Udostępnij za pośrednictwem


Zabezpieczenia usług Azure AI

Bezpieczeństwo należy traktować jako najwyższy priorytet w tworzeniu wszystkich aplikacji, a wraz ze wzrostem aplikacji obsługujących sztuczną inteligencję bezpieczeństwo jest jeszcze ważniejsze. W tym artykule opisano różne funkcje zabezpieczeń dostępne dla usług Azure AI. Każda funkcja odpowiada za określoną odpowiedzialność, więc wiele funkcji może być używanych w tym samym przepływie pracy.

Aby uzyskać kompleksową listę zaleceń dotyczących zabezpieczeń usług platformy Azure, zobacz artykuł Punkt odniesienia zabezpieczeń usług Azure AI.

Funkcje zabezpieczeń

Funkcja opis
Protokół Transport Layer Security (TLS) Wszystkie punkty końcowe usług Azure AI uwidocznione za pośrednictwem protokołu HTTP wymuszają protokół TLS 1.2. W przypadku wymuszonego protokołu zabezpieczeń użytkownicy próbujący wywołać punkt końcowy usług Azure AI powinni postępować zgodnie z następującymi wytycznymi:
  • System operacyjny klienta musi obsługiwać protokół TLS 1.2.
  • Język (i platforma) używany do wywołania HTTP musi określać protokół TLS 1.2 w ramach żądania. W zależności od języka i platformy określanie protokołu TLS odbywa się niejawnie lub jawnie.
  • W przypadku użytkowników platformy .NET należy wziąć pod uwagę najlepsze rozwiązania dotyczące zabezpieczeń warstwy transportu
Opcje uwierzytelniania Uwierzytelnianie to czynność weryfikacji tożsamości użytkownika. Natomiast autoryzacja jest specyfikacją praw dostępu i uprawnień do zasobów dla danej tożsamości. Tożsamość to zbiór informacji o jednostce, a jednostka może być pojedynczym użytkownikiem lub usługą.

Domyślnie uwierzytelniasz własne wywołania usług Azure AI przy użyciu podanych kluczy subskrypcji; jest to najprostsza metoda, ale nie najbezpieczniejsza. Najbezpieczniejszą metodą uwierzytelniania jest użycie ról zarządzanych w usłudze Microsoft Entra ID. Aby dowiedzieć się więcej o tych i innych opcjach uwierzytelniania, zobacz Uwierzytelnianie żądań w usługach azure AI.
Rotacja kluczy Każdy zasób usługi Azure AI ma dwa klucze interfejsu API umożliwiające rotację wpisów tajnych. Jest to środek ostrożności, który umożliwia regularne zmienianie kluczy, które mogą uzyskiwać dostęp do usługi, ochronę prywatności usługi w przypadku wycieku klucza. Aby dowiedzieć się więcej o tych i innych opcjach uwierzytelniania, zobacz Rotacja kluczy.
Zmienne środowiskowe Zmienne środowiskowe to pary nazwa-wartość przechowywane w określonym środowisku deweloperów. Zmienne środowiskowe są bezpieczniejsze niż używanie zakodowanych na stałe wartości w kodzie. Aby uzyskać instrukcje dotyczące używania zmiennych środowiskowych w kodzie, zobacz przewodnik Zmienne środowiskowe.

Jednak jeśli środowisko zostanie naruszone, zmienne środowiskowe również zostaną naruszone, więc nie jest to najbezpieczniejsze podejście. Najbezpieczniejszą metodą uwierzytelniania jest użycie ról zarządzanych w usłudze Microsoft Entra ID. Aby dowiedzieć się więcej o tych i innych opcjach uwierzytelniania, zobacz Uwierzytelnianie żądań w usługach azure AI.
Klucze zarządzane przez klienta (CMK) Ta funkcja jest przeznaczona dla usług, które przechowują dane klientów magazynowanych (dłużej niż 48 godzin). Chociaż te dane są już dwukrotnie szyfrowane na serwerach platformy Azure, użytkownicy mogą uzyskać dodatkowe zabezpieczenia, dodając kolejną warstwę szyfrowania, z kluczami, którymi zarządzają samodzielnie. Możesz połączyć usługę z usługą Azure Key Vault i zarządzać kluczami szyfrowania danych.

