AI 安全建议

本文列出了在 Microsoft Defender for Cloud 中可能看到的所有 AI 安全建议。

环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议。

若要了解可以针对这些建议采取的操作，请参阅 Defender for Cloud 修正建议。

Azure 建议

将 Azure AI Foundry 连接到默认存储帐户时，应使用Microsoft Entra ID

说明：连接到 Azure AI Foundry 中默认存储帐户时， Defender for Cloud 标识的基于凭据的访问。 这会带来未经授权的访问风险。 若要降低未经授权的访问风险，应禁用基于密钥的授权，并改用Microsoft Entra ID。

严重性：高

连接到 Azure AI Foundry 项目上的数据存储时，应使用 Microsoft Entra ID

说明：连接到 Azure AI Foundry 项目中的存储帐户时， Defender for Cloud 标识的基于凭据的访问。 这会带来未经授权的访问风险。 若要降低未经授权的访问风险，应禁用基于密钥的授权，并改用Microsoft Entra ID。

严重性：高

应在 Azure AI Foundry 上使用 Application Insights

说明： Defender for Cloud 确定未在 Azure AI Foundry 中配置 Application Insights。 AI Foundry 使用 Azure Application Insights 来存储有关已部署模型的监视信息。 这会带来延迟威胁检测和无效事件响应的风险。

严重性：中等

应在 Azure AI Foundry 上限制网络连接

说明：为 Azure AI Foundry 中的所有网络启用 Defender for Cloud 标识的公共网络访问。 这会带来外部威胁的风险，可能导致未经授权的访问和数据泄露。 通过限制网络访问，可以确保只有允许的网络可以访问该服务。

严重性：中等

（如果需要启用）客户管理的密钥应用于加密 Azure AI Foundry 上的数据

说明： Defender for Cloud 标识Microsoft托管密钥用于加密 Azure AI Foundry 中的数据。 这会带来不符合相关合规性要求的组织法规的风险。 使用客户管理的密钥（CMK）加密静态数据可以更好地控制密钥生命周期，包括轮换和管理，并且通常需要满足合规性标准。 默认情况下不会对此进行评估，并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用，将使用Microsoft管理的密钥对数据进行加密。 若要实现此建议，请更新适用作用域的安全策略中的“效果”参数。

严重性：中等

Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）

说明：建议禁用密钥访问（本地身份验证），以确保安全性。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则不会正常工作。 禁用设置后，Microsoft Entra ID 成为唯一的访问方法，该方法允许保持最低特权原则和精细控制。 了解详细信息。

此建议取代了旧的建议 认知服务帐户应禁用本地身份验证方法。 它以前属于认知服务和认知搜索类别，已更新为符合 Azure AI 服务命名格式，并与相关资源保持一致。

严重性：中等

Azure AI 服务资源应限制网络访问

加密：通过限制网络访问，可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现，从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务资源。

此建议取代了旧建议 认知服务帐户应限制网络访问。 它以前属于认知服务和认知搜索类别，更新为符合 Azure AI 服务命名格式，并与相关资源保持一致。

严重性：中等

Azure AI 服务资源应使用 Azure 专用链接

说明：通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接，可降低数据泄露风险。

在以下位置了解有关专用链接的详细信息：什么是Azure 专用链接？

此建议取代了旧建议 认知服务应使用专用链接。 它以前属于“数据”类别建议，已更新为符合 Azure AI 服务命名格式，并与相关资源保持一致。

严重性：中等

（需要时启用）Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据

说明：使用客户管理的密钥加密静态数据可更好地控制密钥生命周期，包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。

默认情况下不会对此进行评估，并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用，将使用平台管理的密钥来加密数据。 为实现此目的，请更新安全策略中适用范围的“效果”参数。 （相关策略： Azure AI 服务资源应使用客户管理的密钥（CMK）加密静态数据

此建议取代了旧建议 认知服务帐户应使用客户密钥启用数据加密。 它以前属于“数据”类别建议，已更新为符合 Azure AI 服务命名格式，并与相关资源保持一致。

严重性：低

应启用 Azure AI 服务资源中的诊断日志

说明：为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。

此建议替换应启用搜索服务中的旧建议诊断日志。 它以前属于认知服务和认知搜索类别，更新为符合 Azure AI 服务命名格式，并与相关资源保持一致。

严重性：低

应启用 Azure 机器学习工作区中的资源日志（预览版）

说明和相关策略：资源日志允许重新创建活动线索，以在发生安全事件或网络被入侵时用于调查目的。

严重性：中等

Azure 机器学习工作区应禁用公用网络访问（预览版）

说明和相关策略：禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开，从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息，请参阅为 Azure 机器学习工作区配置专用终结点。

严重性：中等

Azure 机器学习计算应位于虚拟网络中（预览版）

说明和相关策略：Azure 虚拟网络为 Azure 机器学习计算群集和实例以及子网、访问控制策略和其他功能提供增强的安全性和隔离性，以进一步限制访问。 为计算配置虚拟网络后，该计算不可公开寻址，并且只能从虚拟网络中的虚拟机和应用程序进行访问。

