Segurança para serviços de IA do Azure
A segurança deve ser considerada uma prioridade máxima no desenvolvimento de todos os aplicativos e, com o crescimento de aplicativos habilitados para inteligência artificial, a segurança é ainda mais importante. Este artigo descreve vários recursos de segurança disponíveis para os serviços de IA do Azure. Cada recurso aborda uma responsabilidade específica, portanto, vários recursos podem ser usados no mesmo fluxo de trabalho.
Para obter uma lista abrangente das recomendações de segurança do serviço do Azure, confira o artigo Linha de base de segurança dos serviços de IA do Azure.
Recursos de segurança
Recurso | Descrição |
---|---|
Protocolo TLS | Todos os pontos de extremidade dos serviços de IA do Azure expostos por HTTP impõem o protocolo TLS 1.2. Com um protocolo de segurança implementado, os consumidores que tentarem chamar um ponto de extremidade dos Serviços de IA do Azure deverão seguir as diretrizes abaixo:
|
Opções de autenticação | Autenticação é o ato de verificar a identidade de um usuário. A autorização, ao contrário, é a especificação dos direitos de acesso e dos privilégios para os recursos de determinada identidade. Uma identidade é uma coleção de informações sobre uma entidade de segurança, e uma entidade de segurança pode ser um usuário individual ou um serviço. Por padrão, você autentica suas próprias chamadas para os serviços de IA do Azure usando as chaves de assinatura fornecidas; este é o método mais simples, mas não o mais seguro. O método de autenticação mais seguro é usar funções gerenciadas na ID do Microsoft Entra. Para saber mais sobre essa e outras opções de autenticação, confira Solicitações de autenticação para os serviços de IA do Azure. |
Alteração de chaves | Cada recurso dos serviços de IA do Azure tem duas chaves de API para habilitar a rotação de segredos. Esta é uma precaução de segurança que permite alterar regularmente as chaves que podem acessar o seu serviço, protegendo a privacidade do serviço se uma chave for vazada. Para saber mais sobre essa e outras alternativas de autenticação, confira Alternar chaves. |
Variáveis de ambiente | As variáveis de ambiente são pares nome-valor que são armazenados em um ambiente de desenvolvimento específico. As variáveis de ambiente são mais seguras do que usar valores codificados em seu código. Para obter instruções sobre como usar variáveis de ambiente em seu código, confira o Guia de variáveis de ambiente. No entanto, se o ambiente estiver comprometido, as variáveis de ambiente também serão comprometidas, portanto, esta não é a abordagem mais segura. O método de autenticação mais seguro é usar funções gerenciadas na ID do Microsoft Entra. Para saber mais sobre essa e outras opções de autenticação, confira Solicitações de autenticação para os serviços de IA do Azure. |
Chaves gerenciadas pelo cliente (CMK) | Esse recurso é para serviços que armazenam dados inativos do cliente (mais de 48 horas). Embora esses dados já estejam criptografados duas vezes em servidores do Azure, os usuários podem obter segurança extra adicionando outra camada de criptografia, com chaves que eles próprios gerenciam. Você pode vincular seu serviço ao Azure Key Vault e gerenciar suas chaves de criptografia de dados lá. Verifique se a CMK tem suporte no serviço que você deseja usar na documentação de Chaves gerenciadas pelo cliente. |
Redes virtuais | As redes virtuais permitem que você especifique quais pontos de extremidade podem fazer chamadas à API para seu recurso. O serviço do Azure rejeita chamadas de API de dispositivos fora da rede. Defina uma definição baseada em fórmula da rede permitida ou defina uma lista completa de pontos de extremidade para permitir. Essa é outra camada de segurança que pode ser usada em combinação com outras. |
Prevenção de perda de dados | O recurso de prevenção contra perda de dados permite que um administrador decida quais tipos de URIs seu recurso do Azure pode usar como entradas (para as chamadas à API que tomam URIs como entrada). Isso pode ser feito para evitar a possível exfiltração de dados confidenciais da empresa: se uma empresa armazenar informações confidenciais (como dados privados de um cliente) em parâmetros de URL, um ator inválido dentro dessa empresa poderá enviar os URLs confidenciais para um serviço do Azure, que mostra esses dados fora da empresa. A prevenção contra perda de dados permite que você configure o serviço para rejeitar determinados formulários de URI na chegada. |
Sistema de Proteção de Dados do Cliente | O recurso do Sistema de Proteção de Dados do Cliente fornece interface para que os clientes revisem e aprovem ou rejeitem as solicitações de acesso a dados. Ele é usado nos casos em que um engenheiro da Microsoft precisa acessar os dados do cliente durante uma solicitação de suporte. Para obter informações sobre como as solicitações do Sistema de Proteção de Dados do Cliente são iniciadas, controladas e armazenadas para análises e auditorias posteriores, confira o Guia do Sistema de Proteção de Dados do Cliente. O Sistema de Proteção de Dados do Cliente está disponível para os seguintes serviços:
|
BYOS (traga seu próprio armazenamento) | No momento, o serviço de Fala não é compatível com o Sistema de Proteção de Dados do Cliente. No entanto, você pode organizar para que os dados específicos do serviço sejam armazenados em seu próprio recurso de armazenamento usando BYOS (traga seu próprio armazenamento). O BYOS permite obter controles de dados semelhantes ao do Sistema de Proteção de Dados do Cliente. Lembre-se de que os dados do serviço de Fala permanecem e são processados na região do Azure em que o recurso de Fala foi criado. Isso se aplica aos dados inativos e aos dados em trânsito. Para os recursos de personalização como Fala Personalizada e Voz Personalizada, todos os dados do cliente são transferidos, armazenados e processados na mesma região em que residem o recurso de serviço de Fala e o recurso BYOS (se usado). Para usar BYOS com a Fala, siga o guia de Criptografia de fala de dados em repouso. A Microsoft não usa dados do cliente para melhorar seus modelos de Fala. Além disso, se o registro em log do ponto de extremidade estiver desabilitado e nenhuma personalização for usada, os dados do cliente não serão armazenados pelo Serviço Cognitivo do Azure para Fala. |
Próximas etapas
- Explore os Serviços de IA do Azure e escolha um serviço para começar.