Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure AI Search, kurumsal gereksinimleri karşılamak için ağ erişimi, veri erişimi ve veri koruması genelinde kapsamlı güvenlik denetimleri sağlar. Çözüm mimarı olarak üç önemli güvenlik etki alanını anlamanız gerekir:
- Ağ trafiği desenleri ve ağ güvenliği: Gelen, giden ve iç trafik.
- Erişim denetimi mekanizmaları: API anahtarları veya rollere sahip Microsoft Entra Id.
- Veri yerleşimi ve koruması: Aktarım sırasında şifreleme, isteğe bağlı gizli bilgi işlem ile kullanımda ve bekleme sırasında isteğe bağlı çift şifreleme.
Arama hizmeti, temel koruma için IP güvenlik duvarı kısıtlamalarından tam ağ yalıtımı için özel uç noktalara kadar birçok ağ güvenliği topolojisini destekler. İsteğe bağlı olarak, Azure PaaS kaynaklarınızın çevresinde mantıksal bir sınır oluşturmak için bir ağ güvenlik çevresi kullanın. Ayrıntılı izinler gerektiren kurumsal senaryolar için belge düzeyinde erişim denetimleri uygulayabilirsiniz. Tüm güvenlik özellikleri Azure'ın uyumluluk çerçevesiyle tümleşir ve yönetilen kimlikleri kullanarak çok kiracılı ve hizmetler arası kimlik doğrulaması gibi yaygın kurumsal desenleri destekler.
Bu makalede, geliştirme ve üretim ortamları için uygun güvenlik mimarileri tasarlamanıza yardımcı olmak üzere her bir güvenlik katmanı için uygulama seçenekleri ayrıntılı olarak verilmiştir.
Ağ trafiği desenleri
Azure AI Search hizmeti Azure genel bulutunda, Azure özel bulutunda veya bağımsız bir bulutta (Azure Kamu gibi) barındırılabilir. Varsayılan olarak, tüm bulut konakları için arama hizmetine genellikle istemci uygulamaları tarafından genel ağ bağlantıları üzerinden erişilir. Bu desen baskın olsa da, ilgilenmeniz gereken tek trafik düzeni bu değildir. Geliştirme ve üretim ortamlarınızın güvenliğini sağlamak için tüm giriş noktalarının yanı sıra giden trafiği anlamak için arka plan gereklidir.
Azure AI Search üç temel ağ trafiği düzenine sahiptir:
- Kullanıcı veya istemci tarafından arama hizmetine yapılan gelen istekler (baskın desen)
- Arama hizmeti tarafından Azure'da ve başka bir yerdeki diğer hizmetlere gönderilen giden istekler
- Güvenli Microsoft omurga ağı üzerinden hizmet içi istekler
Gelen trafik
Arama hizmeti uç noktasını hedefleyen gelen istekler şunlardır:
- Arama hizmetinde dizinleri ve diğer nesneleri oluşturma, okuma, güncelleştirme veya silme
- Arama belgeleriyle dizin yükleme
- Dizini sorgulama
- Dizinleyici veya beceri seti görevlerini yürütme
REST API'leri, bir arama hizmeti tarafından işlenen tüm gelen istek aralığını açıklar.
En azından tüm gelen isteklerin kimlik doğrulaması şu seçeneklerden biri kullanılarak yapılmalıdır:
- Anahtar tabanlı kimlik doğrulaması (varsayılan). Gelen istekler geçerli bir API anahtarı sağlar.
- Rol tabanlı erişim denetimi. Yetkilendirme, arama hizmetinizdeki Microsoft Entra kimlikleri ve rol atamaları aracılığıyla yapılır.
Ayrıca, uç noktaya erişimi daha fazla kısıtlamak için ağ güvenlik özellikleri ekleyebilirsiniz. Bir IP güvenlik duvarında gelen kuralları oluşturabilir veya arama hizmetinizi genel İnternet'ten tam olarak korumaya alan özel uç noktalar oluşturabilirsiniz.
Giden trafik
Giden isteklerin güvenliği sağlanabilir ve sizin tarafınızdan yönetilebilir. Giden istekler bir arama hizmetinden diğer uygulamalara kaynaklanır. Bu istekler genellikle metin tabanlı ve çok modüllü dizin oluşturma, özel beceri tabanlı yapay zeka zenginleştirmesi ve sorgu zamanında vektörleştirme için dizin oluşturucular tarafından yapılır. Giden istekler hem okuma hem de yazma işlemlerini içerir.
