Sicurezza di Servizi cognitivi di Azure

La sicurezza deve essere considerata una priorità superiore quando si sviluppano applicazioni e tutte le applicazioni. Con l'inizio delle applicazioni abilitate per l'intelligenza artificiale, la sicurezza è ancora più importante. In questo articolo vengono descritti vari aspetti della sicurezza di Servizi cognitivi di Azure, ad esempio l'uso della sicurezza del livello di trasporto, l'autenticazione, la configurazione sicura dei dati sensibili e Customer Lockbox per l'accesso ai dati dei clienti.

Transport Layer Security (TLS)

Tutti gli endpoint di Servizi cognitivi esposti tramite HTTP applicano TLS 1.2. Con un protocollo di sicurezza applicato, i consumer che tentano di chiamare un endpoint di Servizi cognitivi devono rispettare queste linee guida:

  • Il sistema operativo client deve supportare TLS 1.2
  • Lingua (e piattaforma) usata per effettuare la chiamata HTTP deve specificare TLS 1.2 come parte della richiesta
    • A seconda del linguaggio e della piattaforma, la specifica di TLS viene eseguita in modo implicito o esplicito

Per gli utenti .NET, prendere in considerazione le procedure consigliate di Transport Layer Security .

Authentication

Durante la discussione dell'autenticazione, esistono diversi errori comuni. L'autenticazione e l'autorizzazione sono spesso confuse tra loro. L'identità è anche un componente principale nella sicurezza. Un'identità è una raccolta di informazioni su un'entità . I provider di identità (IdP) forniscono identità ai servizi di autenticazione. L'autenticazione è l'atto di verificare l'identità di un utente. L'autorizzazione è la specifica dei diritti di accesso e dei privilegi per le risorse per un'identità specificata. Diverse offerte di Servizi cognitivi includono il controllo degli accessi in base al ruolo di Azure ( Controllo degli accessi in base al ruolo di Azure). Il controllo degli accessi in base al ruolo di Azure può essere usato per semplificare alcune delle cerimonie coinvolte nella gestione manuale delle entità. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure per le risorse di Azure.

Per altre informazioni sull'autenticazione con chiavi di sottoscrizione, token di accesso e Azure Active Directory (AAD), vedere autenticare le richieste a Servizi cognitivi di Azure.

Variabili di ambiente e configurazione dell'applicazione

Le variabili di ambiente sono coppie nome-valore, archiviate in un ambiente specifico. Un'alternativa più sicura all'uso dei valori hardcoded per i dati sensibili consiste nell'usare le variabili di ambiente. I valori hardcoded sono insicuri e devono essere evitati.

Attenzione

Non usare i valori hardcoded per i dati sensibili, in questo modo si tratta di una grave vulnerabilità di sicurezza.

Nota

Mentre le variabili di ambiente vengono archiviate in testo normale, sono isolate in un ambiente. Se un ambiente è compromesso, quindi anche le variabili con l'ambiente.

Impostare la variabile di ambiente

Per impostare le variabili di ambiente, usare uno dei comandi seguenti: dove ENVIRONMENT_VARIABLE_KEY è la chiave denominata ed value è il valore archiviato nella variabile di ambiente.

Creare e assegnare variabili di ambiente persistenti, dato il valore.

:: Assigns the env var to the value
setx ENVIRONMENT_VARIABLE_KEY="value"

In una nuova istanza del prompt dei comandi leggere la variabile di ambiente.

:: Prints the env var value
echo %ENVIRONMENT_VARIABLE_KEY%

Suggerimento

Dopo aver impostato una variabile di ambiente, riavviare l'ambiente di sviluppo integrato (IDE) per assicurarsi che siano disponibili le variabili di ambiente appena aggiunte.

Ottenere la variabile di ambiente

Per ottenere una variabile di ambiente, deve essere letto in memoria. A seconda del linguaggio in uso, prendere in considerazione i frammenti di codice seguenti. Questi frammenti di codice illustrano come ottenere una variabile di ambiente specificata ENVIRONMENT_VARIABLE_KEY e assegnare a una variabile denominata value.

Per altre informazioni, vedere Environment.GetEnvironmentVariable .

using static System.Environment;

class Program
{
    static void Main()
    {
        // Get the named env var, and assign it to the value variable
        var value =
            GetEnvironmentVariable(
                "ENVIRONMENT_VARIABLE_KEY");
    }
}

Customer Lockbox

Customer Lockbox per Microsoft Azure fornisce un'interfaccia per i clienti da esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti durante una richiesta di supporto. Per informazioni sul modo in cui vengono avviate le richieste di Customer Lockbox, monitorate e archiviate per le revisioni e i controlli successivi, vedere Customer Lockbox.

Customer Lockbox è disponibile per questo servizio:

  • Traduttore
  • Comprensione del linguaggio di conversazione
  • Classificazione del testo personalizzata
  • Riconoscimento personalizzato delle entità denominate
  • Flusso di lavoro di orchestrazione

Per i servizi seguenti, i tecnici Microsoft non accedono ai dati dei clienti nel livello E0:

  • Language Understanding
  • Viso
  • Content Moderator
  • Personalizza esperienze

Per richiedere la possibilità di usare lo SKU E0, compilare e inviare il modulo di richiesta. Richiederà circa 3-5 giorni lavorativi per ascoltare lo stato della richiesta. A seconda della domanda, potrebbe essere inserito in una coda e approvato come spazio diventa disponibile. Dopo aver approvato l'uso dello SKU E0 con LUIS, è necessario creare una nuova risorsa dal portale di Azure e selezionare E0 come piano tariffario. Gli utenti non potranno eseguire l'aggiornamento da F0 al nuovo SKU E0.

Il servizio Riconoscimento vocale attualmente non supporta Customer Lockbox. Tuttavia, i dati dei clienti possono essere archiviati usando bring your own storage (BYOS), consentendo di ottenere controlli dati simili a Customer Lockbox. Tenere presente che i dati del servizio voce rimangono e vengono elaborati nell'area in cui è stata creata la risorsa Voce. Ciò si applica a tutti i dati inattivi e ai dati in transito. Quando si usano funzionalità di personalizzazione, ad esempio Voce personalizzata e Voce personalizzata, tutti i dati dei clienti vengono trasferiti, archiviati ed elaborati nella stessa area in cui risiede la risorsa BYOS (se usata) e del servizio Voce.

Importante

Microsoft non usa i dati dei clienti per migliorare i modelli di riconoscimento vocale. Inoltre, se la registrazione degli endpoint è disabilitata e non vengono usate personalizzazioni, non vengono archiviati dati dei clienti.

Passaggi successivi