evento
Participe do Desafio Microsoft Learn
19/11, 23 - 10/01, 23
Ignite Edition - Desenvolva habilidades em produtos de segurança da Microsoft e ganhe um selo digital até 10 de janeiro!
Registe-se agoraEste browser já não é suportado.
Atualize para o Microsoft Edge para tirar partido das mais recentes funcionalidades, atualizações de segurança e de suporte técnico.
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 aos Serviços Cognitivos. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis aos Serviços Cognitivos.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis aos Serviços Cognitivos foram excluídas. Para ver como os Serviços Cognitivos mapeiam completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança dos Serviços Cognitivos.
O perfil de segurança resume os comportamentos de alto impacto dos Serviços Cognitivos, o que pode resultar em considerações de segurança acrescidas.
Atributo comportamento do serviço | Valor |
---|---|
Product Category (Categoria de Produto) | IA+ML |
O cliente pode aceder ao HOST/SO | Sem Acesso |
O serviço pode ser implementado na rede virtual do cliente | Falso |
Armazena o conteúdo do cliente inativo | Verdadeiro |
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: embora os Grupos de Segurança de Rede para este serviço não sejam suportados, poderá ser configurada uma firewall ao nível do serviço. Para obter mais informações, visite: Gerir regras de rede IP
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: Utilizar pontos finais privados
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o acesso à rede pública utilizando a regra de filtragem da ACL ip ao nível do serviço ou um comutador de agregação para acesso à rede pública.
Referência: Alterar a regra de acesso à rede predefinida
Azure Policy definições incorporadas – Microsoft.CognitiveServices:
Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, pode garantir que apenas as redes permitidas podem aceder ao serviço. Isto pode ser conseguido ao configurar regras de rede para que apenas as aplicações de redes permitidas possam aceder ao serviço de IA do Azure. | Auditoria, Negar, Desativado | 3.2.0 |
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Autenticar com o Azure Active Directory
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: embora possa autenticar-se nos Serviços Cognitivos do Azure com uma chave de subscrição de serviço único ou de vários serviços ou utilizar essas chaves para autenticar com tokens de acesso, estes métodos de autenticação ficam aquém em cenários mais complexos que requerem o controlo de acesso baseado em funções do Azure (RBAC do Azure). Evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Autenticar com um token de acesso
Azure Policy definições incorporadas – Microsoft.CognitiveServices:
Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desativado (desativar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado para segurança. O Azure OpenAI Studio, normalmente utilizado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso à chave estiver desativado. Após a desativação, Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e o controlo granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Autorizar o acesso a identidades geridas
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Autenticar pedidos para os Serviços Cognitivos do Azure
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou de configuração.
Referência: Desenvolver aplicações dos Serviços Cognitivos do Azure com Key Vault
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. As funções RBAC do Azure podem ser atribuídas a utilizadores, grupos, principais de serviço e identidades geridas.
Referência: Autenticar com o Azure Active Directory
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Sistema de Proteção de Dados do Cliente para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: as capacidades de prevenção de perda de dados dos Serviços Cognitivos permitem aos clientes configurar a lista de URLs de saída aos quais os recursos dos Serviços Cognitivos têm permissão para aceder. Isto cria outro nível de controlo para os clientes evitarem a perda de dados.
Referência: Configurar a prevenção de perda de dados para os Serviços Cognitivos do Azure
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Segurança dos Serviços Cognitivos do Azure
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Configurar chaves geridas pelo cliente com o Azure Key Vault para Serviços Cognitivos
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Referência: Configurar chaves geridas pelo cliente com o Azure Key Vault para Serviços Cognitivos
Azure Policy definições incorporadas – Microsoft.CognitiveServices:
Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As contas dos Serviços Cognitivos devem ativar a encriptação de dados com uma chave gerida pelo cliente | Normalmente, as chaves geridas pelo cliente são necessárias para cumprir as normas de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam encriptados com uma chave de Key Vault do Azure criada e propriedade sua. Tem controlo total e responsabilidade pelo ciclo de vida das chaves, incluindo a rotação e a gestão. Saiba mais sobre as chaves geridas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. | Auditoria, Negar, Desativado | 2.1.0 |
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Configurar chaves geridas pelo cliente com o Azure Key Vault para Serviços Cognitivos
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Azure Policy definições de política incorporadas para os Serviços Cognitivos do Azure
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.
Referência: Ativar o registo de diagnósticos para os Serviços Cognitivos do Azure
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
evento
Participe do Desafio Microsoft Learn
19/11, 23 - 10/01, 23
Ignite Edition - Desenvolva habilidades em produtos de segurança da Microsoft e ganhe um selo digital até 10 de janeiro!
Registe-se agoraFormação
Módulo
Proteja os dados do setor público com o Azure - Training
Introdução conceitual à residência e soberania de dados e visão geral das opções fornecidas pelo Azure para agências públicas protegerem seus dados na nuvem.
Certificação
Demonstre os conceitos básicos de segurança de dados, gerenciamento do ciclo de vida, segurança da informação e conformidade para proteger uma implantação do Microsoft 365.