Aşağıdaki liste, güvenli bağlantıları yapılandırabileceğiniz giden isteklerin tam bir numaralandırmasıdır. Arama hizmeti, kendi adına ve dizin oluşturucu veya özel beceri adına isteklerde bulunur.
| Operation | Scenario |
|---|---|
| Indexers | Verileri almak için dış veri kaynaklarına bağlanın (okuma erişimi). Daha fazla bilgi için Azure ağ güvenliği tarafından korunan içeriğe dizin oluşturucu erişimi kısmına bakın. |
| Indexers | Bilgi depolarına yazma işlemleri, önbelleğe alınmış zenginleştirmeler, hata ayıklama oturumları için Azure Depolama'ya bağlanın. |
| Özel beceriler | Azure işlevlerine, Azure web uygulamalarına veya hizmet dışında barındırılan dış kod çalıştıran diğer uygulamalara bağlanın. Dış işleme isteği beceri kümesi yürütmesi sırasında gönderilir. |
| Dizin oluşturucular ve tümleşik vektörleştirme | Azure OpenAI'ye ve dağıtılmış bir ekleme modeline bağlanın veya sağladığınız bir ekleme modeline bağlanmak için özel bir beceriden geçer. Arama hizmeti, dizin oluşturma sırasında vektörleştirme için ekleme modellerine metin gönderir. |
| Vectorizers | Kullanıcı metin dizelerini vektör arama için vektörlere dönüştürmek için sorgu zamanında Azure OpenAI'ye veya diğer ekleme modellerine bağlanın. |
| Bilgi bankaları |
Etmenli alma sorgusu planlaması ve ayrıca arama sonuçlarına dayalı yanıtları formüle etmek için sohbet tamamlama modellerine bağlanın. Temel bir RAG deseni uyguluyorsanız, sorgu mantığınız arama sonuçlarında temellenmiş bir yanıt formüle etmek için bir dış sohbet tamamlama modeli çağırır. Bu desen için model bağlantısı istemcinizin veya kullanıcınızın kimliğini kullanır. Arama hizmeti kimliği bağlantı için kullanılmaz. Buna karşılık, bilgi bankalarını bir RAG alıcısı düzeninde kullanırsanız, giden istek arama hizmeti tarafından yönetilen kimlik tarafından yapılır. |
| Search service | Hassas verileri şifrelemek ve şifresini çözmek için kullanılan müşteri tarafından yönetilen şifreleme anahtarları için Azure Key Vault'a bağlanın. |
Giden bağlantılar genellikle bir kaynağın anahtar veya veritabanı oturum açma bilgilerini içeren tam erişim bağlantı dizesi ya da Microsoft Entra Kimliği ve rol tabanlı erişim kullanıyorsanız yönetilen kimlik kullanılarak yapılabilir.
Güvenlik duvarının arkasındaki Azure kaynaklarına ulaşmak için, arama hizmeti isteklerini kabul eden diğer Azure kaynaklarında gelen kuralları oluşturun.
Azure Özel Bağlantı tarafından korunan Azure kaynaklarına ulaşmak için, dizin oluşturucu tarafından bağlantı kurmak için kullanılan paylaşılan bir özel bağlantı oluşturun.
Aynı bölge arama ve depolama hizmetleri için özel durum
Azure Depolama ve Azure AI Search aynı bölgedeyse, ağ trafiği özel bir IP adresi üzerinden yönlendirilir ve Microsoft omurga ağı üzerinden gerçekleşir. Özel IP adresleri kullanıldığından, ip güvenlik duvarlarını veya ağ güvenliği için özel uç noktayı yapılandıramazsınız.
Aşağıdaki yaklaşımlardan birini kullanarak aynı bölge bağlantılarını yapılandırın:
İç trafik
İç isteklerin güvenliği sağlanır ve Microsoft tarafından yönetilir. Bu bağlantıları yapılandıramaz veya denetleyemezsiniz. Ağ erişimini kilitliyorsanız, iç trafik müşteri tarafından yapılandırılabilir olmadığından sizin için herhangi bir eylem gerekmez.
İç trafik şunlardan oluşur:
- Hizmetten hizmete, Microsoft Entra Kimliği aracılığıyla kimlik doğrulaması ve yetkilendirme, Azure İzleyici'ye gönderilen kaynak günlüğü ve Azure Özel Bağlantı kullanan özel uç nokta bağlantıları gibi görevleri çağırır.
- Azure AI Search tarafından yerleşik becerilerin işlenmesi için yapılan istekler, aynı bölge istekleriyle birlikte yalnızca yerleşik becerilerin işlenmesi için içeride barındırılan bir Microsoft Foundry kaynağına yönlendirilir.
