Bekleyen veriler için Azure AI Bot Hizmeti şifrelemesi

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: SDK v4

Azure AI Bot Hizmeti, verileri korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini yerine getirmek için bulutta kalıcı hale getirildiğinde verilerinizi otomatik olarak şifreler.

Şifreleme ve şifre çözme saydamdır, yani şifreleme ve erişim sizin için yönetilir. Verileriniz varsayılan olarak koruma altındadır ve şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmenize gerek yoktur.

Şifreleme anahtarı yönetimi hakkında

Aboneliğiniz varsayılan olarak Microsoft tarafından yönetilen şifreleme anahtarlarını kullanır. Bot kaynağınızı müşteri tarafından yönetilen anahtarlar olarak adlandırılan kendi anahtarlarınızla yönetebilirsiniz. Müşteri tarafından yönetilen anahtarlar, Azure AI Bot Hizmeti depolarına erişim denetimleri oluşturmak, döndürmek, devre dışı bırakmak ve iptal etmek için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.

Verileri şifrelerken Azure AI Bot Hizmeti iki şifreleme düzeyiyle şifreler. Müşteri tarafından yönetilen anahtarların etkinleştirilmediği durumlarda, kullanılan her iki anahtar da Microsoft tarafından yönetilen anahtarlardır. Müşteri tarafından yönetilen anahtarlar etkinleştirildiğinde veriler hem müşteri tarafından yönetilen anahtar hem de Microsoft tarafından yönetilen anahtarla şifrelenir.

Azure Key Vault ile müşteri tarafından yönetilen anahtarlar

Müşteri tarafından yönetilen anahtarlar özelliğini kullanmak için anahtarları Azure Key Vault'ta depolamanız ve yönetmeniz gerekir. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'lerini kullanabilirsiniz. Azure Bot kaynağınız ve anahtar kasası aynı Microsoft Entra Id kiracısında olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?.

Müşteri tarafından yönetilen bir anahtar kullanırken Azure AI Bot Hizmeti verilerinizi depolama alanında şifreler. Bu anahtara erişim iptal edilirse veya anahtar silinirse, botunuz ileti göndermek veya almak için Azure AI Bot Hizmeti kullanamaz ve Azure portalında botunuzun yapılandırmasına erişemez veya botunuzun yapılandırmasını düzenleyemezsiniz.

Portal aracılığıyla bir Azure Bot kaynağı oluşturduğunuzda, Azure bir uygulama kimliği ve parola oluşturur ancak bunları Azure Key Vault'ta depolamaz. Key Vault'ta Azure AI Bot Hizmeti kullanabilirsiniz. Bilgi için bkz . Web uygulamasını Key Vault'a bağlanacak şekilde yapılandırma. Key Vault ile gizli dizileri depolama ve alma hakkında bir örnek için bkz . Hızlı Başlangıç: .NET için Azure Key Vault gizli istemci kitaplığı (SDK v4).

Önemli

Azure AI Bot Hizmeti ekibi, anahtara erişim olmadan müşteri tarafından yönetilen bir şifreleme anahtarı botunu kurtaramaz.

Hangi veriler şifrelenir?

Azure AI Bot Hizmeti bot hakkındaki müşteri verilerini, kullandığı kanalları, geliştiricinin ayarladığı yapılandırma ayarlarını ve gerektiğinde etkin konuşmaların kaydını depolar. Ayrıca geçici olarak, 24 saatten daha kısa bir süre boyunca Doğrudan Hat veya Web Sohbeti kanalları üzerinden gönderilen iletileri ve karşıya yüklenen ekleri depolar.

Tüm müşteri verileri, Azure AI Bot Hizmeti iki şifreleme katmanıyla şifrelenir: Microsoft tarafından yönetilen şifreleme anahtarları veya Microsoft ve müşteri tarafından yönetilen şifreleme anahtarları. Azure AI Bot Hizmeti, Microsoft tarafından yönetilen şifreleme anahtarlarını kullanarak geçici olarak depolanan verileri şifreler ve Azure Bot kaynağının yapılandırmasına bağlı olarak Microsoft veya müşteri tarafından yönetilen şifreleme anahtarlarını kullanarak daha uzun süreli verileri şifreler.

Dekont

Müşterilere Azure AI Bot Hizmeti dışındaki diğer hizmetlerdeki kullanıcılara ileti teslim etme olanağı sağlayan Azure AI Bot Hizmeti mevcut olduğundan şifreleme bu hizmetlere genişletilmez. Bu, Azure AI Bot Hizmeti denetimi altındayken verilerin bu makaledeki yönergelere göre şifrelenmiş olarak depolanacağı anlamına gelir; ancak hizmet başka bir hizmete teslim edilecek şekilde bırakılırken verilerin şifresi çözülür ve ardından TLS 1.2 şifrelemesi kullanılarak hedef hizmete gönderilir.

Azure Key Vault örneğinizi yapılandırma

Azure AI Bot Hizmeti ile müşteri tarafından yönetilen anahtarları kullanmak için şifreleme anahtarlarınızı barındırmak için kullanmayı planladığınız Azure Key Vault örneğinde iki özelliği etkinleştirmeniz gerekir: Geçici silme ve Temizleme koruması. Bu özellikler, bir nedenden dolayı anahtarınızın yanlışlıkla silinmesi durumunda anahtarı kurtarabilmenizi sağlar. Geçici silme ve temizleme koruması hakkında daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış.

Screenshot of soft delete and purge protection enabled.

