Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Azure AI Search hizmetinin korunmasına yardımcı olmak amacıyla en iyi güvenlik uygulamalarını sunar. Bu müşteri tarafından yapılandırılabilir güvenlik denetimlerini uygulamak sizin sorumluluğundadır. Microsoft'un ağ mimarisi, şifreleme ve uyumluluk sertifikaları gibi yerleşik korumaları hakkında bilgi için bkz. Data, gizlilik ve Azure AI Search'da yerleşik korumalar.
Çözüm mimarı olarak üç etki alanı arasında güvenlik denetimleri yapılandırmanız gerekir:
- Network security: Arama hizmetinizin gelen ve giden trafiğini denetleyin.
- Kimlik Doğrulama ve Yetkilendirme: Arama hizmetinize ve verilerinize kimlerin, nasıl ve nelerin erişim sağlayabileceğini tanımlayın.
- Data protection: Şifreleme, erişim denetimleri ve izleme uygulayın.
Bu makaledeki güvenlik önerileri Sıfır Güven ilkelerini uygular: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Kapsamlı Sıfır Güven kılavuzu için bkz. Sıfır Güven Kılavuzu Merkezi.
Ağ trafiği desenlerini anlama
Ağ güvenliğini yapılandırmadan önce, Azure AI Search'deki üç ağ trafiği desenini anlayın:
Inbound traffic: sorgular, dizin oluşturma ve yönetim işlemleri gibi arama hizmetinize istemcilerden gelen istekler. Bu trafik müşteriler tarafından yapılandırılabilir.
Outbound traffic: Arama hizmetinizden veri kaynaklarına, vektörleştiricilere ve özel becerilere bağlanan dizinleyiciler gibi dış kaynaklara yapılan istekler. Bu trafik müşteriler tarafından yapılandırılabilir.
İç trafik: Microsoft omurga ağı üzerinden hizmetler arası çağrılar. Bu trafik Microsoft tarafından yönetilir ve müşteriler tarafından yapılandırılamaz. Daha fazla bilgi için bkz. İç trafik koruması.
Ağ güvenliğini yapılandırma
Gelen erişimi arama hizmetine kısıtlamak için aşağıdaki yaklaşımlardan birini kullanın. Bu yaklaşımlar en az güvenliden en güvenliye doğru listelenir:
IP güvenlik duvarı kuralları oluşturma
Yalnızca belirli IP adreslerinden veya adres aralıklarından gelen istekleri kabul etmek için gelen güvenlik duvarı kuralları oluşturun. Tüm istemci bağlantıları izin verilen bir IP adresi üzerinden yapılmalıdır. Aksi takdirde, bağlantı reddedilir.
Ne zaman kullanılır: Erişimi bilinen IP adresleriyle kısıtlamanız gereken temel koruma senaryoları.
Nasıl başlayacağınız: Azure AI Search için ağ erişimini ve güvenlik duvarı kurallarını yapılandırmayı inceleyin.
Özel uç nokta oluşturma
Azure AI Search için, bir sanal ağ üzerindeki istemcilerin Private Link aracılığıyla bir arama dizinindeki verilere güvenli bir şekilde erişmesi için özel bir uç nokta oluşturun. Özel uç nokta, virtual network adres alanınızdan bir IP adresi kullanır.
İstemci ile arama servisi arasındaki ağ trafiği, Microsoft omurga ağında sanal ağ ve özel bağlantı üzerinden geçerek genel İnternet'ten etkilenmeyi ortadan kaldırır.
Ne zaman kullanılır: Genel İnternet'ten tam ağ yalıtımı gerektiren yüksek güvenlikli senaryolar.
Nasıl başlanır: Bkz. Azure AI Search için bir özel uç nokta oluşturma.
Ağ güvenlik çevresine katılma
Mantıksal bir ağ sınırı oluşturmak için sanal ağ dışında dağıtılan Platform hizmeti (PaaS) kaynaklarınızın çevresinde bir ağ güvenlik çevresi oluşturun. Bu, açık erişim kuralları aracılığıyla genel ağ erişimini denetleyen bir çevre oluşturur.
