Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure AI Search, Microsoft'un otomatik olarak yönettiği güvenlik korumalarını içerir ve müşterilerden hiçbir işlem gerektirmez. Microsoft'un neleri işlediğini anlamak, güvenlik çalışmalarınızı sorumlu olduğunuz denetimlere ve yapılandırmalara odaklamanıza yardımcı olur.
Bu makale, Microsoft'un ağ mimarisi, şifreleme (aktarımda, kullanımda ve beklemede), veri yerleşimi, gizlilik garantileri ve uyumluluk sertifikaları gibi yerleşik korumalarını kapsar. Yapılandırmanız gereken en iyi güvenlik uygulamaları için bkz. Azure AI Search hizmetinin güvenliğini sağlama.
Microsoft'un otomatik olarak yönettiği şeyler
Azure AI Search, ağ, veri ve hizmet işlemleri arasında kapsamlı yerleşik güvenlik korumaları sağlar. Bu özellikler varsayılan olarak etkindir ve yapılandırma gerektirmez:
Aktarım Katmanı Güvenliği (TLS):Tüm bağlantılar aktarım sırasında şifreleme için TLS 1.2 veya 1.3 kullanır.
Hizmet tarafından yönetilen şifreleme: Bekleyen veriler 256 bit Gelişmiş Şifreleme Standardı (AES) şifrelemesi kullanılarak şifrelenir.
İç ağ güvenliği: Hizmet-hizmet çağrıları güvenli Microsoft omurga ağı üzerinden gerçekleştirilir.
Uyumluluk sertifikaları: Azure AI Search, küresel, bölgesel ve sektöre özgü standartlara yönelik sertifikaları korur.
İşletimsel güvenlik: Microsoft altyapı güvenliğini, düzeltme ekini ve hizmet güncelleştirmelerini yönetir.
Ağ güvenlik mimarisi
Azure AI Search, arama hizmetinize gelen, gelen ve içindeki trafiği korumak için Microsoft'un güvenli ağ altyapısını kullanır
İç trafik koruması
Microsoft, iç isteklerin güvenliğini sağlar ve yönetir. Bu bağlantıları yapılandıramaz veya denetleyemezsiniz. İç trafik genel ağlardan yalıtılır ve Microsoft'un güvenlik altyapısı tarafından korunur.
İç trafik şunları içerir:
Hizmetten hizmete kimlik doğrulaması ve yetkilendirme: Microsoft Entra Kimliği aracılığıyla yapılan çağrılar, Azure İzleyici'ye gönderilen kaynak günlüğü ve Azure Özel Bağlantı kullanan özel uç nokta bağlantıları .
Yerleşik beceri işleme: Azure AI Search tarafından yalnızca yerleşik beceri işlemesi için kullanılan içeride barındırılan bir Microsoft Foundry kaynağına yönlendirilen aynı bölge istekleri.
Anlam derecelendirmesi: Anlam sıralamasınıdestekleyen modellere yapılan istekler.
Aktarım Katmanı Güvenliği (TLS)
Azure AI Search tüm bağlantılar için TLS 1.2 veya 1.3'i zorunlu kıldı. TLS 1.3, yeni sistemler için varsayılan değerdir. Önceki TLS sürümleri (1.0 ve 1.1) desteklenmez.
Tüm uç noktalar 443 numaralı bağlantı noktasında HTTPS gerektirir. İstemci sistemleri TLS 1.2 veya üzerini desteklemelidir. Uygulama kılavuzu için bkz:
Aynı bölgeye ait Azure Depolama ve Azure AI Arama
Azure Depolama ve Azure AI Search aynı bölgedeyse, ağ trafiği özel bir IP adresi üzerinden yönlendirilir ve Microsoft omurga ağı üzerinden gerçekleşir. Özel IP adresleri kullanıldığından, bu bağlantılar için depolama hesabında ağ güvenliği için IP güvenlik duvarları veya özel uç nokta yapılandıramazsınız.
Bu aynı bölge iyileştirmesi, ağ yalıtımı aracılığıyla güvenliği korurken yüksek performans ve düşük gecikme süresi sağlar. Trafik hiçbir zaman Microsoft ağ altyapısından ayrılmaz.
Veri şifreleme
Azure AI Search, tüm müşteri verilerini birden çok katmanda otomatik olarak şifreler.
Aktarım halindeki veriler
Azure AI Search'e ve Azure AI Search'ten iletilen tüm veriler TLS 1.2 veya üzeri kullanılarak şifrelenir. Bu veriler şunları içerir:
- Arama hizmeti uç noktasına istemci uygulaması istekleri
- Arama hizmetinden istemci uygulamalarına yanıtlar
- Dizin yönetimi, sorgu işlemleri ve dizin oluşturma için API istekleri
Aktarımdaki veriler, istemcinizle arama hizmeti arasında uçtan uca korunur. İç hizmet-hizmet iletişimi için şifreleme, Microsoft omurga ağı üzerinden gerçekleşir.
Kullanımdaki veriler
Varsayılan olarak, Azure AI Search arama hizmetinizi standart Azure altyapısına dağıtır. Bu altyapı bekleyen ve aktarımdaki verileri şifreler, ancak bellekte etkin bir şekilde işlenirken verileri korumaz.
Azure AI Search, kullanımdaki verilerin donanım tabanlı korunmasını gerektiren senaryolar için gizli bilgi işlem sunar. Bu işlem türü sınırlı bölgesel kullanılabilirliğe sahiptir, belirli özellikleri devre dışı bırakır veya kısıtlar ve arama hizmetinizi çalıştırma maliyetini artırır. Daha fazla bilgi için bkz. (İsteğe bağlı) Gizli bilgi işlemi etkinleştirme.
