نظرة عامة على الأمان ل Azure Cognitive Search

  • مقالة
  • قراءة خلال 12 دقائق

توضح هذه المقالة ميزات الأمان في Azure Cognitive Search التي تحمي البيانات والعمليات.

تدفق البيانات (أنماط نسبة استخدام الشبكة)

تتم استضافة خدمة البحث المعرفية على Azure ويتم الوصول إليها عادة بواسطة تطبيقات العميل عبر اتصالات الشبكة العامة. في حين أن هذا النمط هو السائد، فإنه ليس نمط نسبة استخدام الشبكة الوحيد الذي تحتاج إلى الاهتمام به. يعد فهم جميع نقاط الدخول بالإضافة إلى نسبة استخدام الشبكة الصادرة خلفية ضرورية لتأمين بيئات التطوير والإنتاج الخاصة بك.

يحتوي البحث المعرفي على ثلاثة أنماط أساسية لنسبة استخدام الشبكة:

  • الطلبات الواردة التي يقدمها العميل إلى خدمة البحث (النمط السائد)
  • الطلبات الصادرة الصادرة عن خدمة البحث إلى خدمات أخرى على Azure وأماكن أخرى
  • طلبات الخدمة الداخلية إلى الخدمة عبر شبكة Microsoft الأساسية الآمنة

نسبة استخدام الشبكة الواردة

تتكون الطلبات الواردة التي تستهدف نقطة نهاية خدمة البحث من:

  • إنشاء أو إدارة الفهارس أو المفهرسات أو مصادر البيانات أو مجموعات المهارات أو قوائم المرادفات
  • تشغيل المفهرسات ومجموعات المهارات
  • الاستعلام عن فهرس

للوصول الوارد إلى البيانات والعمليات على خدمة البحث، يمكنك تنفيذ تقدم في إجراءات الأمان، بدءا من ميزات أمان الشبكة. يمكنك إنشاء قواعد واردة في جدار حماية IP أو نقاط نهاية خاصة تحمي خدمة البحث بالكامل من الإنترنت العام.

بشكل مستقل عن أمان الشبكة، يجب مصادقة جميع الطلبات الواردة. المصادقة المستندة إلى المفتاح هي الافتراضية. بدلا من ذلك، يمكنك استخدام Azure Active Directory والتحكم في الوصول المستند إلى الدور لعمليات مستوى البيانات (قيد المعاينة حاليا).

نسبة استخدام الشبكة الصادرة

عادة ما يتم إجراء الطلبات الصادرة من خدمة بحث إلى تطبيقات أخرى بواسطة المفهرسات للفهرسة المستندة إلى النص وبعض جوانب الإثراء الذكاء الاصطناعي. تتضمن الطلبات الصادرة عمليات القراءة والكتابة.

يتم تقديم الطلبات الصادرة بواسطة خدمة البحث نيابة عنها، وبالنيابة عن مفهرس أو مهارة مخصصة:

  • يتصل البحث ب Azure Key Vault لمفتاح مدار من قبل العميل يستخدم لتشفير البيانات الحساسة وفك تشفيرها.
  • تتصل المفهرسات بمصادر البيانات الخارجية لقراءة البيانات للفهرسة.
  • يكتب المفهرسون إلى Azure Storage عند إنشاء مخازن المعرفة، واستمرار عمليات الإثراء المخزنة مؤقتا، وجلسات تتبع الأخطاء المستمرة.
  • تتصل المهارات المخصصة بوظيفة أو تطبيق Azure لتشغيل التعليمات البرمجية الخارجية المستضافة خارج الخدمة. يتم إرسال طلب المعالجة الخارجية أثناء تنفيذ مجموعة المهارات.

يمكن إجراء الاتصالات الصادرة باستخدام سلسلة اتصال الوصول الكامل للمورد التي تتضمن مفتاحا أو تسجيل دخول إلى قاعدة بيانات، أو تسجيل دخول Azure AD (هوية مدارة) إذا كنت تستخدم Azure Active Directory.

إذا كان مورد Azure الخاص بك خلف جدار حماية، فستحتاج إلى إنشاء قواعد تسمح بطلبات خدمة البحث. بالنسبة للموارد المحمية بواسطة Azure Private Link، يمكنك إنشاء ارتباط خاص مشترك يستخدمه المفهرس لإجراء اتصاله.