Gelen istemci bağlantıları ve hizmet-hizmet bağlantıları sınır içinde gerçekleşir, bu da yetkisiz erişime karşı savunmayı basitleştirir. Azure AI Search'da, çözümlerin birden çok Azure kaynağı kullanması yaygın olarak kullanılır.
Ne zaman kullanılır: Eşgüdümlü ağ sınırı koruması gerektiren birden çok Azure PaaS kaynağı kullanan çözümler.
Nasıl başlanır:
Ağ güvenlik çevresine Azure AI Search'i katma işlemine başlayın. Bkz. Ağ güvenlik çevresine arama hizmeti ekleme.
Azure OpenAI, Azure Storage ve Azure İzleyici gibi ilgili hizmetleri aynı çevresine ekleyin.
Kimlik doğrulama ve yetkilendirmeyi yapılandırma
Azure AI Search iki kimlik doğrulama yaklaşımını destekler. Bir yaklaşımı kullanabilir ve diğerini devre dışı bırakabilir veya her ikisini de uygun denetimlerle kullanabilirsiniz.
(Önerilen) Rol tabanlı erişim kontrolü etkinleştirme
Microsoft Entra kimlik doğrulamasını, kimliği doğrulanmış kimlik olarak çağıranı değil isteği belirlemek için kullanın. Azure rol atamaları yetkilendirmeyi belirler, merkezi kimlik yönetimi, koşullu access ilkeleri ve kapsamlı denetim izleri sağlar.
Rol tabanlı access control iş akışı şöyledir:
Rol tabanlı erişim kontrolünü etkinleştir: Arama hizmetinizi API anahtarlarının yerine (veya buna ek olarak) Microsoft Entra ID kimlik doğrulamasını kabul edecek şekilde yapılandırın. Azure AI Search'te rol tabanlı erişim kontrolünü etkinleştirme veya devre dışı bırakma bölümüne bakın.
Rolleri kullanıcılara ve gruplara atayın: Dizinleri kimlerin yönetebileceğini ve sorgulayabileceğini kontrol etmek için yerleşik rolleri (Arama Servisi Katkıda Bulunan, Arama Dizini Veri Katkıda Bulunanı ve Arama Dizini Veri Okuyucusu) kullanarak en az ayrıcalıklı erişim verin. Bkz. Roller kullanarak Azure AI Search'e bağlanma.
Bkz. Uygulamanızı kimlikleri kullanarak Azure AI Search bağlama.
API anahtarı kimlik doğrulamayı yapılandırma
Anahtar tabanlı kimlik doğrulamasında, her isteğin güvenilir bir kaynaktan geldiğini kanıtlamak için bir yönetici veya sorgu API anahtarı içermesi gerekir. Bu yaklaşım geliştirme ortamları, mevcut uygulamalarla geriye dönük uyumluluk veya Microsoft Entra ID kullanılamadığı senaryolar için uygundur.
Anahtar tabanlı kimlik doğrulaması için iş akışı:
Her istekte bir API anahtarı sağlayın: Yönetici anahtarları tüm işlemlere tam access verir. Sorgu anahtarları, bir dizinin belge koleksiyonuna salt okunur erişim verir. Bkz Azure AI Search'e anahtarları kullanarak bağlanma.
Yönetici anahtarlarını bir zamanlamaya göre döndürme: Yönetici anahtarlarını düzenli olarak yeniden oluşturarak anahtar güvenliğinin aşılmasına neden olan riski azaltın. Arama hizmetleri, sıfır kesinti süresi ile döngü için iki yönetici anahtarını destekler. Bkz. Yönetici anahtarlarını yeniden oluşturma.
