AI-säkerhetsrekommendationer
I den här artikeln visas alla AI-säkerhetsrekommendationer som du kan se i Microsoft Defender för molnet.
Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.
Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.
Azure-rekommendationer
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering)
Beskrivning: Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. När inställningen har inaktiverats blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer.
Den här rekommendationen ersätter den gamla rekommendationen att Cognitive Services-konton ska ha lokala autentiseringsmetoder inaktiverade. Det var tidigare i kategorin Cognitive Services och Cognitive Search och uppdaterades för att följa namngivningsformatet för Azure AI Services och överensstämmer med relevanta resurser.
Allvarlighetsgrad: Medel
Azure AI Services-resurser bör begränsa nätverksåtkomsten
Beskrivning: Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänstresursen.
- Den här rekommendationen omfattas av en annan nätverksrekommendering för Azure AI-tjänster – Cognitive Services-konton bör begränsa nätverksåtkomsten.
- Cognitive Services-kontona bör begränsa rekommendationen för nätverksåtkomst ersätts nu i sin tur av en ny (Azure AI Services bör begränsa nätverksåtkomsten).
- Den här rekommendationen ersätter den gamla rekommendationen att Cognitive Services-konton ska begränsa nätverksåtkomsten. Det var tidigare i kategorin Cognitive Services och Cognitive Search och uppdaterades för att följa namngivningsformatet för Azure AI Services och överensstämmer med relevanta resurser.
- Den relaterade principdefinitionen Cognitive Services-konton bör inaktivera åtkomst till offentligt nätverk har tagits bort från instrumentpanelen för regelefterlevnad.
Allvarlighetsgrad: Medel
Resursloggar i Azure Mašinsko učenje Arbetsytor ska vara aktiverade (förhandsversion)
Beskrivning och relaterad princip: Resursloggar gör det möjligt att återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras.
Allvarlighetsgrad: Medel
Azure Mašinsko učenje-arbetsytor bör inaktivera åtkomst till offentligt nätverk (förhandsversion)
Beskrivning och relaterad princip: Om du inaktiverar åtkomst till offentliga nätverk förbättras säkerheten genom att säkerställa att Mašinsko učenje Arbetsytor inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Mer information finns i Konfigurera en privat slutpunkt för en Azure Mašinsko učenje-arbetsyta.
Allvarlighetsgrad: Medel
Azure Mašinsko učenje Computes bör finnas i ett virtuellt nätverk (förhandsversion)
Beskrivning och relaterad princip: Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Mašinsko učenje Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket.
Allvarlighetsgrad: Medel
Azure Mašinsko učenje Computes bör ha lokala autentiseringsmetoder inaktiverade (förhandsversion)
Beskrivning och relaterad princip: Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Mašinsko učenje Computes kräver Azure Active Directory-identiteter uteslutande för autentisering. Mer information finns i Kontroller för regelefterlevnad i Azure Policy för Azure Mašinsko učenje.
Allvarlighetsgrad: Medel
Azure Mašinsko učenje beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna (förhandsversion)
Beskrivning och relaterad princip: Se till att Azure Mašinsko učenje beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns i Sårbarhetshantering för Azure Mašinsko učenje.
Allvarlighetsgrad: Medel
Diagnostikloggar i Azure AI-tjänstresurser ska vara aktiverade
Beskrivning: Aktivera loggar för Azure AI-tjänstresurser. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte, när en säkerhetsincident inträffar eller nätverket komprometteras.
Den här rekommendationen ersätter den gamla rekommendationen Diagnostikloggar i usluga pretrage ska aktiveras. Den fanns tidigare i kategorin Cognitive Services och Cognitive Search och uppdaterades för att följa namngivningsformatet för Azure AI Services och anpassas till relevanta resurser.
Allvarlighetsgrad: Låg
Resursloggar i Azure Databricks-arbetsytor ska vara aktiverade (förhandsversion)
Beskrivning och relaterad princip: Resursloggar gör det möjligt att återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras.
Allvarlighetsgrad: Medel
Azure Databricks-arbetsytor bör inaktivera åtkomst till offentliga nätverk (förhandsversion)
Beskrivning och relaterad princip: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Mer information finns i Aktivera Azure Private Link.
Allvarlighetsgrad: Medel
Azure Databricks-kluster bör inaktivera offentlig IP-adress (förhandsversion)
Beskrivning och relaterad princip: Att inaktivera offentliga IP-adresser för kluster i Azure Databricks-arbetsytor förbättrar säkerheten genom att säkerställa att klustren inte exponeras på det offentliga Internet. Mer information finns i Säker klusteranslutning.
Allvarlighetsgrad: Medel
Azure Databricks-arbetsytor ska finnas i ett virtuellt nätverk (förhandsversion)
Beskrivning och relaterad princip: Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Databricks-arbetsytor, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Mer information finns i Distribuera Azure Databricks i ditt virtuella Azure-nätverk.
Allvarlighetsgrad: Medel
Azure Databricks-arbetsytor bör använda privat länk (förhandsversion)
Beskrivning och relaterad princip: Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Databricks-arbetsytor kan du minska risken för dataläckage. Mer information finns i Skapa arbetsytan och privata slutpunkter i Azure-portalens användargränssnitt.
Allvarlighetsgrad: Medel
AWS AI-rekommendationer
AWS Bedrock bör ha modellanropsloggning aktiverat
Beskrivning: Med anropsloggning kan du samla in fullständiga begärandedata, svarsdata och metadata som är associerade med alla anrop som utförs i ditt konto. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar.
Allvarlighetsgrad: Låg
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för