نسبة استخدام الشبكة الداخلية

يتم تأمين الطلبات الداخلية وإدارتها بواسطة Microsoft. لا يمكنك تكوين هذه الاتصالات أو التحكم فيها. إذا كنت تقوم بتأمين الوصول إلى الشبكة، فلا يلزم اتخاذ أي إجراء من جانبك لأن نسبة استخدام الشبكة الداخلية غير قابلة للتكوين من قبل العميل.

تتكون نسبة استخدام الشبكة الداخلية من:

  • استدعاءات الخدمة إلى الخدمة لمهام مثل المصادقة والتخويل من خلال Azure Active Directory وتسجيل التشخيص المرسل إلى Azure Monitor واتصالات نقطة النهاية الخاصة التي تستخدم Azure Private Link.
  • الطلبات المقدمة إلى واجهات برمجة تطبيقات الخدمات المعرفية للمهارات المضمنة.

أمان الشبكة

يحمي أمان الشبكة الموارد من الوصول غير المصرح به أو الهجوم من خلال تطبيق عناصر التحكم على حركة مرور الشبكة. يدعم Azure Cognitive Search ميزات الشبكات التي يمكن أن تكون خط الدفاع الأول ضد الوصول غير المصرح به.

الاتصال الوارد من خلال جدران حماية IP

يتم توفير خدمة البحث بنقطة نهاية عامة تسمح بالوصول باستخدام عنوان IP عام. لتقييد حركة المرور التي تأتي من خلال نقطة النهاية العامة، قم بإنشاء قاعدة جدار حماية واردة تقبل الطلبات من عنوان IP معين أو نطاق من عناوين IP. يجب إجراء جميع اتصالات العميل من خلال عنوان IP مسموح به، أو يتم رفض الاتصال.

sample architecture diagram for ip restricted access

يمكنك استخدام المدخل لتكوين الوصول إلى جدار الحماية.

بدلا من ذلك، يمكنك استخدام واجهات برمجة تطبيقات REST للإدارة. بدءا من إصدار API 2020-03-13، باستخدام المعلمة IpRule ، يمكنك تقييد الوصول إلى الخدمة الخاصة بك عن طريق تحديد عناوين IP، بشكل فردي أو في نطاق، والتي تريد منحها حق الوصول إلى خدمة البحث الخاصة بك.

الاتصال الوارد بنقطة نهاية خاصة (عزل الشبكة، عدم وجود حركة مرور على الإنترنت)

لمزيد من الأمان الصارم، يمكنك إنشاء نقطة نهاية خاصة ل Azure Cognitive Search تسمح للعميل على شبكة ظاهرية بالوصول بأمان إلى البيانات في فهرس بحث عبر ارتباط خاص.

تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان الشبكة الظاهرية للاتصالات بخدمة البحث. تعبر نسبة استخدام الشبكة بين العميل وخدمة البحث عبر الشبكة الظاهرية ورابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام. تسمح الشبكة الظاهرية بالاتصال الآمن بين الموارد، مع شبكتك المحلية وكذلك الإنترنت.

sample architecture diagram for private endpoint access

في حين أن هذا الحل هو الأكثر أمانا، فإن استخدام خدمات إضافية هو تكلفة إضافية لذا تأكد من أن لديك فهما واضحا للفوائد قبل الغوص فيها. لمزيد من المعلومات حول التكاليف، راجع صفحة التسعير. لمزيد من المعلومات حول كيفية عمل هذه المكونات معا، شاهد هذا الفيديو. تبدأ تغطية خيار نقطة النهاية الخاصة في الساعة 5:48 في الفيديو. للحصول على إرشادات حول كيفية إعداد نقطة النهاية، راجع إنشاء نقطة نهاية خاصة ل Azure Cognitive Search.