Kontrol düzlemi işlemlerini yetkilendirme
Kontrol düzlemi işlemleri (hizmet oluşturma, yapılandırma ve silme) tüm Azure hizmetlerinde kullanılan aynı model olan Azure Resource Manager rol tabanlı access control aracılığıyla yetkilendirilir. API anahtarları denetim düzlemi işlemleri için geçerli değildir. Üç yerleşik Azure rolü erişimi düzenler:
| Rol | Permissions |
|---|---|
| Sahibi | Tam kontrol, erişim yönetimi de dahil olmak üzere. |
| Katılımcı | Erişim yönetimi dışında, tam kontrol. |
| Okuyucu | Yalnızca görüntüleme erişimi. |
Denetim düzlemi işlemlerini yetkilendirme iş akışı şöyle ilerler:
Yönetici rolleri atayın: En az ayrıcalıklı erişim sağlamak ve arama hizmetlerini kimlerin oluşturup yapılandırabileceğini veya silebileceğini denetlemek için yerleşik Azure rollerini (Sahip, Katkıda Bulunan ve Okuyucu) kullanın. Hizmet yönetimi için rol atama bölümüne bakın.
Kaynak kilitlerini uygulayın: Üretim arama hizmetlerinin yanlışlıkla silinmesini önlemek için
CanNotDeleteveyaReadOnlykilitleri uygulayın. Altyapınızı korumak için bkz.>Azure kaynaklarınızı kilitleme.
Veri düzlemi işlemlerini yetkilendirme
Veri düzlemi işlemleri, dizin oluşturma, belge yükleme ve sorgular gibi arama hizmetinde barındırılan içeriği hedefler. Yetkilendirme, rol tabanlı erişim kontrolü, API anahtarları veya her ikisi aracılığıyla sağlanabilir. Yapılandırma adımları için role tabanlı access control ve API anahtar kimlik doğrulaması ile ilgili önceki bölümlere bakın.
Tek tek dizinlere access verme
Özel rol tanımları oluşturarak kullanıcı erişimini bireysel dizinlere kısıtlayın. Bu yaklaşım, her kiracının verilerinin dizin düzeyinde yalıtılması gereken çok kiracılı senaryolar için önemlidir. Tek bir dizine erişim izni vermek için bkz. Erişim izni ver.
Dizin düzeyinde güvenlik sınırları gerektiren çözümler için, çok kiracılı SaaS uygulamaları ve Azure AI Search için tasarım desenleri bölümüne bakın.
Uyarı
API anahtarları yalnızca hizmet düzeyi access sağlar. admin anahtarı olan herkes search service herhangi bir dizini okuyabilir, değiştirebilir veya silebilir. Dizin düzeyinde yalıtım için rol tabanlı access control kullanın veya uygulamanızın orta katmanında yalıtım uygulayın.
Giden bağlantıları yapılandırma
Giden istekler, genellikle dizin oluşturucular, özel beceriler ve vektörleştiriciler tarafından diğer uygulamalara yönelik olarak bir arama hizmetinden kaynaklanır. Bu bağlantıları güvenli kimlik doğrulaması ve ağ access kullanacak şekilde yapılandırın.
(Önerilen) Yönetilen kimlik kullanma
Kimlik bilgilerini kodunuzda depolamadan diğer Azure kaynaklarında kimlik doğrulaması yapmak için search service için yönetilen bir kimlik oluşturun. Yönetilen kimlik, bağlantı dizelerini kimlik bilgileriyle depolama ve döndürme gereksinimini ortadan kaldırır.
Yönetilen kimlik kullanmaya yönelik iş akışı:
Arama hizmeti için yönetilen kimlik yapılandırın: Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlik arasında seçim yapın. Bkz. Yönetilen kimlik kullanarak bağlanmak için bir arama hizmetini yapılandırma.
Yönetilen kimliği kullanarak dış kaynaklara bağlanma: Desteklenen bağlantılar arasında Azure Storage, Azure Cosmos DB, Azure SQL Database, SQL Managed Instance ve Azure Functions.