Mevcut bir Azure Key Vault örneği kullanıyorsanız, Azure portalındaki Özellikler bölümüne bakarak bu özelliklerin etkinleştirildiğini doğrulayabilirsiniz. Bu özelliklerden herhangi biri etkinleştirilmediyse Geçici silme ve temizleme korumasını etkinleştirme bölümündeki Key Vault bölümüne bakın.

Azure AI Bot Hizmeti anahtar kasasına erişim verme

Azure AI Bot Hizmeti bu amaçla oluşturduğunuz anahtar kasasına erişebilmesi için Azure AI Bot Hizmeti hizmet sorumlusuna geçerli izin kümesini veren bir erişim ilkesi ayarlanmalıdır. Anahtar kasası oluşturma da dahil olmak üzere Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault Hakkında.

  1. Anahtar kasasını içeren aboneliğinize Azure AI Bot Hizmeti kaynak sağlayıcısını kaydedin.

    1. Azure portalına gidin.
    2. Abonelikler dikey penceresini açın ve anahtar kasasını içeren aboneliği seçin.
    3. Kaynak sağlayıcıları dikey penceresini açın ve Microsoft.BotService kaynak sağlayıcısını kaydedin.

    Microsoft.BotService registered as a resource provider

  2. Azure Key Vault iki izin modeli destekler: Azure rol tabanlı erişim denetimi (RBAC) veya kasa erişim ilkesi. İzin modellerini kullanmayı seçebilirsiniz. Key Vault'un dikey penceresindeki Güvenlik duvarları ve sanal ağların bu adımda Tüm ağlardan genel erişime izin ver olarak ayarlandığından emin olun. Ayrıca, operatöre Anahtar Yönetimi İşlemleri izni verildiğinden emin olun.

    Screenshot of the two permission models available for your key vault.

    1. Anahtar kasanızda Azure RBAC izin modelini yapılandırmak için:

      1. Anahtar kasaları dikey penceresini açın ve anahtar kasanızı seçin.
      2. Erişim denetimi (IAM) dikey penceresine gidin ve CMEK Prod Bot Hizmeti Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın. Bu değişikliği yalnızca abonelik sahibi rolüne sahip bir kullanıcı yapabilir.

      Screenshot of key vault configuration showing the crypto service encryption user role has been added.

    2. Anahtar kasanızda Key Vault erişim ilkesi izin modelini yapılandırmak için:

      1. Anahtar kasaları dikey penceresini açın ve anahtar kasanızı seçin.
      2. Bot Hizmeti CMEK Prod uygulamasını erişim ilkesi olarak ekleyin ve aşağıdaki izinleri atayın:
      • Alma (Anahtar Yönetimi İşlemleri'nden)
      • Anahtar Aç (Şifreleme İşlemlerinden)
      • Sarmalama Anahtarı (Şifreleme İşlemlerinden)
      1. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

      Bot Service CMEK Prod added as an access policy

  3. Key Vault'un güvenlik duvarınızı atlamasına izin verin.

    1. Anahtar kasaları dikey penceresini açın ve anahtar kasanızı seçin.
    2. Ağ dikey penceresini açın ve Güvenlik duvarları ve sanal ağlar sekmesine gidin.
    3. 'den erişime izin ver seçeneği Genel erişimi devre dışı bırak olarak ayarlandıysa, Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver'in seçili olduğundan emin olun.
    4. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

    Firewall exception added for Key Vault

Müşteri tarafından yönetilen anahtarı etkinleştirme

Botunuzu müşteri tarafından yönetilen bir şifreleme anahtarıyla şifrelemek için şu adımları izleyin:

  1. Botunuzun Azure Bot kaynak dikey penceresini açın.

  2. Botunuzun Şifreleme dikey penceresini açın ve Şifreleme türü için Müşteri Tarafından Yönetilen Anahtarlar'ıseçin.

  3. Sürüm de dahil olmak üzere anahtarınızın tam URI'sini girin veya anahtarınızı bulmak için Anahtar kasası ve anahtar seçin'e tıklayın.

  4. Dikey pencerenin en üstündeki Kaydet'e tıklayın.

    Bot resource using customer-managed encryption

Bu adımlar tamamlandıktan sonra Azure AI Bot Hizmeti şifreleme işlemini başlatır ve bu işlemin tamamlanması 24 saate kadar sürebilir. Botunuz bu süre boyunca çalışır durumda kalır.

Müşteri tarafından yönetilen anahtarları döndürme

Müşteri tarafından yönetilen bir şifreleme anahtarını döndürmek için Azure AI Bot Hizmeti kaynağını yeni anahtar için yeni URI'yi (veya mevcut anahtarın yeni sürümünü) kullanacak şekilde güncelleştirmeniz gerekir.

Yeni anahtarla yeniden şifreleme zaman uyumsuz olarak gerçekleştiğinden, verilerin şifresinin çözülebilmesi için eski anahtarın kullanılabilir durumda kaldığından emin olun; aksi takdirde botunuz çalışmayı durdurabilir. Eski anahtarı en az bir hafta tutmanız gerekir.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etme

Erişimi iptal etmek için Bot Hizmeti CMEK Prod hizmet sorumlusunun erişim ilkesini anahtar kasanızdan kaldırın.

Dekont

Erişimi iptal etme, botunuzla ilişkili işlevlerin çoğunu bozar. Müşteri tarafından yönetilen anahtarlar özelliğini devre dışı bırakmak için, botunun çalışmaya devam ettiğinden emin olmak için erişimi iptal etmeden önce özelliği kapatın.

Sonraki adımlar

Azure Key Vault hakkında daha fazla bilgi edinin