- Semantik derecelendirmeyi destekleyen çeşitli modellere yapılan istekler.
Ağ güvenliği
Ağ güvenliği , ağ trafiğine denetimler uygulayarak kaynakları yetkisiz erişime veya saldırılara karşı korur. Azure AI Search, yetkisiz erişime karşı savunma hattınız olabilecek ağ özelliklerini destekler.
IP güvenlik duvarları aracılığıyla gelen bağlantı
Arama hizmeti, genel IP adresi kullanılarak erişime izin veren bir genel uç nokta ile sağlanır. Genel uç noktadan gelen trafiği kısıtlamak için, belirli bir IP adresinden veya bir IP adresi aralığından gelen istekleri kabul eden bir gelen güvenlik duvarı kuralı oluşturun. Tüm istemci bağlantıları izin verilen bir IP adresi üzerinden yapılmalıdır, aksi durumda bağlantı reddedilir.
Güvenlik duvarı erişimini yapılandırmak için Azure portalını kullanabilirsiniz.
Alternatif olarak, yönetim REST API'lerini kullanabilirsiniz. IPRule parametresiyle API 2020-03-13 sürümünden başlayarak, arama hizmetinize erişim vermek istediğiniz IP adreslerini tek tek veya aralıkta tanımlayarak hizmetinize erişimi kısıtlayabilirsiniz.
Özel uç noktaya gelen bağlantı (ağ yalıtımı, İnternet trafiği yok)
Daha sıkı güvenlik için Azure AI Search için özel bir uç nokta oluşturabilir ve sanal ağdaki bir istemcinin arama dizinindeki verilere Özel Bağlantı üzerinden güvenli bir şekilde erişmesini sağlayabilirsiniz.
Özel uç nokta, arama hizmetinize bağlantılar için sanal ağ adres alanından bir IP adresi kullanır. İstemci ile arama hizmeti arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki özel bir bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır. Sanal ağ, hem şirket içi ağınızla hem de İnternet ile kaynaklar arasında güvenli iletişim sağlar.
Bu çözüm en güvenli çözüm olsa da, daha fazla hizmet kullanmak ek bir maliyettir, bu nedenle dalmadan önce avantajları net bir şekilde anladığınızdan emin olun. Maliyetler hakkında daha fazla bilgi için fiyatlandırma sayfasına bakın. Bu bileşenlerin birlikte nasıl çalıştığı hakkında daha fazla bilgi için bu videoyu izleyin. Videoda özel uç nokta seçeneğinin ele alınması 5:48'de başlıyor. Uç noktayı ayarlama yönergeleri için bkz . Azure AI Search için Özel Uç Nokta Oluşturma.
Ağ güvenlik sınırı
Ağ güvenlik çevresi, bir sanal ağın dışına dağıtılan hizmet olarak platform (PaaS) kaynaklarınızın etrafındaki mantıksal bir ağ sınırıdır. Azure AI Search, Azure Depolama ve Azure OpenAI gibi kaynaklara genel ağ erişimini denetlemek için bir çevre oluşturur. Gelen ve giden trafik için açık erişim kuralları aracılığıyla özel durumlar vekleyebilirsiniz. Bu yaklaşım, uygulamalarınız için gerekli bağlantıyı korurken veri sızdırmayı önlemeye yardımcı olur.
Gelen istemci bağlantıları ve hizmet-hizmet bağlantıları sınır içinde gerçekleşir ve bu da yetkisiz erişime karşı savunmanızı basitleştirir ve güçlendirir. Azure AI Search çözümlerinde birden çok Azure kaynağının kullanılması yaygındır. Aşağıdaki kaynakların tümü mevcut bir ağ güvenlik çevresine eklenebilir:
- Azure AI Arama Hizmeti
- Azure OpenAI
- Azure Depolama
- Azure İzleyici
Uygun hizmetlerin tam listesi için bkz. Eklenen özel bağlantı kaynakları.
Authentication
Bir istek arama hizmetine kabul edildikten sonra, isteğin izin verilip verilmeyeceğini belirleyen kimlik doğrulaması ve yetkilendirmeden geçmesi gerekir. Azure AI Search iki yaklaşımı destekler:
Microsoft Entra kimlik doğrulaması, doğrulanan kimlik olarak çağıranı (isteği değil) kabul eder. Azure rol ataması yetkilendirmeyi belirler.