المصادقة

بمجرد قبول الطلب، يجب أن يظل خاضعا للمصادقة والتخويل الذي يحدد ما إذا كان الطلب مسموحا به. يدعم البحث المعرفي نهجين:

  • يتم تنفيذ المصادقة المستندة إلى المفتاح على الطلب (وليس تطبيق الاستدعاء أو المستخدم) من خلال مفتاح API، حيث يكون المفتاح عبارة عن سلسلة تتكون من أرقام وأحرف تم إنشاؤها عشوائيا تثبت أن الطلب من مصدر موثوق به. المفاتيح مطلوبة في كل طلب. يعتبر إرسال مفتاح صالح دليلا على أن الطلب ينشأ من كيان موثوق به.

  • Azure AD المصادقة (معاينة) تأسيس المتصل (وليس الطلب) كهوية مصادق عليها. يحدد تعيين دور Azure العملية المسموح بها.

تخضع الطلبات الصادرة التي يقدمها المفهرس لبروتوكولات المصادقة التي تدعمها الخدمة الخارجية. يمكن جعل خدمة البحث خدمة موثوق بها على Azure، والاتصال بخدمات أخرى باستخدام نظام أو هوية مدارة يعينها المستخدم. لمزيد من المعلومات، راجع إعداد اتصال مفهرس بمصدر بيانات باستخدام هوية مدارة.

التخويل

يوفر البحث المعرفي نماذج تخويل مختلفة لإدارة المحتوى وإدارة الخدمة.

تخويل لإدارة المحتوى

إذا كنت تستخدم المصادقة المستندة إلى المفتاح، يتم منح التخويل على عمليات المحتوى من خلال نوع مفتاح API على الطلب:

  • مفتاح المسؤول (يسمح بالوصول للقراءة والكتابة لعمليات إنشاء-قراءة-تحديث-حذف على خدمة البحث)، التي تم إنشاؤها عند توفير الخدمة

  • مفتاح الاستعلام (يسمح بالوصول للقراءة فقط إلى مجموعة المستندات الخاصة بفهرس)، تم إنشاؤه حسب الحاجة وتم تصميمه لتطبيقات العميل التي تصدر الاستعلامات

في التعليمات البرمجية للتطبيق، يمكنك تحديد نقطة النهاية ومفتاح API للسماح بالوصول إلى المحتوى والخيارات. قد تكون نقطة النهاية هي الخدمة نفسها أو مجموعة الفهارس أو فهرس معين أو مجموعة مستندات أو مستند معين. عند ربطها معا، تشكل نقطة النهاية والعملية (على سبيل المثال، طلب إنشاء أو تحديث) ومستوى الأذونات (حقوق كاملة أو للقراءة فقط استنادا إلى المفتاح) صيغة الأمان التي تحمي المحتوى والعمليات.

إذا كنت تستخدم مصادقة Azure AD، فاستخدم تعيينات الأدوار بدلا من مفاتيح واجهة برمجة التطبيقات لتحديد من يمكنه القراءة والكتابة إلى خدمة البحث الخاصة بك وما يمكنه قراءته وكتابته.

التحكم في الوصول إلى الفهارس

في Azure Cognitive Search، الفهرس الفردي بشكل عام ليس كائنا قابلا للتأمين. كما هو ملاحظ سابقا للمصادقة المستندة إلى المفتاح، سيتضمن الوصول إلى فهرس أذونات القراءة أو الكتابة استنادا إلى مفتاح API الذي توفره على الطلب، بالإضافة إلى سياق العملية. في طلب استعلام، لا يوجد مفهوم للانضمام إلى الفهارس أو الوصول إلى فهارس متعددة في وقت واحد بحيث تستهدف جميع الطلبات فهرسا واحدا حسب التعريف. على هذا النحو، يحدد بناء طلب الاستعلام نفسه (مفتاح بالإضافة إلى فهرس هدف واحد) حد الأمان.

إذا كنت تستخدم أدوار Azure، يمكنك تعيين أذونات على الفهارس الفردية طالما تم ذلك برمجيا.

بالنسبة لسيناريوهات المصادقة المستندة إلى المفتاح، يكون وصول المسؤول والمطور إلى الفهارس غير مبال: يحتاج كلاهما إلى الوصول للكتابة لإنشاء الكائنات التي تديرها الخدمة وحذفها وتحديثها. يمكن لأي شخص لديه مفتاح مسؤول للخدمة قراءة أي فهرس في الخدمة نفسها أو تعديله أو حذفه. للحماية من الحذف العرضي أو الضار للفهارس، فإن التحكم في المصدر الداخلي لأصول التعليمات البرمجية هو الحل لعكس حذف فهرس غير مرغوب فيه أو تعديله. يحتوي Azure Cognitive Search على تجاوز الفشل داخل نظام المجموعة لضمان التوفر، ولكنه لا يخزن أو ينفذ التعليمات البرمجية الخاصة بك المستخدمة لإنشاء الفهارس أو تحميلها.

