Azure AI hizmetleri güvenliği

Güvenlik, tüm uygulamaların geliştirilmesinde en önemli öncelik olarak kabul edilmelidir ve yapay zeka özellikli uygulamaların büyümesiyle birlikte güvenlik daha da önemlidir. Bu makalede, Azure AI hizmetleri için kullanılabilen çeşitli güvenlik özellikleri özetlenmektedir. Her özellik belirli bir sorumluluğu ele alır, bu nedenle aynı iş akışında birden çok özellik kullanılabilir.

Azure hizmet güvenliği önerilerinin kapsamlı bir listesi için Azure AI hizmetleri güvenlik temeli makalesine bakın.

Güvenlik özellikleri

Özellik Açıklama
Aktarım Katmanı Güvenliği (TLS) HTTP üzerinden kullanıma sunulan tüm Azure AI hizmetleri uç noktaları TLS 1.2 protokolünü zorunlu kıldı. Zorunlu bir güvenlik protokolüyle, azure yapay zeka hizmetleri uç noktasını çağırmaya çalışan tüketiciler şu yönergeleri izlemelidir:
  • İstemci işletim sisteminin (OS) TLS 1.2'yi desteklemesi gerekir.
  • HTTP çağrısını yapmak için kullanılan dilin (ve platformun) isteğin bir parçası olarak TLS 1.2'yi belirtmesi gerekir. Dile ve platforma bağlı olarak TLS belirtme işlemi örtük veya açıkça yapılır.
  • .NET kullanıcıları için Aktarım Katmanı Güvenliği en iyi yöntemlerini göz önünde bulundurun
Kimlik doğrulaması seçenekleri Kimlik doğrulaması, kullanıcının kimliğini doğrulama işlemidir. Buna karşılık yetkilendirme, belirli bir kimlik için kaynaklara erişim haklarının ve ayrıcalıklarının belirtimidir. Kimlik, bir sorumlu hakkında bilgi koleksiyonudur ve sorumlu tek bir kullanıcı veya hizmet olabilir.

Varsayılan olarak, sağlanan abonelik anahtarlarını kullanarak Azure AI hizmetlerine yönelik kendi çağrılarınızın kimliğini doğrularsınız; bu en basit yöntemdir ancak en güvenli yöntem değildir. En güvenli kimlik doğrulama yöntemi, Microsoft Entra Id'de yönetilen rolleri kullanmaktır. Bu ve diğer kimlik doğrulama seçenekleri hakkında bilgi edinmek için bkz . Azure yapay zeka hizmetlerine yönelik isteklerin kimliğini doğrulama.
Anahtar döndürme Her Azure AI hizmetleri kaynağında gizli dizi döndürmeyi etkinleştirmek için iki API anahtarı vardır. Bu, hizmetinize erişebilecek anahtarları düzenli olarak değiştirmenize ve bir anahtarın sızdırılması durumunda hizmetinizin gizliliğini korumanıza olanak tanıyan bir güvenlik önlemidir. Bu ve diğer kimlik doğrulama seçenekleri hakkında bilgi edinmek için bkz . Anahtarları döndürme.
Ortam değişkenleri Ortam değişkenleri, belirli bir geliştirme ortamında depolanan ad-değer çiftleridir. Kimlik bilgilerinizi kodunuzda sabit kodlanmış değerleri kullanmaya daha güvenli bir alternatif olarak bu şekilde depolayabilirsiniz. Ancak ortamınız tehlikeye girerse ortam değişkenleri de tehlikeye girer, bu nedenle en güvenli yaklaşım bu değildir.

Kodunuzda ortam değişkenlerini kullanma yönergeleri için Ortam değişkenleri kılavuzuna bakın.
Müşteri tarafından yönetilen anahtarlar (CMK) Bu özellik, bekleyen müşteri verilerini (48 saatten uzun) depolayan hizmetler içindir. Bu veriler Azure sunucularında zaten çift şifrelenmiş olsa da, kullanıcılar kendi yönettiği anahtarlarla başka bir şifreleme katmanı ekleyerek ek güvenlik elde edebilir. Hizmetinizi Azure Key Vault'a bağlayabilir ve veri şifreleme anahtarlarınızı buradan yönetebilirsiniz.