严重性：中等

Azure 机器学习计算应禁用本地身份验证方法（预览版）

说明和相关策略：禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识，从而提高安全性。 有关详细信息，请参阅 Azure 机器学习的 Azure Policy 监管合规性控制。

严重性：中等

应重新创建 Azure 机器学习计算实例以获取最新的软件更新（预览版）

说明和相关策略：确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行，提高了安全性并减少了漏洞。 有关详细信息，请参阅 Azure 机器学习的漏洞管理。

严重性：中等

应启用 Azure Databricks 工作区中的资源日志（预览版）

说明和相关策略：资源日志允许重新创建活动线索，以在发生安全事件或网络被入侵时用于调查目的。

严重性：中等

Azure Databricks 工作区应禁用公用网络访问（预览版）

说明和相关策略：禁用公用网络访问可确保资源不会在公共 Internet 上公开，从而提高安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息，请参阅启用 Azure 专用链接。

严重性：中等

Azure Databricks 群集应禁用公共 IP（预览版）

说明和相关策略：在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开，从而提高安全性。 有关详细信息，请参阅安全群集连接。

严重性：中等

Azure Databricks 工作区应位于虚拟网络中（预览版）

说明和相关策略：Azure 虚拟网络为 Azure Databricks 工作区以及子网、访问控制策略和其他功能提供增强的安全性和隔离性，以进一步限制访问。 有关详细信息，请参阅在 Azure 虚拟网络中部署 Azure Databricks。

严重性：中等

Azure Databricks 工作区应使用专用链接（预览版）

说明和相关策略：通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Databricks 工作区，可以降低数据泄露风险。 有关详细信息，请参阅在 Azure 门户 UI 中创建工作区和专用终结点。

严重性：中等

AWS AI 建议

AWS Bedrock 应使用 AWS PrivateLink

描述 由 AWS PrivateLink 提供支持的 Amazon BedrockVP 终结点，允许你在帐户中的VP与 Amazon Bedrock 服务帐户之间建立专用连接。 AWS PrivateLink 使大众网络实例能够与 Bedrock 服务资源通信，而无需公共 IP 地址，确保数据不会公开到公共 Internet，从而帮助你满足合规性要求。

严重性 中等

当允许访问生成式 AI 应用程序时，AWS Bedrock 代理应使用防护措施

Amazon Bedrock 的说明防护措施通过评估用户输入和模型生成的响应来增强生成 AI 应用程序的安全性。 这些防护措施包括内容筛选器，可帮助检测和筛选有害内容。 具体而言，“提示攻击”类别包括保护用户提示，以防止越狱和提示注入。

严重性 中等

AWS Bedrock 应启用模型调用日志记录

说明： 使用调用日志记录，可以收集与帐户中执行的所有调用关联的完整请求数据、响应数据和元数据。 这样便可以在发生安全事件时，重新创建活动线索用于调查目的。

严重性：低

GCP AI 建议

专用服务终结点应用于顶点 AI Online 终结点（预览版）

描述： Defender for Cloud 已确定未在顶点 AI Online 终结点上配置专用服务终结点。 专用终结点连接通过启用与 Online 预测终结点的专用连接来强制实施安全通信。 配置专用终结点连接，以允许访问来自已知网络的流量，并阻止来自所有其他 IP 地址的访问。

严重性 中等

应在 Workbench 实例上禁用根访问（预览版）

描述： Defender for Cloud 已确定在 GCP Workbench 实例上未禁用根访问。 若要降低意外或恶意系统损坏的风险，必须禁用 Google Cloud 顶点 AI 笔记本实例上的根访问。 此度量限制实例中的管理权限，确保更安全的环境。

严重性 中等

应在 Workbench 实例上禁用公共 IP 地址（预览版）

描述： Defender for Cloud 已确定已在 GCP Workbench 实例上配置了外部 IP 地址。 为了减少攻击面，Workbench 实例不应具有公共 IP 地址。 相反，应在负载均衡器后面配置实例，以最大程度地减少实例在 Internet 上的曝光

严重性 中等

（如果需要启用）客户管理的密钥应用于加密顶点 AI 数据集中的静态数据（预览版）

描述： Defender for Cloud 已确定客户管理的密钥未在顶点 AI 数据集上使用。 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期，包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 通过使用客户管理的密钥，可以确保数据使用你控制的密钥进行加密，从而能够根据需要管理和轮换这些密钥。 此添加的控制有助于满足合规性要求并增强数据的安全性。

严厉 低

云监视应在 GCP Workbench 实例上使用（预览版）

描述 Defender for Cloud 已确定未在 GCP Workbench 实例上启用云监视。 为 Google Cloud 顶点 AI 笔记本实例启用云监视对于跟踪性能指标、提前检测问题以及通过主动监视和警报确保最佳作至关重要。

严厉 低

应在 Workbench 实例上启用空闲关闭（预览版）

描述 Defender for Cloud 已确定未在 GCP Workbench 实例上配置空闲关闭。 若要优化成本和增强安全性，请确保为 Google Cloud Vertex AI 笔记本实例启用空闲关闭功能。

严厉 低

相关内容

• 详细了解安全建议
• 查看安全建议