بالنسبة لحلول تعدد المستأجرين التي تتطلب حدود أمان على مستوى الفهرس، تتضمن هذه الحلول عادة مستوى متوسطا، يستخدمه العملاء للتعامل مع عزل الفهرس. لمزيد من المعلومات حول حالة الاستخدام متعددة المستأجرين، راجع أنماط التصميم لتطبيقات SaaS متعددة المستأجرين والبحث المعرفي من Azure.

التحكم في الوصول إلى المستندات

إذا كنت تحتاج إلى تحكم متعدد المستويات لكل مستخدم في نتائج البحث، يمكنك إنشاء عوامل تصفية أمان على استعلاماتك، مع إرجاع المستندات المقترنة بهوية أمان معينة.

مكافئ من الناحية المفاهيمية ل "الأمان على مستوى الصف"، التخويل للمحتوى داخل الفهرس غير مدعوم أصلا باستخدام أدوار محددة مسبقا أو تعيينات أدوار تعين إلى كيانات في Azure Active Directory. لا تنقل أي أذونات مستخدم على البيانات في الأنظمة الخارجية، مثل Cosmos DB، تلك البيانات حيث تتم فهرستها بواسطة البحث المعرفي.

تتضمن الحلول البديلة للحلول التي تتطلب "أمان على مستوى الصف" إنشاء حقل في مصدر البيانات يمثل مجموعة أمان أو هوية مستخدم، ثم استخدام عوامل التصفية في البحث المعرفي لاقتطاع نتائج البحث من المستندات والمحتوى بشكل انتقائي استنادا إلى الهويات. يصف الجدول التالي طريقتين لاقتطاع نتائج البحث من المحتوى غير المصرح به.

النهج الوصف
اقتطاع الأمان استنادا إلى عوامل تصفية الهوية توثيق سير العمل الأساسي لتنفيذ التحكم في الوصول إلى هوية المستخدم. وهو يغطي إضافة معرفات الأمان إلى فهرس، ثم يشرح التصفية مقابل هذا الحقل لاقتطاع نتائج المحتوى المحظور.
اقتطاع الأمان استنادا إلى هويات Azure Active Directory تتوسع هذه المقالة في المقالة السابقة، وتوفر خطوات لاسترداد الهويات من Azure Active Directory (Azure AD)، وهي إحدى الخدمات المجانية في النظام الأساسي السحابي ل Azure.

تخويل لإدارة الخدمة

يتم تفويض عمليات إدارة الخدمة من خلال التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC). Azure RBAC هو نظام تخويل مبني على Azure Resource Manager لتوفير موارد Azure.

في Azure Cognitive Search، يتم استخدام Resource Manager لإنشاء الخدمة أو حذفها، وإدارة مفاتيح واجهة برمجة التطبيقات، وتوسيع نطاق الخدمة. على هذا النحو، ستحدد تعيينات دور Azure من يمكنه تنفيذ هذه المهام، بغض النظر عما إذا كانوا يستخدمون المدخل أو PowerShell أو واجهات برمجة تطبيقات REST للإدارة.

يتم تحديد ثلاثة أدوار أساسية لإدارة خدمة البحث. يمكن إجراء تعيينات الأدوار باستخدام أي منهجية مدعومة (المدخل وPowerShell وما إلى ذلك) ويتم تكريمها على مستوى الخدمة. يمكن لأدوار المالك والمساهم أداء مجموعة متنوعة من وظائف الإدارة. يمكنك تعيين دور القارئ للمستخدمين الذين يعرضون المعلومات الأساسية فقط.

ملاحظة

باستخدام آليات Azure على مستوى Azure، يمكنك تأمين اشتراك أو مورد لمنع الحذف العرضي أو غير المصرح به لخدمة البحث الخاصة بك من قبل المستخدمين الذين لديهم حقوق المسؤول. لمزيد من المعلومات، راجع تأمين الموارد لمنع الحذف غير المتوقع.