Harici verilere güvenli erişim
Dış kaynakların nasıl korunduğuna bağlı olarak güvenli bağlantıları yapılandırın:
Arama hizmeti için güvenlik duvarı istisnaları oluşturun: Dizinleyici trafiğine veri kaynağı güvenlik duvarlarından izin vermek için arama hizmetinin giden IP adreslerini izin listesine ekleyin. Bkz. Azure AI Search dizin oluşturucu bağlantılarına izin vermek için IP güvenlik duvarı kurallarını yapılandırma.
Paylaşılan özel bağlantılar oluşturun: Dizin oluşturucuları trafiği genel İnternet'e göstermeden Azure Private Link tarafından korunan veri kaynaklarına bağlayın. Bkz.
Paylaşılan bir özel bağlantı aracılığıyla dış bağlantılar oluşturma. Aynı bölge depolama için güvenilen hizmet özel durumunu kullanın: Dizin oluşturucu erişimini güvenlik duvarı yapılandırması olmadan aynı bölgedeki güvenli Azure Storage hesaplarında etkinleştirmek için. Bkz. Güvenilen hizmet olarak Azure Storage dizin oluşturucu bağlantılarını oluşturma.
Kaynak örneği kurallarını yapılandırın: Ağ kurallarıyla korunan Azure Storage hesaplarına belirli arama hizmetlerine erişim izni verin. Bakınız Azure kaynak örneklerinden erişim verin.
SQL Managed Instance özel uç noktalarına bağlan: Ağ yalıtımını sürdürürken özel uç noktalar aracılığıyla SQL Managed Instance veritabanlarına erişin. Azure AI Search'ten bir SQL yönetilen örneği için paylaşılan özel bağlantı oluşturma kısmına bakın.
Tavsiye
Azure Storage ve Azure AI Search aynı bölgedeyse, ağ trafiği otomatik olarak Microsoft omurga ağı üzerinden özel bir IP adresi üzerinden yönlendirilir ve bu da güvenlik duvarı yapılandırması gereksinimini ortadan kaldırır. Daha fazla bilgi için bkz. Same-region Azure Storage ve Azure AI Search.
Dış yapay zeka işleme için güvenli bağlantılar
Yapay zeka zenginleştirmesi ve vektörleştirmesi için giden istekler özel olarak dikkate alınmalıdır:
| Operation | Konfigürasyon |
|---|---|
| Veri kaynaklarına bağlanan dizin oluşturucular | Dış verilere güvenli erişim |
| Dış kodu çağıran özel beceriler | Azure Functions, web apps veya diğer konaklara güvenli bağlantılar. |
| Dizin oluşturma sırasında vektörleştirme | Azure OpenAI veya özel ekleme modellerine bağlanın. |
| Azure Key Vault | customer tarafından yönetilen şifreleme anahtarları için Azure Key Vault bağlanın. |
İstemci uygulamanızın bir sohbet tamamlama modelini çağırdığı temel veri alma-üretim (RAG) desenleri için, bağlantı, arama hizmeti kimliğini değil, istemci veya kullanıcı kimliğini kullanır. Bilgi tabanlarını kullanarak aracılı alma işlemi için, giden istek yönetilen kimlik tarafından yönetilen arama hizmeti aracılığıyla yapılır.
Belge düzeyinde erişim kontrolünü uygulayın
Satır düzeyi güvenlik olarak da bilinen belge düzeyi erişim denetimi, kullanıcının kimliğine göre hangi belgeleri alabileceğini kısıtlar. İzin meta verileri dizin oluşturma sırasında yakalanır ve sorgu zamanında zorlanır. Belge düzeyinde yetkilendirme denetimleri gerektiren otonom yapay zeka sistemleri, RAG uygulamaları ve kurumsal arama çözümleri için bu gereklidir. Desteklenen tüm yaklaşımlara kapsamlı bir genel bakış için bkz . Belge düzeyi erişim denetimi.