Bekleme durumundaki veriler
Azure AI Search, Microsoft tarafından yönetilen anahtarlarla 256 bit AES şifrelemesini kullanarak bekleyen tüm verileri otomatik olarak şifreler. Bu, hem veri disklerindeki hem de geçici disklerdeki dizinler, eş anlamlı eşlemeler ve nesne tanımları (dizin oluşturucular, veri kaynakları ve beceri kümeleri) için geçerlidir. Daha fazla bilgi için bkz. Durumda Azure şifrelemesi.
Hizmet tarafından yönetilen şifreleme:
- Yerleşik ve otomatiktir (yapılandırma gerekmez)
- Tüm bölgelerdeki tüm fiyatlandırma katmanlarında kullanılabilir
- FIPS 140-2 uyumlu şifreleme kullanır
Müşteri tarafından yönetilen anahtarları (CMK) kendi şifreleme anahtarlarınızı yönetmek için yapılandırabilirsiniz. CMK, hizmet tarafından yönetilen şifrelemenin üzerine ikinci bir şifreleme katmanı ekler. Daha fazla bilgi için bkz. (İsteğe bağlı) Müşteri tarafından yönetilen anahtar şifrelemesi ekleme.
Veri yerleşimi
Arama hizmeti oluşturduğunuzda, Azure coğrafyası içinde bir bölge seçersiniz. Azure AI Search verilerinizi bu coğrafyada depolar ve işler, ancak Microsoft yüksek kullanılabilirlik için verileri aynı coğrafyadaki diğer bölgelere çoğaltabilir. Bunun istisnası, verilerin bölge içinde kaldığı Güney Brezilya'dır.
Farklı bir bölgede Azure Depolama'ya (zenginleştirme önbelleği, hata ayıklama oturumları, bilgi depoları) yazan özellikleri yapılandırmadığınız sürece veriler coğrafyanızda kalır.
Nesne adları (dizinler, alanlar, dizin oluşturucular) seçtiğiniz bölgenin dışında da işlenebilir. Bu adlar, Microsoft'un hizmet desteği için kullandığı telemetri günlüklerinde görünür. Nesne adlarında hassas veriler yerleştirmekten kaçının.
Daha fazla bilgi için bakınız:
Gizlilik ve veri işleme
Microsoft, Azure AI Search kullanırken verilerinizi korumaya ve gizliliğinize saygı duymaya kararlıdır.
Model eğitimi için müşteri verileri kullanılmaz
Microsoft yerleşik beceriler, anlam derecelendirmesi veya diğer yapay zeka özellikleri dahil olmak üzere herhangi bir modeli eğitmek veya geliştirmek için Azure AI Search'teki müşteri verilerini kullanmaz. Belgeleriniz, sorgularınız ve diğer verileriniz yalnızca yapılandırılmış arama hizmetini teslim etmek ve çalıştırmak için kullanılır.
Veri kaydı
Azure AI Search kullanıcı kimliklerini günlüğe kaydetmez, bu nedenle belirli bir kullanıcı hakkında bilgi için günlüklere başvuramazsınız. Ancak hizmet, belirli eylemleri kimin gerçekleştirdiğini belirlemek için diğer günlüklerle bağıntı kurabileceğiniz oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemlerini günlüğe kaydeder.
Kaynak günlüklerinin kaydedilmesi
- Yönetim işlemleri (hizmet oluşturma, yapılandırma değişiklikleri)
- Sorgu işlemleri (sorgu metniyle ancak kullanıcı kimliği olmadan)
- Dizin oluşturma işlemleri (belge eklemeleri, güncelleştirmeler, silmeler)
Kaynak günlükleri aşağıdakileri yakalamaz:
- Bireysel kullanıcı kimlikleri
- Kullanıcılar hakkında kişisel bilgiler
- Ayrıntılı belge içeriği (yalnızca dizine alınan belgelerle ilgili meta veriler)
Günlükleri ayarlama hakkında bilgi için bkz. Azure AI Arama İzleme ve Sorgu isteklerini izleme.
Uyumluluk ve sertifikalar
Azure AI Search düzenli olarak üçüncü taraf denetimlerinden geçer ve ISO 27001, ISO 27018, ISO 27701, SOC2, FedRAMP, HIPAA ve GDPR dahil olmak üzere küresel, bölgesel, kamu ve sektöre özgü standartlara göre sertifikalar tutar.
Tam sertifika listeleri, denetim raporları ve uyumluluk belgeleri için bkz:
- Azure uyumluluk teklifleri
- Microsoft Azure Uyumluluk Teklifleri teknik incelemesi
- Microsoft Güven Merkezi
Paylaşılan sorumluluk modeli
Azure AI Search , paylaşılan sorumluluk modeli altında çalışır. Microsoft, bu makalede açıklanan altyapının ve yerleşik platform özelliklerinin güvenliğini sağlar. Özel dağıtımınız için güvenlik denetimlerini yapılandırmak sizin sorumluluğunuzdadır.
Microsoft fiziksel güvenliği, ağ altyapısını, platform güvenliğini, varsayılan şifrelemeyi (aktarımda, kullanımda ve beklemede), uyumluluk sertifikalarını ve altyapı güncelleştirmelerini yönetir.
Ağ erişim denetimlerini, kimlik doğrulama ve yetkilendirmeyi, giden bağlantıları, belge düzeyinde izinleri, izleme ve uyarıyı ve isteğe bağlı CMK ve gizli bilgi işlemi yapılandırırsınız.