Segurança dos Serviços Cognitivos do Azure
A segurança deve ser considerada uma prioridade máxima no desenvolvimento de todos os aplicativos e, com o crescimento de aplicativos habilitados para inteligência artificial, a segurança é ainda mais importante. Este artigo descreve vários recursos de segurança disponíveis para os Serviços Cognitivos do Azure. Cada recurso aborda uma responsabilidade específica, portanto, vários recursos podem ser usados no mesmo fluxo de trabalho.
Para obter uma lista abrangente de recomendações de segurança do serviço do Azure, consulte o artigo de Linha de base de segurança dos Serviços Cognitivos.
Recursos de segurança
| Recurso | Descrição |
|---|---|
| Protocolo TLS | Todos os pontos de extremidade dos Serviços Cognitivos expostos por HTTP impõem o protocolo TLS 1.2. Com um protocolo de segurança imposto, os consumidores que tentam chamar um ponto de extremidade dos Serviços Cognitivos devem seguir estas diretrizes: – O OS (sistema operacional) cliente precisa dar suporte ao TLS 1.2. – A linguagem (e a plataforma) usadas para fazer a chamada HTTP precisam especificar o TLS 1.2 como parte da solicitação. Dependendo da linguagem e da plataforma, a especificação do TLS é feita implicitamente ou explicitamente. – Para usuários do .NET, considere as melhores práticas de Segurança da Camada de Transporte. |
| Opções de autenticação | Autenticação é o ato de verificar a identidade de um usuário. A autorização, ao contrário, é a especificação dos direitos de acesso e dos privilégios para os recursos de determinada identidade. Uma identidade é uma coleção de informações sobre uma entidade de segurança e uma entidade de segurança pode ser um usuário individual ou um serviço. Por padrão, você autentica suas próprias chamadas aos Serviços Cognitivos usando as chaves de assinatura fornecidas. Esse é o método mais simples, mas não o mais seguro. O método de autenticação mais seguro é usar funções gerenciadas no Azure Active Directory. Para saber mais sobre essa e outras opções de autenticação, consulte As solicitações de autenticação para os Serviços Cognitivos. |
| Alteração de chaves | Cada recurso dos Serviços Cognitivos tem duas chaves de API para habilitar a rotação de segredos. Essa é uma precaução de segurança que permite alterar regularmente as chaves que podem acessar seu serviço, protegendo a privacidade do seu serviço caso uma chave seja vazada. Para saber mais sobre essa e outras alternativas de autenticação, confira Alternar chaves. |
| Variáveis de ambiente | As variáveis de ambiente são pares nome-valor que são armazenados em um ambiente de desenvolvimento específico. Armazene suas credenciais dessa forma como uma alternativa mais segura ao usar valores codificados em seu código. No entanto, se o ambiente estiver comprometido, as variáveis de ambiente também serão comprometidas, portanto, essa não será a abordagem mais segura. Para obter instruções sobre como usar variáveis de ambiente em seu código, consulte a guia Variáveis de ambiente. |
| Chaves gerenciadas pelo cliente (CMK) | Esse recurso é para serviços que armazenam dados inativos do cliente (mais de 48 horas). Embora esses dados já estejam criptografados duas vezes em servidores do Azure, os usuários podem obter segurança extra adicionando outra camada de criptografia, com chaves que eles próprios gerenciam. Você pode vincular seu serviço ao Azure Key Vault e gerenciar suas chaves de criptografia de dados lá. Você precisa de aprovação especial para obter o SKU E0 para seu serviço, o que habilita o CMK. Dentro de 3 a 5 dias úteis após enviar o formulário de solicitação, você receberá uma atualização sobre o status da solicitação. Dependendo da demanda, você poderá ser colocado em uma fila e será aprovado assim que abrir espaço. Depois de receber aprovação para usar a SKU E0, você precisará criar um recurso no portal do Azure e selecionar E0 como o Tipo de preço. Você não poderá atualizar a SKU de F0 para a nova E0. Somente alguns serviços podem usar o CMK, procure seu serviço na página de Chaves gerenciadas pelo cliente. |
| Redes virtuais | As redes virtuais permitem que você especifique quais pontos de extremidade podem fazer chamadas à API para seu recurso. O serviço do Azure rejeitará chamadas de API de dispositivos fora da sua rede. Defina uma definição baseada em fórmula da rede permitida ou defina uma lista completa de pontos de extremidade para permitir. Essa é outra camada de segurança que pode ser usada em combinação com outras. |
| Prevenção de perda de dados | O recurso de prevenção contra perda de dados permite que um administrador decida quais tipos de URIs seu recurso do Azure pode usar como entradas (para as chamadas à API que tomam URIs como entrada). Isso pode ser feito para evitar a possível exfiltração de dados confidenciais da empresa: se uma empresa armazenar informações confidenciais (como dados privados de um cliente) em parâmetros de URL, um ator inválido dentro dessa empresa poderá enviar os URLs confidenciais para um serviço do Azure, que mostra esses dados fora da empresa. A prevenção contra perda de dados permite que você configure o serviço para rejeitar determinados formulários de URI na chegada. |
| Sistema de Proteção de Dados do Cliente | O recurso do Sistema de Proteção de Dados do Cliente fornece interface para que os clientes revisem e aprovem ou rejeitem as solicitações de acesso a dados. Ele é usado nos casos em que um engenheiro da Microsoft precisa acessar os dados do cliente durante uma solicitação de suporte. Para obter informações sobre como as solicitações do Sistema de Proteção de Dados do Cliente são iniciadas, controladas e armazenadas para revisões e auditorias posteriores, consulte a guia do Sistema de Proteção de Dados do Cliente. Ele está disponível para os seguintes serviços: – OpenAI do Azure – Tradutor – Compreensão da linguagem coloquial – Classificação de texto personalizada – Reconhecimento de entidade nomeada personalizada – Fluxo de trabalho de orquestração Da mesma forma, os serviços a seguir oferecem a camada E0 (acessada por este formulário de solicitação) e os engenheiros da Microsoft não acessarão nenhum dado do cliente dessa camada:– Reconhecimento vocal – Detecção Facial – Content Moderator – Personalizador |
| BYOS (traga seu próprio armazenamento) | No momento, o serviço de Fala não é compatível com o Sistema de Proteção de Dados do Cliente. No entanto, você pode organizar para que os dados específicos do serviço sejam armazenados em seu próprio recurso de armazenamento usando BYOS (traga seu próprio armazenamento). O BYOS permite obter controles de dados semelhantes ao do Sistema de Proteção de Dados do Cliente. Lembre-se de que os dados do serviço de Fala permanecem e são processados na região do Azure em que o recurso de Fala foi criado. Isso se aplica aos dados inativos e aos dados em trânsito. Para os recursos de personalização como Fala Personalizada e Voz Personalizada, todos os dados do cliente são transferidos, armazenados e processados na mesma região em que residem o recurso de serviço de Fala e o recurso BYOS (se usado). Para usar o BYOS com a Fala, siga a guia de Criptografia de Fala dos dados inativos.A Microsoft não usa dados do cliente para aprimorar os modelos de Fala. Além disso, se o registro em log do ponto de extremidade estiver desabilitado e nenhuma personalização for usada, os dados do cliente não serão armazenados pelo Serviço Cognitivo do Azure para Fala. |
Próximas etapas
- Explore os Serviços Cognitivos e escolha um serviço para começar.