Anahtar tabanlı kimlik doğrulaması , isteğin güvenilir bir kaynaktan geldiğini kanıtlayan rastgele oluşturulan numaralardan ve harflerden oluşan bir dize olan api anahtarı aracılığıyla istekte (çağıran uygulama veya kullanıcı değil) gerçekleştirilir. Anahtarlar her istekte gereklidir. Geçerli bir anahtarın gönderilmesi, isteğin güvenilir bir varlıktan geldiğinin kanıtı olarak kabul edilir.
API anahtar tabanlı kimlik doğrulamasına güvenilmesi, Azure güvenlik için en iyi yöntemlere göre düzenli aralıklarla yönetici anahtarını yeniden oluşturmak için bir planınız olması gerektiği anlamına gelir. Arama hizmeti başına en fazla iki yönetici anahtarı vardır. API anahtarlarının güvenliğini sağlama ve yönetme hakkında daha fazla bilgi için bkz . API anahtarlarını oluşturma ve yönetme.
Anahtar tabanlı kimlik doğrulaması, veri düzlemi işlemleri (arama hizmetinde nesne oluşturma ve kullanma) için varsayılandır. Her iki kimlik doğrulama yöntemini de kullanabilir veya arama hizmetinizde kullanılabilir olmasını istemediğiniz bir yaklaşımı devre dışı bırakabilirsiniz.
Authorization
Azure AI Search, hizmet yönetimi ve içerik yönetimi için yetkilendirme modelleri sağlar.
Ayrıcalıklı erişim
Yeni bir arama hizmetinde, abonelik düzeyindeki mevcut rol atamaları arama hizmeti tarafından devralınır ve yalnızca Sahipler ve Kullanıcı Erişimi Yöneticileri erişim verebilir.
Denetim düzlemi işlemleri (hizmet veya kaynak oluşturma ve yönetim) görevleri yalnızca rol atamaları aracılığıyla yetkilendirilmiştir ve hizmet yönetimi için anahtar tabanlı kimlik doğrulaması kullanma olanağı yoktur.
Denetim düzlemi işlemleri arasında hizmeti oluşturma, yapılandırma veya silme ve güvenliği yönetme yer alır. Bu nedenle Azure rol atamaları, portalı, PowerShell'i veya Yönetim REST API'lerini kullanmalarına bakılmaksızın bu görevleri kimlerin gerçekleştirebileceğini belirler.
Arama hizmeti yönetimine üç temel rol (Sahip, Katkıda Bulunan, Okuyucu) uygulanır.
Note
Azure genelindeki mekanizmaları kullanarak, yönetici haklarına sahip kullanıcılar tarafından arama hizmetinizin yanlışlıkla veya yetkisiz silinmesini önlemek için bir aboneliği veya kaynağı kilitleyebilirsiniz. Daha fazla bilgi için bkz . Beklenmeyen silmeyi önlemek için kaynakları kilitleme.
İçeriğe erişimi yetkilendirme
Veri düzlemi işlemleri, bir arama hizmetinde oluşturulan ve kullanılan nesnelere başvurur.
Rol tabanlı yetkilendirme için Azure rol atamalarını kullanarak işlemlere okuma-yazma erişimi oluşturun.
Anahtar tabanlı yetkilendirme için bir API anahtarı ve uygun bir uç nokta erişimi belirler. Uç nokta hizmetin kendisi, dizin koleksiyonu, belirli bir dizin, belge koleksiyonu veya belirli bir belge olabilir. Birlikte zincirleme yapıldığında uç nokta, işlem (örneğin, oluşturma isteği) ve anahtar türü (yönetici veya sorgu) içerik ve işlemlere erişimi yetkilendir.
Dizinlere erişimi kısıtlama
Azure rollerini kullanarak, program aracılığıyla yapıldığı sürece tek tek dizinlerde izinler ayarlayabilirsiniz.
Anahtarları kullanarak, hizmetinizde yönetici anahtarı olan herkes aynı hizmetteki herhangi bir dizini okuyabilir, değiştirebilir veya silebilir. Dizinlerin yanlışlıkla veya kötü amaçlı silinmesine karşı koruma için, kod varlıkları için şirket içi kaynak denetiminiz, istenmeyen dizin silme veya değiştirme işlemlerini tersine çevirmeye yönelik çözümdür. Azure AI Search kullanılabilirliği sağlamak için küme içinde yük devretmeye sahiptir, ancak dizinleri oluşturmak veya yüklemek için kullanılan özel kodunuzu depolamaz veya yürütmez.