حماية البيانات

في طبقة التخزين، يتم تضمين تشفير البيانات لجميع المحتويات المدارة بواسطة الخدمة المحفوظة على القرص، بما في ذلك الفهارس وخرائط المرادفات وتعريفات المفهرسات ومصادر البيانات ومجموعات المهارات. اختياريا، يمكنك إضافة مفاتيح يديرها العميل (CMK) للتشفير التكميلي للمحتوى المفهرس. بالنسبة للخدمات التي تم إنشاؤها بعد 1 أغسطس 2020، يمتد تشفير CMK إلى البيانات الموجودة على الأقراص المؤقتة، من أجل "التشفير المزدوج" الكامل للمحتوى المفهرس.

البيانات المتنقلة

في Azure Cognitive Search، يبدأ التشفير بالاتصالات والإرسالات، ويمتد إلى المحتوى المخزن على القرص. للحصول على خدمات البحث على الإنترنت العام، يستمع Azure Cognitive Search على منفذ HTTPS 443. تستخدم جميع اتصالات العميل بالخدمة تشفير TLS 1.2. الإصدارات السابقة (1.0 أو 1.1) غير مدعومة.

البيانات الثابتة

بالنسبة للبيانات التي تعالجها خدمة البحث داخليا، يصف الجدول التالي نماذج تشفير البيانات. بعض الميزات، مثل مخزن المعرفة والإثراء التزايدي والفهرسة المستندة إلى المفهرس، للقراءة من أو الكتابة إلى بنيات البيانات في خدمات Azure الأخرى. تتمتع هذه الخدمات بمستويات دعم التشفير الخاصة بها منفصلة عن Azure Cognitive Search.

النموذج المفاتيح المتطلبات القيود ينطبق على
التشفير من جانب الخادم مفاتيح تديرها Microsoft بلا (مضمن) لا شيء، متوفر على جميع المستويات، في جميع المناطق، للمحتوى الذي تم إنشاؤه بعد 24 يناير 2018. المحتوى (الفهارس وخرائط المرادفات) والتعريفات (المفهرسات ومصادر البيانات ومجموعات المهارات)
التشفير من جانب الخادم المفاتيح التي يديرها العميل Azure Key Vault متوفر على المستويات القابلة للفوترة، في جميع المناطق، للمحتوى الذي تم إنشاؤه بعد يناير 2019. المحتوى (الفهارس وخرائط المرادفات) على أقراص البيانات
التشفير المزدوج من جانب الخادم المفاتيح التي يديرها العميل Azure Key Vault متوفر على المستويات القابلة للفوترة، في مناطق محددة، على خدمات البحث بعد 1 أغسطس 2020. المحتوى (الفهارس وخرائط المرادفات) على أقراص البيانات والأقراص المؤقتة

المفاتيح المدارة بواسطة الخدمة

التشفير المدار بواسطة الخدمة هو عملية داخلية من Microsoft، استنادا إلى تشفير خدمة تخزين Azure، باستخدام تشفير AES 256 بت. يحدث تلقائيا على جميع الفهرسة، بما في ذلك التحديثات التزايدية للفهرس غير المشفرة بالكامل (التي تم إنشاؤها قبل يناير 2018).

المفاتيح التي يديرها العميل (CMK)

تتطلب المفاتيح التي يديرها العميل خدمة إضافية قابلة للفوترة، Azure Key Vault، والتي يمكن أن تكون في منطقة مختلفة، ولكن ضمن نفس الاشتراك، مثل Azure Cognitive Search. سيؤدي تمكين تشفير CMK إلى زيادة حجم الفهرس وتدهور أداء الاستعلام. استنادا إلى الملاحظات حتى الآن، يمكنك أن تتوقع أن ترى زيادة بنسبة 30٪-60٪ في أوقات الاستعلام، على الرغم من أن الأداء الفعلي سيختلف اعتمادا على تعريف الفهرس وأنواع الاستعلامات. وبسبب تأثير الأداء هذا، نوصي بتمكين هذه الميزة فقط على الفهارس التي تتطلبها حقا. لمزيد من المعلومات، راجع تكوين مفاتيح التشفير المدارة من قبل العميل في Azure Cognitive Search.