POSIX benzeri ACL ve RBAC kapsamlarını kullanma (önizleme)
Azure Data Lake Storage (ADLS) 2. Nesil içeriği için, alma sırasında POSIX benzeri ACL izinlerini ve RBAC kapsamlarını korumak için dizin oluşturucuları veya bilgi kaynaklarını yapılandırın. Sorgu zamanında sonuçlar, çağıranın Microsoft Entra belirtecini temel alarak filtrelenir. Daha fazla bilgi için bkz. ADLS 2. Nesil izin meta verilerini dizine alma.
Microsoft 365 ACL'lerinde SharePoint kullanma (önizleme)
Alma sırasında belge izinlerini doğrudan SharePoint ACL'lerinden ayıklamak için Microsoft 365 dizin oluşturucusunda SharePoint'i yapılandırın. Sorgu zamanında sonuçlar, çağıranın Microsoft Entra belirtecini temel alarak filtrelenir. Bu önizleme sırasında, ACL'ler yalnızca ilk dizin oluşturma sırasında yakalanır, bu nedenle eski erişimi önlemek için kaynak izinleri değişirse etkilenen belgeleri yeniden dizine almalısınız. Daha fazla bilgi için bkz. SharePoint izin meta verilerini dizine ekleme.
Duyarlılık etiketlerini kullanma (önizleme)
Dizinleme esnasında Microsoft Purview duyarlılık etiketlerini otomatik olarak algılamak için bir dizin oluşturucu yapılandırın ve sorgular yürütülürken etiket tabanlı erişim denetimleri uygulayın. Bu özellik, Azure AI Arama yetkilendirmesini kuruluşunuzun Microsoft Information Protection modeliyle uyumlu hale getirir. Daha fazla bilgi için Microsoft Purview duyarlılık etiketleri dizinine bakın.
Güvenlik filtrelerini kullanma
Yerel ACL tümleştirmenin uygun olmadığı senaryolarda, kullanıcı veya grup kimliklerine göre sonuçları kırpmak için güvenlik filtreleri uygulayın. Kimlik bilgilerini dizininizdeki bir dize alanında depolayın ve ardından eşleşmeyen belgeleri dışlamak için sorgu zamanında çağıranın kimliğini filtre dizesi olarak geçirin. Bu yaklaşım özel erişim modelleriyle veya Microsoft dışı güvenlik çerçeveleriyle çalışır. Daha fazla bilgi için Kırpma Sonuçları İçin Güvenlik Filtreleri bölümüne bakın.
Veri şifrelemeyi yapılandırma
Azure AI Search, Microsoft tarafından yönetilen anahtarları kullanarak tüm verileri otomatik olarak şifreler. Yerleşik şifreleme hakkında bilgi için bkz. Veri şifreleme.
Gelişmiş veri koruması için aşağıdaki şifreleme denetimlerini uygulayabilirsiniz.
(İsteğe bağlı) Müşteri tarafından yönetilen anahtar şifrelemesi ekleme
Azure Key Vault kendi şifreleme anahtarlarınızı yöneterek dizinler ve eş anlamlı eşlemeler için ek bir şifreleme katmanı ekleyin. Müşteri tarafından yönetilen anahtarlar (CMK), şifreleme anahtarları veya anahtar iptal özellikleri üzerinde müşteri denetimine sahip uyumluluk gereksinimleri olan kuruluşlara yöneliktir. Bkz. Azure AI Search veri şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma.
Aşağıdaki seçenekleri de yapılandırabilirsiniz:
Kiracılar arası CMK yapılandırın: Anahtarların farklı bir Microsoft Entra kiracısında depolandığı arama hizmeti çok kiracılı senaryoları destekler. Bkz. Farklı kiracılarda müşteri tarafından yönetilen anahtarları yapılandırma.
Şifrelenmiş nesneleri bulma: Hangi dizinlerin ve eş anlamlı eşlemelerin CMK şifrelemesi kullandığını belirleyin. Bkz. Şifrelenmiş nesneleri ve bilgileri bulma.
Önemli
- CMK şifrelemesi dizin boyutunu artırır ve sorgu performansını 30-60%düşürebilir. Yalnızca bunu gerektiren dizinler için etkinleştirin.