Dizin düzeyinde güvenlik sınırları gerektiren çok kiracılı çözümler için, uygulama kodunuzda orta katmanda dizin yalıtımını işlemek yaygın bir durumdur. Çok kiracılı kullanım örneği hakkında daha fazla bilgi için bkz . Çok kiracılı SaaS uygulamaları için tasarım desenleri ve Azure AI Search.
Belgelere erişimi kısıtlama
Satır düzeyi güvenlik olarak da bilinen belge düzeyindeki kullanıcı izinleri önizleme özelliği olarak kullanılabilir ve veri kaynağına bağlıdır. İçerik Azure Data Lake Storage (ADLS) 2. Nesil'den veya Azure bloblarından kaynaklanıyorsa, Azure Depolama'dan kaynaklanan kullanıcı izni meta verileri dizin oluşturucu tarafından oluşturulan dizinlerde korunur ve arama sonuçlarına yalnızca yetkili içeriğin eklenmesi için sorgu zamanında zorlanır.
Diğer veri kaynakları için, kullanıcı veya grup izin meta verilerini içeren bir belge yükünü itebilirsiniz ve bu izinler dizinlenmiş içerikte tutulur ve sorgu anında da uygulanır. Bu özellik de önizleme aşamasındadır.
Önizleme özelliklerini kullanamıyorsanız ve arama sonuçlarında içerik üzerinde izinli erişime ihtiyacınız varsa, kullanıcı kimliğine göre belgeleri içeren veya dışlayan filtreler uygulamak için bir teknik vardır. Bu geçici çözüm, veri kaynağına, dizininizde filtrelenebilir hale getirebileceğiniz bir grup veya kullanıcı kimliğini temsil eden bir dize alanı ekler. Bu düzen hakkında daha fazla bilgi için bkz . Kimlik filtrelerini temel alan güvenlik kırpması. Belge erişimi hakkında daha fazla bilgi için bkz . Belge düzeyi erişim denetimi.
Veri yerleşimi
Bir arama hizmeti ayarladığınızda, müşteri verilerinin nerede depolandığını ve işleneceğini belirleyen bir bölge seçersiniz. Her bölge genellikle birden çok bölge içeren bir coğrafyada (Coğrafi) bulunur (örneğin, İsviçre Kuzey İsviçre ve Batı İsviçre'yi içeren bir Coğrafi Bölgedir). Azure AI Search, dayanıklılık ve yüksek kullanılabilirlik için verilerinizi aynı Coğrafi Bölge içindeki başka bir bölgeye çoğaltabilir. Hizmet, başka bir Azure kaynağına bağımlılığı olan bir özellik yapılandırmadığınız ve bu kaynak farklı bir bölgede sağlanmadığı sürece müşteri verilerini belirtilen Coğrafi bölgenizin dışında depolamaz veya işlemez.
Şu anda, arama hizmetinin yazdığı tek dış kaynak Azure Depolama'dır. Depolama hesabı, sağladığınız hesaptır ve herhangi bir bölgede olabilir. Aşağıdaki özelliklerden herhangi birini kullanırsanız arama hizmeti Azure Depolama'ya yazar:
Veri yerleşimi hakkında daha fazla bilgi için bkz . Azure'da veri yerleşimi.
Veri yerleşimi taahhütlerine istisnalar
Nesne adları, Microsoft tarafından hizmet için destek sağlamak için kullanılan telemetri günlüklerinde görünür. Nesne adları, seçtiğiniz bölge veya konumun dışında depolanır ve işlenir. Nesne adları dizinlerin ve dizin alanlarının, diğer adların, dizin oluşturucuların, veri kaynaklarının, beceri kümelerinin, eş anlamlı eşlemelerin, kaynakların, kapsayıcıların ve anahtar kasası deposunun adlarını içerir. Müşteriler ad alanlarına hassas veriler yerleştirmemeli veya bu alanlarda hassas verileri depolamak için tasarlanmış uygulamalar oluşturmamalıdır.
Telemetri günlükleri bir buçuk yıl boyunca saklanır. Bu süre boyunca, Microsoft aşağıdaki koşullar altında nesne adlara erişebilir ve bunlara başvurabilir:
Bir sorunu tanılayın, bir özelliği geliştirin veya bir hatayı düzeltin. Bu senaryoda veri erişimi yalnızca dahilidir ve üçüncü taraf erişimi yoktur.
