Linha de base de segurança do Azure para o Azure OpenAI
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure OpenAI. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Azure OpenAI.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao Azure OpenAI foram excluídos. Para ver como o Azure OpenAI mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança do Azure OpenAI.
O perfil de segurança resume comportamentos de alto impacto do Azure OpenAI, o que pode resultar em considerações de segurança maiores.
Atributo comportamento do serviço | Value |
---|---|
Categoria do Produto | AI+ML |
O cliente pode aceder ao HOST/SO | Sem Acesso |
O serviço pode ser implementado na rede virtual do cliente | False |
Armazena o conteúdo do cliente inativo | True |
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Configurar redes virtuais de serviços de IA do Azure
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: desabilite o acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço ou um comutador de alternância para acesso à rede pública.
Referência: Configurar redes virtuais de serviços de IA do Azure
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Como configurar o Serviço OpenAI do Azure com identidades gerenciadas
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Notas de funcionalidade: Embora possa autenticar-se nos Serviços Cognitivos do Azure utilizando uma chave de subscrição de serviço único ou multisserviço, ou utilizar essas chaves para autenticar com tokens de acesso, estes métodos de autenticação ficam aquém em cenários mais complexos que requerem o controlo de acesso baseado na função do Azure (Azure RBAC). Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: autenticar com um token de acesso
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Como configurar o Serviço OpenAI do Azure com identidades gerenciadas
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Como configurar o Serviço OpenAI do Azure com identidades gerenciadas
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Notas de funcionalidade: o serviço Azure OpenAI não armazena segredos (por exemplo, palavras-passe, etc.).
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Referência: Desenvolver aplicativos de serviços de IA do Azure com o Key Vault
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: use o controle de acesso baseado em função do Azure (Azure RBAC) para gerenciar o acesso a recursos do Azure por meio de atribuições de função internas. As funções do RBAC do Azure podem ser atribuídas a usuários, grupos, entidades de serviço e identidades gerenciadas.
Referência: Como configurar o Serviço OpenAI do Azure com identidades gerenciadas
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Customer Lockbox for Microsoft Azure
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: os recursos de prevenção de perda de dados dos serviços do Azure OpenAI permitem que os clientes configurem a lista de URLs de saída que seus recursos de serviços do Azure OpenAI têm permissão para acessar. Isso cria outro nível de controle para os clientes para evitar a perda de dados.
Referência: Configurar a prevenção de perda de dados para serviços de IA do Azure
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Criptografia de dados em repouso do Serviço Azure OpenAI
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Referência: Criptografia de dados em repouso do Serviço Azure OpenAI
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Criptografia de dados em repouso do Serviço Azure OpenAI
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Notas de funcionalidade: consulte as políticas dos Serviços Cognitivos do Azure.
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
True | False | Cliente |
Diretrizes de configuração: habilite logs de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Monitorando o Serviço OpenAI do Azure
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure