Базовый план безопасности Azure для Cognitive Services

Этот базовый план безопасности применяет рекомендации из теста производительности облачной безопасности Майкрософт версии 1.0 к Cognitive Services. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт, и соответствующем руководстве, применимом к Cognitive Services.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Примечание

Функции , неприменимые к Cognitive Services, были исключены. Чтобы узнать, как Cognitive Services полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Cognitive Services.

Профиль безопасности

Профиль безопасности обобщает поведение Cognitive Services с высокой степенью влияния, что может привести к повышению уровня безопасности.

Атрибут поведения службы Значение
Категория продуктов ИИ+ML
Клиент может получить доступ к HOST или ОС Нет доступа
Служба может быть развернута в виртуальной сети клиента Неверно
Хранит неактивный контент клиента True

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Поддержка групп безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Заметки о функциях. Хотя группы безопасности сети для этой службы не поддерживаются, можно настроить брандмауэр уровня службы. Дополнительные сведения см. в статье Управление правилами IP-сети.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.

Справочник. Использование частных конечных точек

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ACL ip-адресов уровня службы или переключателя для доступа к общедоступной сети.

Справка. Изменение правила доступа к сети по умолчанию

Мониторинг в Microsoft Defender для облака.

Политика Azure встроенных определений — Microsoft.CognitiveServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Ресурсы Служб ИИ Azure должны ограничивать доступ к сети Ограничивая доступ к сети, вы можете гарантировать, что доступ к службе могут получить только разрешенные сети. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0

Управление удостоверениями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справочник. Проверка подлинности с помощью Azure Active Directory

Локальные методы проверки подлинности для доступа к плоскости данных

Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Хотя вы можете пройти проверку подлинности в Azure Cognitive Services с помощью ключа подписки с одной или несколькими службами или использовать эти ключи для проверки подлинности с помощью маркеров доступа, эти методы проверки подлинности не выполняются в более сложных сценариях, требующих управления доступом на основе ролей Azure (Azure RBAC). Избегайте использования локальных методов проверки подлинности или учетных записей. Их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справка. Проверка подлинности с помощью маркера доступа

Мониторинг в Microsoft Defender для облака.

Политика Azure встроенных определений — Microsoft.CognitiveServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для ресурсов Служб ИИ Azure доступ к ключам должен быть отключен (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальную проверку подлинности). Azure OpenAI Studio, которая обычно используется в разработке и тестировании, требует доступа по ключу и не будет работать, если доступ к ключам отключен. После отключения Microsoft Entra ID становится единственным методом доступа, который позволяет поддерживать принцип минимальных привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

Справочник. Авторизация доступа к управляемым удостоверениям

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.

Справочник. Проверка подлинности запросов в Azure Cognitive Services

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного поведения при входе или требование устройств, управляемых организацией, для определенных приложений.

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраиваются в файлы кода или конфигурации.

Справочник. Разработка приложений Azure Cognitive Services с помощью Key Vault

Привилегированный доступ

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли Azure RBAC можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.

Справка. Проверка подлинности с помощью Azure Active Directory

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.

Защита данных

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение и классификация конфиденциальных данных

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Защита от утечки и потери данных

Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Возможности защиты от потери данных Cognitive Services позволяют клиентам настраивать список исходящих URL-адресов, к которым разрешен доступ их ресурсам Cognitive Services. Она предоставляет клиентам еще один уровень управления для защиты от потери данных.

Справочник. Настройка защиты от потери данных для Azure Cognitive Services

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник.Безопасность Azure Cognitive Services

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник. Настройка ключей, управляемых клиентом, в Azure Key Vault для Cognitive Services

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.

Справочник. Настройка ключей, управляемых клиентом, в Azure Key Vault для Cognitive Services

Мониторинг в Microsoft Defender для облака.

Политика Azure встроенных определений — Microsoft.CognitiveServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом Для соблюдения стандартов соответствия нормативным требованиям обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать данные, хранящиеся в Cognitive Services, с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о ключах, управляемых клиентом, см. здесь: https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.1.0

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и службе по определенному расписанию или при прекращении использования или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импортировать ключи, защищенные устройством HSM, из локальных устройств HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.

Справочник. Настройка ключей, управляемых клиентом, в Azure Key Vault для Cognitive Services

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует] для обеспечения безопасной конфигурации в ресурсах Azure.

Справочник. Политика Azure встроенных определений политик для Azure Cognitive Services

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для предложения услуг и продуктов

Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL имеет журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.

Справочник. Включение ведения журнала диагностики для Azure Cognitive Services

резервное копирование и восстановление

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность резервного копирования в собственном коде службы

Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие действия