Destek sırasında, bu bilgiler sorunlara hızlı çözüm sağlamak ve gerekirse ürün ekibini ilerletmek için kullanılabilir
Veri koruma
Depolama katmanında dizinler, eş anlamlı haritalar ve dizin oluşturucuların, veri kaynaklarının ve beceri kümelerinin tanımları dahil olmak üzere diske kaydedilen tüm hizmet tarafından yönetilen içerik için veri şifreleme yerleşik olarak bulunur. Hizmet tarafından yönetilen şifreleme hem uzun vadeli veri depolama hem de geçici veri depolama için geçerlidir.
İsteğe bağlı olarak, bekleyen verilerin çift şifrelenmesi için dizinlenmiş içeriğin ek olarak şifrelenmesi için müşteri tarafından yönetilen anahtarlar (CMK) ekleyebilirsiniz. 1 Ağustos 2020'den sonra oluşturulan hizmetler için, CMK şifrelemesi geçici disklerdeki kısa vadeli verilere genişletir.
Aktarım durumundaki veriler
Genel İnternet üzerinden yapılan arama hizmeti bağlantıları için Azure AI Search, HTTPS bağlantı noktası 443'te dinler.
Azure AI Search, istemciden hizmete kanal şifrelemesi için TLS 1.2 ve 1.3'i destekler:
- TLS 1.3, daha yeni istemci işletim sistemlerinde ve .NET sürümlerinde varsayılandır.
- TLS 1.2, eski sistemlerde varsayılandır, ancak bir istemci isteğinde TLS 1.3'i açıkça ayarlayabilirsiniz.
TLS'nin önceki sürümleri (1.0 veya 1.1) desteklenmez.
Daha fazla bilgi için bkz . .NET Framework'te TLS desteği.
Kullanımdaki veriler
Varsayılan olarak, Azure AI Search arama hizmetinizi standart Azure altyapısına dağıtır. Bu altyapı bekleyen ve aktarımdaki verileri şifreler, ancak bellekte etkin bir şekilde işlenirken verileri korumaz.
İsteğe bağlı olarak, hizmet oluşturma sırasında gizli bilgi işlemi yapılandırmak için Azure portalınıveya Hizmetler - Oluşturma veya Güncelleştirme (REST API) kullanabilirsiniz. Gizli bilgi işleme, donanım temelli doğrulama ve şifreleme aracılığıyla, Microsoft'tan gelenler de dahil olmak üzere, kullanımdaki verileri yetkisiz erişime karşı korur. Daha fazla bilgi için bkz . Gizli bilgi işlem kullanım örnekleri.
Aşağıdaki tablo her iki işlem türünü de karşılaştırır.
| İşlem türü | Description | Sınırlamalar | Maliyet | Availability |
|---|---|---|---|---|
| Varsayılan | Bekleyen ve aktarımdaki veriler için yerleşik şifreleme ile standart VM'lerdeki verileri işler. Kullanımdaki veriler için donanım tabanlı yalıtım yoktur. | Sınırlama yoktur. | Ücretsiz veya faturalanabilir katmanların temel maliyetinde değişiklik yoktur. | Tüm bölgelerde kullanılabilir. |
| Confidential | Donanım tabanlı güvenilir yürütme ortamındaki gizli VM'lerdeki (DCasv5 veya DCesv5) verileri işler. Hesaplamaları ve belleği konak işletim sisteminden ve diğer VM'lerden ayırır. | Etmenik alma, anlamsal dereceleyici, sorgu yeniden yazma, beceri kümesi yürütme ve dizin oluşturucuları çok kiracılı ortamda devre dışı bırakır veya kısıtlar1. | Faturalanabilir katmanların temel maliyetine 10% ek ücret ekler. Daha fazla bilgi için bkz. fiyatlandırma sayfası. | Bazı bölgelerde kullanılabilir. Daha fazla bilgi için desteklenen bölgelerin listesine bakın. |
1 Bu işlem türünü etkinleştirdiğinizde, dizin oluşturucular yalnızca özel yürütme ortamında çalışabilir, yani gizli bilgi işlemde barındırılan arama kümelerinden çalıştırılırlar.
Önemli
Yalnızca uyumluluk veya mevzuat gereksinimleri kullanımdaki verilerin korunmasını gerektiren kuruluşlar için gizli bilgi işlem yapmanızı öneririz. Günlük kullanım için varsayılan işlem türü yeterlidir.