- Geçici disklerde CMK için 13 Mayıs 2021'dan sonra oluşturulan hizmetler gerekir. Önceki hizmetler yalnızca veri disklerinde CMK'ı destekler.
Şifrelenmiş blob içeriğini dizine alma
Azure Blob Storage'da dinlenme sırasında şifrelenmiş içeriği işlemek için bir dizin oluşturucu yapılandırın; bu, arama dizininin CMK şifrelemesinden ayrıdır. Bkz. Tutorial: Şifrelenmiş blobları dizine alma ve zenginleştirme.
(İsteğe bağlı) Gizli bilgi işlemi etkinleştirme
Gizli bilgi işlem, kullanılmakta olan verileri, donanım kanıtlama ve şifreleme yoluyla, Microsoft'tan gelenler de dahil olmak üzere yetkisiz erişime karşı korur. Bu işlem türü yalnızca hizmet oluşturma sırasında yapılandırılabilir. Bkz. İşlem türü seçme.
Yalnızca uyumluluk veya mevzuat gereksinimleri kullanımdaki verilerin korunmasını gerektiren kuruluşlar için gizli bilgi işlem yapmanızı öneririz. Günlük kullanım için varsayılan işlem türü yeterlidir.
| İşlem türü | Description | Sınırlamalar | Maliyet | Availability |
|---|---|---|---|---|
| Varsayılan | Beklemedeki ve aktarım hâlindeki veriler için yerleşik şifrelemeye sahip standart VM'ler. Kullanımdaki veriler için donanım tabanlı yalıtım yoktur. | Sınırlama yoktur. | Ücretsiz veya faturalanabilir katmanların temel maliyetinde değişiklik yoktur. | Tüm bölgelerde kullanılabilir. |
| Confidential | Donanım tabanlı güvenilen yürütme ortamındaki gizli VM'ler (DCasv5 veya DCesv5). Hesaplamaları ve belleği konak işletim sisteminden ve diğer VM'lerden ayırır. | Etmenik alma, anlamsal dereceleyici, sorgu yeniden yazma, beceri kümesi yürütme ve dizin oluşturucuları çok kiracılı ortamda devre dışı bırakır veya kısıtlar1. | Faturalanabilir katmanların temel maliyetine 10% ek ücret ekler. Daha fazla bilgi için pricing sayfasına bakın. | Bazı bölgelerde kullanılabilir. Daha fazla bilgi için desteklenen bölgelerin listesine bakın. |
1 Bu işlem türünü etkinleştirdiğinizde, dizin oluşturucular yalnızca özel yürütme ortamında çalışabilir, yani gizli bilgi işlemde barındırılan arama kümelerinden çalıştırılırlar.
İzlemeyi ve günlüğe kaydetmeyi etkinleştirme
Arama servisi için günlüğe kaydetmeyi ve izlemeyi etkinleştirerek işlemleri izleyin, anomalileri algılayın ve güvenlik denetimlerine destek verin. Azure AI Search tarafından varsayılan olarak hangi log'ların kayıt altına alındığı hakkında bilgi için bkz. Veri kaydı.
Tanılama günlüğünü etkinleştir: Azure İzleyici'ye, Event Hubs'a veya Azure Storage günlükleri göndererek güvenlik denetimleri ve anomali algılama işlemlerini yakalayın. Bkz. Azure AI Search için tanılama günlüğünü yapılandırma.
Sorguları izleme: Arama sorgusu etkinliğini, gecikme süresini ve kısıtlamayı izleyerek alışılmadık desenleri algılayın. Bkz. Azure AI Search'te sorgu isteklerini izleme.
Dizin oluşturucu işlemlerini izleme: Dizin oluşturma etkinliğini, hataları ve veri yenileme işlemlerini izleyin. Bkz. Azure AI Search'te dizin oluşturucu durumu ve sonuçları izleyin.
