste herkenning van benoemde entiteiten
  • Indelingswerkstroom
Bring Your Own Storage (BYOS) De Speech-service biedt momenteel geen ondersteuning voor Customer Lockbox. U kunt er echter voor zorgen dat uw servicespecifieke gegevens worden opgeslagen in uw eigen opslagresource met behulp van BRING-Your-Own Storage (BYOS). Met BYOS kunt u vergelijkbare gegevensbesturingselementen bereiken als Customer Lockbox. Houd er rekening mee dat de speech-servicegegevens blijven en worden verwerkt in de Azure-regio waar de Speech-resource is gemaakt. Dit geldt voor alle data-at-rest en gegevens die onderweg zijn. Voor aanpassingsfuncties zoals Custom Speech en Custom Voice worden alle klantgegevens overgebracht, opgeslagen en verwerkt in dezelfde regio waar de Speech-serviceresource en BYOS-resource (indien gebruikt) zich bevinden.

Als u BYOS met Speech wilt gebruiken, volgt u de handleiding voor spraakversleuteling van data-at-rest .

Microsoft gebruikt geen klantgegevens om de Spraak-modellen te verbeteren. Als logboekregistratie van eindpunten is uitgeschakeld en er geen aanpassingen worden gebruikt, worden er geen klantgegevens opgeslagen door Speech.

Volgende stappen