Bekleme durumundaki veriler
Arama hizmeti tarafından dahili olarak işlenen veriler için aşağıdaki tabloda veri şifreleme modelleri açıklanmaktadır. Bilgi deposu, artımlı zenginleştirme ve dizin oluşturucu kullanarak dizinleme gibi bazı özellikler, diğer Azure Hizmetlerindeki veri yapılarından okuma veya veri yapılarına yazma. Azure Depolama'ya bağımlılığı olan hizmetler bu teknolojinin şifreleme özelliklerini kullanabilir.
| Model | Keys | Requirements | Restrictions | Şunlar için geçerlidir: |
|---|---|---|---|---|
| sunucu tarafı şifrelemesi | Microsoft tarafından yönetilen anahtarlar | Hiçbiri (yerleşik) | Hiçbiri, 24 Ocak 2018'de oluşturulan içerik için tüm katmanlarda, tüm bölgelerde kullanılabilir. | Veri diskleri ve geçici diskler üzerindeki içerik (dizinler ve eş anlamlı eşlemeleri) ve tanımlar (dizin oluşturucular, veri kaynakları, beceri kümeleri) |
| sunucu tarafı şifrelemesi | müşteri tarafından yönetilen anahtarlar | Azure Key Vault | 1 Ağustos 2020'den sonra oluşturulan içerik için belirli bölgelerdeki faturalanabilir katmanlarda kullanılabilir. | Veri disklerindeki içerik (dizinler ve eş anlamlı eşlemeler) ve tanımlar (dizin oluşturucular, veri kaynakları, beceri kümeleri) |
| sunucu tarafı tam şifreleme | müşteri tarafından yönetilen anahtarlar | Azure Key Vault | 13 Mayıs 2021'in ardından tüm bölgelerdeki faturalanabilir katmanlarda arama hizmetlerinde kullanılabilir. | Veri diskleri ve geçici diskler üzerindeki içerik (dizinler ve eş anlamlı eşlemeleri) ve tanımlar (dizin oluşturucular, veri kaynakları, beceri kümeleri) |
CMK şifrelemesini tanıttığınızda, içeriği iki kez şifrelersiniz. Önceki bölümde belirtilen nesneler ve alanlar için içerik önce CMK'nizle, ikinci olarak da Microsoft tarafından yönetilen anahtarla şifrelenir. İçerik, uzun süreli depolama için veri disklerinde ve kısa vadeli depolama için kullanılan geçici disklerde iki kez şifrelenir.
Hizmet tarafından yönetilen anahtarlar
Hizmet tarafından yönetilen şifreleme, 256 bit AES şifrelemesi kullanan bir Microsoft iç işlemidir. Tamamen şifrelenmemiş dizinlere yönelik artımlı güncellemeler de dahil olmak üzere, Ocak 2018'den önce oluşturulmuş tüm dizinlerde otomatik olarak gerçekleşir.
Hizmet tarafından yönetilen şifreleme, uzun süreli ve kısa vadeli depolamadaki tüm içerikler için geçerlidir.
Müşteri tarafından yönetilen anahtarlar (CMK)
Müşteriler CMK'yi iki nedenden dolayı kullanır: ek koruma ve anahtarları iptal etme, içeriğe erişimi engelleme.
Müşteri tarafından yönetilen anahtarlar farklı bir bölgede ancak Azure AI Search ile aynı Azure kiracısı altında olabilecek başka bir faturalanabilir hizmet olan Azure Key Vault'a ihtiyaç duyar.
CMK desteği iki aşamada kullanıma alındı. Arama hizmetinizi ilk aşamada oluşturduysanız, CMK şifrelemesi uzun süreli depolama ve belirli bölgeler ile kısıtlanmıştır. İkinci aşamada oluşturulan hizmetler herhangi bir bölgede CMK şifrelemesi kullanabilir. İkinci dalga dağıtımının bir parçası olarak, içerik hem uzun vadeli hem de kısa vadeli depolamada CMK ile şifrelenir.
İlk dağıtım 1 Ağustos 2020'de yapıldı ve aşağıdaki beş bölgeyi içeriyordu. Aşağıdaki bölgelerde oluşturulan Arama hizmeti, geçici diskler için değil, veri diskleri için CMK'yi desteklemektedir:
- Batı ABD 2
- East US
- Orta Güney ABD
- ABD Virginia Hükümeti
- ABD Hükümeti Arizona
13 Mayıs 2021'deki ikinci dağıtım, geçici diskler için şifreleme ve desteklenen tüm bölgelere genişletilmiş CMK şifrelemesi ekledi.
İlk dağıtım sırasında oluşturulan bir hizmetten CMK kullanıyorsanız ve geçici diskler üzerinden CMK şifrelemesi de istiyorsanız, seçtiğiniz bölgede yeni bir arama hizmeti oluşturmanız ve içeriğinizi yeniden dağıtmanız gerekir. Hizmet oluşturma tarihinizi belirlemek için bkz. Hizmet oluşturma veya yükseltme tarihinizi denetleme.
