Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот базовый план безопасности применяет рекомендации из Microsoft cloud security benchmark версии 1.0, к Azure AI Studio. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Azure AI Studio.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , не применимые к Azure AI Studio, были исключены.**.
Профиль безопасности
Профиль безопасности обобщает поведения Azure AI Studio с высоким уровнем воздействия, что может привести к учету дополнительных аспектов безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | АИ+МО |
| Клиент может получить доступ к HOST / OS | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | Верно |
| Сохраняет данные клиента в состоянии покоя | Верно |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Общее |
Руководство по настройке. Вы можете настроить приватный канал для доступа к Azure AI Studio из виртуальной сети. Вы можете использовать встроенную функцию управляемой сетевой изоляции для обеспечения сетевой изоляции вычислительных ресурсов в Azure AI Studio, таких как вычислительный экземпляр.
Справочник.Настройка приватного канала для Центра искусственного интеллекта Azure
Поддержка группы безопасности сети
Описание: Трафик службы в сети соблюдает правила назначения групп сетевой безопасности в их подсетях. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Группа безопасности сети (NSG) поддерживается Azure AI Studio. Ответственность пользователей заключается в том, чтобы обеспечить правильную настройку политик и применить группу безопасности сети к ресурсам.
Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию приватного канала, чтобы установить частную точку доступа для ресурсов.
Справочник.Настройка приватного канала для Центра искусственного интеллекта Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Отключение общедоступного доступа к Интернету поддерживается Azure AI Studio, клиент может настроить Приватный канал Azure для защищенного доступа к Студии ИИ Azure и вычислительным ресурсам.
Руководство по настройке: Отключите доступ к общедоступной сети с помощью правила фильтрации IP-адресов служебного уровня или переключателя отключения доступа к общедоступной сети.
Справочник.Настройка приватного канала для Центра искусственного интеллекта Azure
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация в Azure AD для доступа к плоскости данных
Описание: Служба поддерживает аутентификацию через Azure AD для доступа к уровню данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях. Управление доступом на основе ролей Azure используется для управления доступом к Azure AI Studio с предварительно определенными ролями. Пользователи в идентификаторе Microsoft Entra должны иметь роли, назначенные для доступа к ресурсам в Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/rbac-ai-studio
Методы локальной аутентификации для доступа к панели управления данными
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: Локальная аутентификация в плоскости данных не поддерживается Azure AI Studio. Клиенты должны использовать идентификатор Azure Entra для управления доступом к плоскости данных. Однако клиент может настроить локальную проверку подлинности для вычислительного экземпляра, который по умолчанию отключен.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия уровня данных поддерживают аутентификацию с помощью управляемых удостоверений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Управляемая идентичность поддерживается Azure AI Studio. Однако клиенты должны убедиться, что управляемое удостоверение правильно настроено для целевых ресурсов, чтобы обеспечить доступ.
Руководство по настройке: По возможности используйте управляемые удостоверения Azure вместо служебных принципалов, поскольку они могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Субъекты-службы
Описание: Плоскость данных поддерживает проверку подлинности с помощью сервисных учетных записей. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Узлы-службы поддерживаются в Azure AI Studio и могут быть настроены для ресурсов, поддерживающих проект ИИ, включая учетную запись хранения, Azure Key Vault и т. д.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Условный доступ поддерживается Azure AI Studio, однако клиентам необходимо настроить политики, которые не включены по умолчанию.
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание: Плоскость данных поддерживает использование Azure Key Vault для хранения учетных данных и секретов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях: Клиенты могут использовать Azure Key Vault для управления секретами, такими как строки подключения для подключения к вашим ресурсам. Для изоляции данных конфиденциальная информация не может быть получена между проектами через API.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/architecture
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях. Во время создания вычислительного экземпляра клиенты могут настроить корневой доступ на странице безопасности. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Создание вычислительных экземпляров и управление ими в Azure AI Studio
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях. Управление доступом на основе ролей Azure поддерживается Azure AI Studio с предварительно определенными ролями. Клиентам необходимо назначить роли пользователям, прежде чем они смогут получить доступ к Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/rbac-ai-studio
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защитный сейф для клиентов
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Обнаружение конфиденциальных данных и классификация в настоящее время не поддерживается Azure AI Studio. Хотя данные в процессе передачи и данные на хранении шифруются, клиенты должны учитывать настраиваемые функции, такие как сетевую изоляцию, управление доступом и т. д., чтобы защитить данные.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Решение защиты от утечки и потери данных (DLP) в настоящее время не поддерживается Azure AI Studio. Клиент должен рассмотреть возможность применения элементов управления, которые помогают защитить данные, включая сетевую изоляцию, управление доступом и т. д.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание: Служба поддерживает шифрование данных во время передачи для уровня данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях: Azure AI Studio использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях. Azure AI основана на нескольких службах Azure. Данные хранятся безопасно с помощью ключей шифрования, предоставляемых корпорацией Майкрософт по умолчанию.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Azure AI Studio использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования. Однако клиенты могут использовать собственные ключи шифрования (ключи, управляемые клиентом, CMK). Клиенты, которые решают использовать эту функцию, должны загрузить свои ключи в Azure Key Vault, чтобы воспользоваться преимуществами этой функции.