CMK yalnızca bazı hizmetler tarafından kullanılabilir; Müşteri tarafından yönetilen anahtarlar sayfasında hizmetinizi arayın.
Sanal ağlar Sanal ağlar, hangi uç noktaların kaynağınıza API çağrıları yapabileceklerini belirtmenize olanak sağlar. Azure hizmeti, ağınızın dışındaki cihazlardan yapılan API çağrılarını reddeder. İzin verilen ağın formül tabanlı tanımını ayarlayabilir veya izin vermek için kapsamlı bir uç nokta listesi tanımlayabilirsiniz. Bu, başkalarıyla birlikte kullanılabilecek başka bir güvenlik katmanıdır.
Veri kaybı önleme Veri kaybı önleme özelliği, yöneticinin Azure kaynaklarının giriş olarak ne tür URI'ler alabileceğini (URI'leri giriş olarak alan API çağrıları için) belirlemesine olanak tanır. Bu, hassas şirket verilerinin olası sızdırmasını önlemek için yapılabilir: Bir şirket hassas bilgileri (müşterinin özel verileri gibi) URL parametrelerinde depolarsa, söz konusu şirketin içindeki kötü bir aktör hassas URL'leri bir Azure hizmetine gönderebilir ve bu da söz konusu verileri şirket dışından ortaya çıkarabilir. Veri kaybı önleme, hizmeti vardığınızda belirli URI formlarını reddedecek şekilde yapılandırmanıza olanak tanır.
Müşteri Kasası Müşteri Kasası özelliği, müşterilerin veri erişim isteklerini gözden geçirmesi ve onaylaması veya reddetmesi için bir arabirim sağlar. Bir Microsoft mühendisinin destek isteği sırasında müşteri verilerine erişmesi gerektiğinde kullanılır. Müşteri Kasası isteklerinin nasıl başlatıldığı, izlendiği ve daha sonraki gözden geçirmeler ve denetimler için nasıl depolandığı hakkında bilgi için Müşteri Kasası kılavuzuna bakın.

Müşteri Kasası aşağıdaki hizmetler için kullanılabilir:
  • Azure OpenAI
  • Çeviri
  • Konuşma dilini anlama
  • Özel metin sınıflandırması
  • Özel adlandırılmış varlık tanıma
  • Düzenleme iş akışı
Kendi depolama alanınızı getirin (KCG) Konuşma hizmeti şu anda Müşteri Kasası'nı desteklemez. Ancak, hizmete özgü verilerinizin kendi depolama kaynağınızda depolanmasını kendi depolama alanınızı getir (BYOS) kullanarak düzenleyebilirsiniz. BYOS, Müşteri Kasası ile benzer veri denetimleri elde etmenizi sağlar. Konuşma hizmeti verilerinin Konuşma kaynağının oluşturulduğu Azure bölgesinde kaldığını ve işlendiğini unutmayın. Bu, bekleyen veriler ve aktarımdaki veriler için geçerlidir. Özel Konuşma ve Özel Ses gibi özelleştirme özellikleri için tüm müşteri verileri Konuşma hizmeti kaynağının ve KCG kaynağının (kullanılıyorsa) bulunduğu bölgede aktarılır, depolanır ve işlenir.

KAG'yi Konuşma ile kullanmak için Bekleyen verilerin konuşma şifrelemesi kılavuzunu izleyin.

Microsoft, konuşma modellerini geliştirmek için müşteri verilerini kullanmaz. Ayrıca uç nokta günlüğü devre dışı bırakılırsa ve özelleştirme kullanılmazsa Konuşma tarafından hiçbir müşteri verisi depolanmaz.

Sonraki adımlar

  • Azure yapay zeka hizmetlerini keşfedin ve başlamak için bir hizmet seçin.