Sprawdź, czy klucz zarządzania kluczami klienta jest obsługiwany przez usługę, której chcesz użyć w dokumentacji kluczy zarządzanych przez klienta.
Sieci wirtualne Sieci wirtualne umożliwiają określenie punktów końcowych, które mogą wykonywać wywołania interfejsu API do zasobu. Usługa platformy Azure odrzuca wywołania interfejsu API z urządzeń spoza sieci. Możesz ustawić opartą na formule definicję dozwolonej sieci lub zdefiniować wyczerpującą listę punktów końcowych, które mają być dozwolone. Jest to kolejna warstwa zabezpieczeń, która może być używana w połączeniu z innymi.
Zapobieganie utracie danych Funkcja zapobiegania utracie danych pozwala administratorowi zdecydować, jakie typy identyfikatorów URI mogą przyjmować ich zasób platformy Azure jako dane wejściowe (w przypadku tych wywołań interfejsu API, które przyjmują identyfikatory URI jako dane wejściowe). Można to zrobić, aby zapobiec ewentualnej eksfiltracji poufnych danych firmowych: jeśli firma przechowuje poufne informacje (takie jak dane prywatne klienta) w parametrach adresu URL, zły aktor wewnątrz tej firmy może przesłać poufne adresy URL do usługi platformy Azure, co spowoduje, że dane znajdują się poza firmą. Zapobieganie utracie danych umożliwia skonfigurowanie usługi w celu odrzucenia niektórych formularzy identyfikatora URI po przybyciu.
Skrytka klienta Funkcja Skrytka klienta udostępnia interfejs umożliwiający klientom przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych. Jest ona używana w przypadkach, gdy inżynier firmy Microsoft musi uzyskać dostęp do danych klienta podczas żądania pomocy technicznej. Aby uzyskać informacje na temat sposobu inicjowania, śledzenia i przechowywania żądań skrytki klienta na potrzeby późniejszych przeglądów i inspekcji, zobacz przewodnik Po skrytce klienta.

Skrytka klienta jest dostępna dla następujących usług:
  • Azure OpenAI
  • Translator
  • Rozumienie języka konwersacji
  • Niestandardowa klasyfikacja tekstu
  • Niestandardowe rozpoznawanie nazwanych jednostek
  • Przepływ pracy orkiestracji
Korzystanie z własnego magazynu (BYOS) Usługa rozpoznawania mowy nie obsługuje obecnie skrytki klienta. Można jednak zorganizować przechowywanie danych specyficznych dla usługi we własnym zasobie magazynu przy użyciu rozwiązania BRING-your-own-Storage (BYOS). Usługa BYOS umożliwia osiągnięcie podobnych mechanizmów kontroli danych do skrytki klienta. Należy pamiętać, że dane usługi Mowa pozostają i są przetwarzane w regionie świadczenia usługi Azure, w którym utworzono zasób usługi Mowa. Dotyczy to wszelkich danych magazynowanych i przesyłanych danych. W przypadku funkcji dostosowywania, takich jak Custom Speech i Custom Voice, wszystkie dane klientów są przesyłane, przechowywane i przetwarzane w tym samym regionie, w którym znajduje się zasób usługi Mowa i zasób BYOS (jeśli jest używany).

Aby używać funkcji BYOS z usługą Mowa, postępuj zgodnie z przewodnikiem Szyfrowanie mowy danych magazynowanych .

Firma Microsoft nie używa danych klientów do ulepszania modeli mowy. Ponadto jeśli rejestrowanie punktów końcowych jest wyłączone i nie są używane żadne dostosowania, żadne dane klienta nie są przechowywane przez usługę Mowa.

Następne kroki

  • Zapoznaj się z usługami azure AI i wybierz usługę, aby rozpocząć pracę.