تشفير مزدوج

في Azure Cognitive Search، يعد التشفير المزدوج امتدادا ل CMK. من المفهوم أن يكون تشفيرا مزدوجا (مرة بواسطة CMK، ومرة أخرى بواسطة مفاتيح مدارة بواسطة الخدمة)، وشاملا في النطاق، ويشمل التخزين طويل الأجل المكتوب على قرص البيانات، والتخزين قصير المدى المكتوب على الأقراص المؤقتة. يتم تنفيذ التشفير المزدوج في الخدمات التي تم إنشاؤها بعد تواريخ محددة. لمزيد من المعلومات، راجع التشفير المزدوج.

إدارة الأمان

إدارة مفاتيح واجهة برمجة التطبيقات

يعني الاعتماد على المصادقة المستندة إلى مفتاح API أنه يجب أن يكون لديك خطة لإعادة إنشاء مفتاح المسؤول على فترات منتظمة، وفقا لأفضل ممارسات أمان Azure. يوجد حد أقصى لمفاتيح المسؤولين لكل خدمة بحث. لمزيد من المعلومات حول تأمين مفاتيح واجهة برمجة التطبيقات وإدارتها، راجع إنشاء مفاتيح واجهة برمجة التطبيقات وإدارتها.

سجلات النشاط والتشخيص

لا يقوم البحث المعرفي بتسجيل هويات المستخدمين، لذا لا يمكنك الرجوع إلى السجلات للحصول على معلومات حول مستخدم معين. ومع ذلك، تقوم الخدمة بتسجيل عمليات create-read-update-delete، والتي قد تتمكن من ربطها بالسجلات الأخرى لفهم وكالة إجراءات معينة.

باستخدام التنبيهات والبنية الأساسية للتسجيل في Azure، يمكنك المتابعة على ارتفاعات حجم الاستعلام أو الإجراءات الأخرى التي تنحرف عن أحمال العمل المتوقعة. لمزيد من المعلومات حول إعداد السجلات، راجع تجميع بيانات السجل وتحليلهاومراقبة طلبات الاستعلام.

الشهادات والامتثال

يشارك Azure Cognitive Search في عمليات التدقيق المنتظمة، وقد تم اعتماده مقابل العديد من المعايير العالمية والإقليمية والخاصة بالصناعة لكل من السحابة العامة Azure Government. للحصول على القائمة الكاملة، قم بتنزيل المستند التقني لعروض التوافق من Microsoft Azure من صفحة تقارير التدقيق الرسمية.

للامتثال، يمكنك استخدام نهج Azure لتنفيذ أفضل ممارسات الأمان العالي لمعيار أمان Azure. Azure Security Benchmark هو مجموعة من توصيات الأمان، والتي تم تدوينها في عناصر تحكم الأمان التي تعين الإجراءات الرئيسية التي يجب عليك اتخاذها للتخفيف من التهديدات للخدمات والبيانات. هناك حاليا 11 عنصر تحكم أمان، بما في ذلك أمان الشبكةوالتسجيل والمراقبةوحماية البيانات على سبيل المثال لا الحصر.

Azure Policy هي إمكانية مضمنة في Azure تساعدك على إدارة التوافق لمعايير متعددة، بما في ذلك معايير Azure Security Benchmark. بالنسبة إلى المعايير المعروفة، يوفر نهج Azure تعريفات مضمنة توفر كلا من المعايير والاستجابة القابلة للتنفيذ التي تعالج عدم الامتثال.

بالنسبة إلى Azure Cognitive Search، يوجد حاليا تعريف واحد مضمن. إنه للتسجيل التشخيصي. باستخدام هذا المضمن، يمكنك تعيين نهج يحدد أي خدمة بحث تفتقد إلى التسجيل التشخيصي، ثم تشغيله. لمزيد من المعلومات، راجع ضوابط التوافق التنظيمي لسياسة Azure ل Azure Cognitive Search.

مشاهدة هذا الفيديو

شاهد هذا الفيديو السريع الوتيرة للحصول على نظرة عامة حول بنية الأمان وكل فئة من فئات الميزات.

راجع أيضًا