Anormal etkinlik için uyarıları yapılandırın: Sorgu hacmindeki ani artışlar, başarısız kimlik doğrulama girişimleri ve olağan dışı access desenleri için uyarı kuralları oluşturun. Bkz. Ölçüm uyarısı kuralı oluşturma veya düzenleme.
Power BI kullanarak günlükleri görselleştirin: search service etkinliğini analiz etmek ve güvenlik eğilimlerini belirlemek için panolar oluşturun. Bkz. Azure AI Search günlüklerini ve ölçümlerini Power BI ile görselleştirme.
Uyumluluğu koruma
Azure AI Search uyumluluk sertifikaları ve paylaşılan sorumluluk modeli hakkında bilgi için bkz. Compliance and certifications.
Azure Policy kullanmak
Yerleşik ilke tanımlarını görüntüleyin: Tanılama günlüğü ve özel uç nokta kullanımı gibi güvenlik yapılandırmalarını denetlemek ve zorunlu kılmak için Azure Policy kullanın. Azure AI Search için Azure Policy Mevzuat Uyumluluğu denetimlerine bakın.
Kaynak günlüğü ilkesini atayın: Tanılama günlüğünün eksik olduğu arama hizmetlerini otomatik olarak belirleyin ve yapılandırmayı düzeltin. Bkz. Azure Policy genel bakış.
Özel ilkeler oluşturma: Kuruluşa özgü güvenlik gereksinimlerini tanımlayın ve bunları tüm arama hizmetlerinde zorunlu kılın. Bkz. Tutorial: Özel ilke tanımı oluşturma.
Kaynak etiketlerini uygulama
Gelişmiş idare için arama hizmetlerini ortama, veri duyarlılığına, maliyet merkezine veya uyumluluk gereksinimlerine göre kategorilere ayırmak için kaynak etiketleri uygulayın. Bkz. Azure kaynaklarınızı ve yönetim hiyerarşinizi düzenlemek için etiketleri kullanma.
Güvenlik denetim listesi
Uygun güvenlik denetimlerini yapılandırdığınızdan emin olmak için bu denetim listesini kullanın:
Ağ güvenliği:
- [ ] Yapılandırılmış IP güvenlik duvarı kuralları, özel uç nokta veya ağ güvenlik çevresi
- [ ] Belirli istemci veya ağlara erişim sınırlı bir şekilde sağlanır.
- [ ] Yönetilen kimlikleri kullanarak güvenli giden bağlantılar yapılandırıldı
Kimlik doğrulaması ve yetkilendirme:
- [ ] Etkin rol tabanlı erişim kontrolü
- [ ] Kullanıcılara ve uygulamalara uygun roller atandı
- [ ] Yönetici anahtar dönüşüm zamanlaması uygulandı (anahtarlar kullanılıyorsa)
- [ ] Dizin düzeyi izinleri yapılandırıldı (gerekirse)
Veri koruması:
- [ ] Belge düzeyi erişim denetimi yapılandırıldı (gerekirse):
- [ ] ADLS 2. Nesil içeriği için POSIX benzeri ACL'ler
- [ ] Microsoft 365 ACL'lerinde SharePoint
- [ ] Microsoft Purview duyarlılık etiketleri
- [ ] Özel senaryolar için güvenlik filtreleri
- [ ] CMK şifrelemesi uygulandı (gerekirse)
- [ ] Değerlendirilen gizli bilgi işlem gereksinimleri (varsa)
İzleme ve uyumluluk:
- [ ] Tanılama günlüğü etkinleştirildi
- [ ] Anormal etkinliği tanımlamak için izleme ve uyarılar ayarlama
- [ ] İdare için uygulanan kaynak etiketleri
- [ ] Kaynak günlüğü için atanan Azure İlkesi
- [ ] Gereksinimlere karşı uyumluluk sertifikaları gözden geçirildi
İlgili içerik
- Azure AI Search'te Veri, gizlilik ve entegre korumalar
- Azure güvenlikle ilgili temel bilgiler
- Bulutta paylaşılan sorumluluk