Seguridad de los servicios de Azure AI

La seguridad debe considerarse una prioridad máxima en el desarrollo de toda aplicación y, con el crecimiento de las aplicaciones compatibles con la inteligencia artificial, la seguridad es aún más importante. En este artículo se describen varias características de seguridad disponibles para los servicios de Azure AI. Cada característica aborda una responsabilidad específica, por lo que se pueden usar varias características en el mismo flujo de trabajo.

Para obtener una lista completa de las recomendaciones de seguridad para los servicios de Azure, consulte el artículo Base de referencia de seguridad de los servicios de Azure AI.

Características de seguridad

Característica Descripción
Seguridad de la capa de transporte (TLS) Todos los puntos de conexión de los servicios de Azure AI expuestos a través de HTTP aplican el protocolo TLS 1.2. Con un protocolo de seguridad aplicado, los consumidores que intentan llamar a un punto de conexión de servicios de Azure AI deben cumplir estas directrices:
  • El sistema operativo (SO) del cliente debe admitir TLS 1.2.
  • El lenguaje (y la plataforma) que se usen para hacer la llamada HTTP tienen que especificar TLS 1.2 como parte de la solicitud. En función del lenguaje y la plataforma, la especificación de TLS se realiza implícita o explícitamente.
  • En el caso de los usuarios de .NET, tenga en cuenta los procedimientos recomendados de Seguridad de la capa de transporte
Opciones de autenticación La autenticación es el acto de comprobar la identidad de un usuario. Por otro lado, la autorización es la especificación de los privilegios y derechos de acceso a los recursos de una identidad determinada. Una identidad es una colección de información sobre una entidad de seguridad, y una entidad de seguridad puede ser un usuario individual o un servicio.

De manera predeterminada, usted autentica sus propias llamadas a los servicios de Azure AI mediante las claves de suscripción proporcionadas; este es el método más sencillo, pero no el más seguro. El método de autenticación más seguro es usar roles administrados en Microsoft Entra ID. Para obtener información sobre esta y otras opciones de autenticación, consulte Autenticación de solicitudes en los servicios de Azure AI.
Rotación de claves Cada recurso de los servicios de Azure AI tiene dos claves de API para habilitar la rotación de secretos. Se trata de una precaución de seguridad que le permite cambiar periódicamente las claves que pueden acceder al servicio, protegiendo la privacidad del servicio en caso de que se filtre una clave. Para obtener información sobre esta y otras opciones de autenticación, consulte Rotación de claves.
Variables de entorno Las variables de entorno son pares nombre-valor que se almacenan en un entorno de desarrollo específico. Puede almacenar las credenciales de esta manera como alternativa más segura al uso de valores codificados de forma rígida en el código. Sin embargo, si el entorno está en peligro, las variables de entorno también estarán en peligro, por lo que no es el enfoque más seguro.

Para obtener instrucciones sobre cómo usar variables de entorno en el código, consulte la Guía de variables de entorno.
Claves administradas por el cliente (CMK) Esta característica es para los servicios que almacenan los datos de los clientes en reposo (durante más de 48 horas). Aunque estos datos ya cuentan con doble cifrado en servidores de Azure, los usuarios pueden obtener seguridad adicional si agregan otra capa de cifrado, con claves que administren ellos mismos. Puede vincular el servicio a Azure Key Vault y administrar allí las claves de cifrado de datos.

Solo algunos servicios pueden usar CMK; busque el servicio en la página Claves administradas por el cliente.
Redes virtuales Las redes virtuales permiten especificar qué puntos de conexión pueden hacer llamadas API al recurso. El servicio de Azure rechazará las llamadas API desde dispositivos ajenos a la red. Puede establecer una definición basada en fórmulas de la red permitida, o puede definir una lista exhaustiva de puntos de conexión que se van a permitir. Se trata de otra capa de seguridad que se puede usar en combinación con otras.
Prevención de la pérdida de datos La característica de prevención de pérdida de datos permite a un administrador decidir qué tipos de URI puede tomar su recurso de Azure como entradas (para las llamadas API que toman URI como entrada). Esto puede hacerse para evitar la posible filtración de datos confidenciales de la empresa: si una empresa almacena información confidencial (como los datos privados de un cliente) en parámetros de dirección URL, un atacante dentro de esa empresa podría enviar las direcciones URL confidenciales a un servicio de Azure, lo que expone esos datos fuera de la empresa. La prevención de pérdida de datos permite configurar el servicio para rechazar determinados formularios de URI al llegar.
Caja de seguridad del cliente La característica Caja de seguridad del cliente ofrece una interfaz para que los clientes puedan revisar y aprobar, o rechazar, las solicitudes de acceso a datos. Se usa en casos donde un ingeniero de Microsoft tiene que acceder a los datos del cliente durante una solicitud de soporte técnico. En este artículo se indica la manera de iniciar, seguir y almacenar las solicitudes de la Caja de seguridad del cliente para realizar revisiones y auditorías posteriores; consulte Caja de seguridad del cliente.

Caja de seguridad del cliente está disponible para los siguientes servicios:
  • Azure OpenAI
  • Traductor
  • Reconocimiento del lenguaje conversacional
  • Clasificación de texto personalizada
  • Reconocimiento de entidades con nombre personalizado
  • Flujo de trabajo de orquestación
Traiga su propio almacenamiento (BYOS) El servicio de voz no admite actualmente la Caja de seguridad del cliente. Sin embargo, puede organizar que los datos específicos del servicio se almacenen en su propio recurso de almacenamiento mediante BYOS (bring-your-own-storage). BYOS le permite lograr controles de datos similares a los de la Caja de seguridad del cliente. Tenga en cuenta que los datos del servicio de Voz permanecen y se procesan en la región de Azure en la que se creó el recurso de Voz. Esto se aplica a los datos en reposo y a los datos en tránsito. Para las características de personalización, como Habla personalizada y Voz personalizada, todos los datos del cliente se transfieren, almacenan y procesan en la misma región donde residen el recurso del servicio de Voz y el recurso de BYOS (si se usa).

Para usar BYOS con Voz, siga la guía de Cifrado de datos en reposo del servicio de voz.

Microsoft no usa los datos del cliente para mejorar sus modelos de voz. Además, si el registro de puntos de conexión está deshabilitado y no se usa ninguna personalización, Voz no almacena los datos de los clientes.

Pasos siguientes