Azure AI 服務的安全性
在開發所有應用程式時,安全性應視為首要任務,隨著人工智慧應用程式成長,安全性就更加重要。 此文章概述 Azure AI 服務可用的各種安全性功能。 每項功能都解決特定責任,因此可以在相同的工作流程中使用多個功能。
如需 Azure 服務安全性建議的完整清單,請參閱 Azure AI 服務安全性基準一文。
安全性功能
| 功能 | 描述 |
|---|---|
| 傳輸層安全性 (TLS) | 所有透過 HTTP 公開的 Azure AI 服務端點都會強制使用 TLS 1.2 通訊協定。 透過強制執行的安全性通訊協定,嘗試呼叫 Azure AI 服務端點的取用者應遵循下列指導方針:
|
| 驗證選項 | 驗證是驗證使用者身分識別的動作。 相較之下,授權是指定身分識別資源的存取權限和權限規格。 身分識別是主體相關資訊的集合,而主體可以是個別使用者或服務。 根據預設,您會使用隨附的訂用帳戶金鑰來驗證自己對 Azure AI 服務的呼叫;這是最簡單的方法,但並非最安全。 最安全的驗證方法是在 Microsoft Entra ID 中使用受控角色。 若要了解這個和其他驗證選項,請參閱驗證對 Azure AI 服務的要求 (部分機器翻譯)。 |
| 金鑰輪替 | 每個 Azure AI 服務資源都有兩個 API 金鑰,可以啟用祕密輪替。 這是一項安全性預防措施,可以讓您定期變更可存取服務的金鑰,在金鑰外洩時保護服務的隱私權。 若要了解此方法及其他驗證選項,請參閱輪替金鑰。 |
| 環境變數 | 環境變數是儲存在特定開發環境中的成對的名稱和數值。 環境變數比在程式碼中使用硬式編碼值更安全。 如需如何在程式碼中使用環境變數的指示,請參閱環境變數指南。 不過,如果您的環境遭到入侵,環境變數也會遭到入侵,因此這不是最安全的方法。 最安全的驗證方法是在 Microsoft Entra ID 中使用受控角色。 若要了解這個和其他驗證選項,請參閱驗證對 Azure AI 服務的要求 (部分機器翻譯)。 |
| 客戶自控金鑰 (CMK) | 此功能適用於將客戶待用資料儲存 (超過 48 小時) 的服務。 雖然此資料已在 Azure 伺服器上雙重加密,但使用者可以藉由新增另一層加密 (透過他們自行管理的金鑰) 來獲得額外的安全性。 您可以將服務連結至 Azure Key Vault,並在該處管理您的資料加密金鑰。 在客戶自控金鑰文件中查看您想要使用的服務是否支援 CMK。 |
| 虛擬網路 | 虛擬網路可讓您指定可以對您的資源進行 API 呼叫的端點。 Azure 服務會拒絕來自網路外部裝置的 API 呼叫。 您可以設定允許網路的公式型定義,也可以定義允許的完整端點清單。 這是另一層安全性,可與其他安全性搭配使用。 |
| 資料外洩防護 | 資料外洩防護功能可讓管理員決定其 Azure 資源可以接受何種類型的 URI 作為輸入 (這些 API 呼叫會採用 URI 作為輸入)。 這可以避免公司敏感性資料遭到外洩:如果公司將機密資訊儲存 (例如客戶的私人資料) URL 參數中,則該公司內的不良執行者可能將敏感性 URL 提交至 Azure 服務,以將公司資料對外公開。 資料外洩防護可讓您設定服務來拒絕到來的特定 URI 表單。 |
| 客戶加密箱 | 客戶加密箱為客戶提供檢閱及核准或拒絕資料存取要求的介面。 在 Microsoft 工程師必須於支援要求期間存取客戶資料的情況下,便會使用此功能。 如需有關如何起始、追蹤和儲存客戶加密箱要求以進行後續檢閱與稽核的詳細資訊,請參閱客戶加密箱指南。 客戶加密箱適用於下列服務:
|
| 自備儲存體 (BYOS) | 語音服務目前不支援客戶加密箱。 不過,您可以使用自備儲存體 (BYOS),將服務特定的資料儲存在您自己的儲存體資源中。 BYOS 讓您對客戶加密箱達到相同的資料控制。 請記住,語音服務資料會予以保留,並在建立語音資源的 Azure 區域中進行處理。 這適用於任何待用資料和傳輸中的資料。 針對自訂功能 (例如自訂語音 (Custom Speech) 和自訂語音 (Custom Voice)),所有客戶資料都會在您語音服務資源和 BYOS (若使用) 資源所在的相同區域中傳送、儲存和處理。 若要搭配語音使用 BYOS,請遵循待用資料的語音加密指南。 Microsoft 不會使用客戶資料來改善其語音模型。 此外,如果停用端點記錄且未使用任何自訂,則不會透過語音儲存任何客戶資料。 |
下一步
- 探索 Azure AI 服務 (部分機器翻譯),然後選擇要開始使用的服務。