CMK şifrelemesini etkinleştirmek dizin boyutunu artırır ve sorgu performansını düşürür. Bugüne kadarki gözlemlere bağlı olarak, sorgu sürelerinde yüzde 30-60'lık bir artış görmeyi bekleyebilirsiniz, ancak gerçek performans dizin tanımına ve sorgu türlerine bağlı olarak değişir. Olumsuz performans etkisi nedeniyle, bu özelliği yalnızca gerçekten gerektiren dizinlerde etkinleştirmenizi öneririz. Daha fazla bilgi için bkz . Azure AI Search'te müşteri tarafından yönetilen şifreleme anahtarlarını yapılandırma.
Günlüğe kaydetme ve izleme
Azure AI Search kullanıcı kimliklerini günlüğe kaydetmediğinden, belirli bir kullanıcı hakkında bilgi için günlüklere başvuramazsınız. Ancak, hizmet create-read-update-delete işlemlerini günlüğe kaydeder ve belirli eylemlerin ajansını anlamak için diğer günlüklerle bağıntı kurabilirsiniz.
Azure'daki uyarıları ve günlük altyapısını kullanarak, sorgu hacmindeki ani artışları veya beklenen iş yüklerinden sapan diğer eylemleri alabilirsiniz. Günlükleri ayarlama hakkında daha fazla bilgi için bkz . Günlük verilerini toplama ve analiz etme ve Sorgu isteklerini izleme.
Uyumluluk ve idare
Azure AI Search düzenli denetimlere katılır ve hem genel bulut hem de Azure Kamu için küresel, bölgesel ve sektöre özgü birçok standart için sertifika almıştır. Listenin tamamı için resmi Denetim raporları sayfasından Microsoft Azure Uyumluluk Teklifleri teknik incelemesini indirin.
Mevzuat gereksinimlerinizle uyumlu olduğundan emin olmak için Azure AI Search uyumluluk sertifikalarını ve belgelerini düzenli olarak gözden geçirmenizi öneririz.
Azure İlkesi kullanma
Uyumluluk için Azure İlkesi kullanarak Microsoft bulut güvenliği karşılaştırmasının en iyi yüksek güvenlik uygulamalarını uygulayabilirsiniz. Microsoft bulut güvenliği karşılaştırması, hizmetlere ve verilere yönelik tehditleri azaltmak için gerçekleştirmeniz gereken önemli eylemlerle eşlenen güvenlik denetimleriyle birleştirilmiş bir güvenlik önerileri koleksiyonudur. Şu anda Ağ Güvenliği, Günlüğe Kaydetme ve İzleme ve Veri Koruması dahil olmak üzere 12 güvenlik denetimi vardır.
Azure İlkesi, Azure'da yerleşik olarak bulunan ve Microsoft bulut güvenliği karşılaştırması dahil olmak üzere birden çok standart için uyumluluğu yönetmenize yardımcı olan bir özelliktir. İyi bilinen karşılaştırmalar için Azure İlkesi, hem ölçütleri hem de uyumsuzluğu gideren eyleme dönüştürülebilir bir yanıt sağlayan yerleşik tanımlar sağlar.
Azure AI Search için şu anda yerleşik bir tanım vardır. Kaynak günlüğü için. Kaynak günlüğü eksik olan arama hizmetlerini tanımlayan bir ilke atayabilir ve ardından bu ilkeyi açabilirsiniz. Daha fazla bilgi için Azure İlkesi Mevzuata Uygunluk Denetimleri Azure AI Search'e bakın.
Etiketleri kullanma
Arama hizmetlerini veri duyarlılığı ve uyumluluk gereksinimlerine göre kategorilere ayırmak için meta veri etiketleri uygulayın. Bu, uygun idare ve güvenlik denetimlerini kolaylaştırır. Daha fazla bilgi için bkz. Azure kaynaklarınızı düzenlemek için etiketleri kullanma ve Genel yönergeler – Etiketleri kullanarak Azure kaynaklarını düzenleme.
İlgili içerik
Güvenlik özellikleriyle ilgili aşağıdaki videoyu da öneririz. Birkaç yıllıktır ve daha yeni özellikleri kapsamaz, ancak şu özellikleri kapsar: CMK, IP güvenlik duvarları ve özel bağlantı. Bu özellikleri kullanırsanız, bu video size yardımcı olabilir.