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях. При создании ресурса Azure AI Hub требуется Azure Key Vault в качестве зависимого ресурса.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Архитектура Azure AI Studio
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление активами
Дополнительные сведения см. в бенчмарке Microsoft Cloud Security: Управление ресурсами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Azure AI Studio предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать политики и при необходимости включать их.
Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.
Справочник:/azure/ai-services/policy-reference
AM-5. Использование только утвержденных приложений в виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Установка агента Microsoft Defender для серверов в настоящее время не поддерживается.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Microsoft Defender можно настроить для различных ресурсов, подключенных к Azure AI Studio. Клиент может проверить доступность через документацию Microsoft Defender.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Когда вы получите оповещение из Microsoft Defender для Key Vault, изучите и ответите на это оповещение.
Справочник по продуктам и службам Microsoft Defender
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях: Azure Monitor и Azure Log Analytics предоставляют мониторинг и ведение журнала базовых ресурсов, используемых Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Архитектура Azure AI Studio
Управление позицией и уязвимостью
Дополнительные сведения см. в статье «Microsoft Cloud Security Benchmark: управление конфигурацией и уязвимостями».
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Конфигурация состояния службы автоматизации Azure
Описание. Конфигурация состояния службы автоматизации Azure может использоваться для поддержания конфигурации безопасности операционной системы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Агент конфигурации гостевых политик Azure
Описание. Агент гостевой конфигурации политики Azure можно установить или развернуть в качестве расширения для вычислительных ресурсов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях: Azure AI Studio предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать политики и при необходимости включать их.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник:/azure/ai-services/policy-reference
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Образ виртуальной машины на вычислительных ресурсах управляется корпорацией Майкрософт, а пользовательские образы виртуальных машин не поддерживаются.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы контейнеров
Описание: Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из торговой площадки с определенными предустановленными конфигурациями. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Особенности: Клиенты могут использовать пользовательский образ контейнера на вычислительных ресурсах, подключенных к проекту ИИ.
Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемые базовые показатели безопасной конфигурации в шаблоне образа контейнера.
PV-5. Выполнение оценки уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, службы приложений, SQL и DNS). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL.
Справочник. Управление уязвимостями для Azure AI Studio
PV-6. Быстрое и автоматическое исправление уязвимостей
Функции
Управление обновлениями службы автоматизации Azure
Описание. Служба может использовать управление обновлениями службы автоматизации Azure для автоматического развертывания исправлений и обновлений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: Обновление Azure Automation не поддерживается в Azure AI Studio. Развертывания могут использовать образы виртуальных машин и образы Docker. Методы обновления и исправления и частота описаны в документации . Управление уязвимостями для Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Безопасность конечных точек
Дополнительные сведения см. в статье microsoft cloud security benchmark: Endpoint Security.
ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)
Функции
Решение EDR
Описание. Функция обнаружения конечных точек и ответа (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Функции
Решение для защиты от вредоносных программ
Описание: функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки может быть развернута на конечной точке. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Решение защиты от вредоносных программ не поддерживается в конечных точках Azure AI Studio. Однако клиенты могут установить решения для защиты от вредоносных программ на вычислительном экземпляре. Дополнительные сведения см. в разделе /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ
Функции
Мониторинг работоспособности решений защиты от вредоносных программ
Описание: Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, движка системы и обновлений сигнатур. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Клиенты могут устанавливать решения для защиты от вредоносных программ в вычислительном экземпляре, подключенном к проекту ИИ.
Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы гарантировать, что платформа, подсистема и подписи обновляются быстро и последовательно и их состояние можно отслеживать.
Справочник:/azure/ai-studio/concepts/vulnerability-management
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть сохранена с помощью службы Azure Backup. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Резервное копирование Azure можно настроить в учетной записи хранения, подключенной к проекту ИИ.
Руководство по настройке. Включение Службы архивации Azure и настройка источника резервного копирования (например, виртуальных машин Azure, SQL Server, баз данных HANA или общих папок) на требуемой частоте и с требуемым периодом хранения. Для виртуальных машин Azure можно использовать политику Azure для включения автоматического резервного копирования.
Справочник. Настройка резервного копирования для BLOB-объектов Azure и управление ими с помощью Azure Backup
Возможность встроенного резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: Azure AI Studio не предоставляет собственную функцию резервного копирования. Клиенты должны использовать Azure Backup для ресурсов в проектах ИИ.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие шаги
- Ознакомьтесь с обзором стандарта безопасности в облаке Microsoft
- Дополнительные сведения о базовых показателях безопасности Azure