Servizi cognitivi di Azure sicurezza

La sicurezza deve essere considerata una priorità assoluta quando si sviluppano tutte le applicazioni. Con l'inizio delle applicazioni abilitate per l'intelligenza artificiale, la sicurezza è ancora più importante. In questo articolo vengono descritti vari aspetti della sicurezza Servizi cognitivi di Azure, ad esempio l'uso della sicurezza del livello di trasporto, l'autenticazione, la configurazione sicura dei dati sensibili e Customer Lockbox per l'accesso ai dati dei clienti.

Transport Layer Security (TLS)

Tutti gli endpoint di Servizi cognitivi esposti tramite HTTP applicano TLS 1.2. Con un protocollo di sicurezza applicato, i consumer che tentano di chiamare un endpoint di Servizi cognitivi devono rispettare queste linee guida:

  • Il sistema operativo client deve supportare TLS 1.2
  • Il linguaggio (e la piattaforma) usati per effettuare la chiamata HTTP devono specificare TLS 1.2 come parte della richiesta
    • A seconda del linguaggio e della piattaforma, la specifica di TLS viene eseguita in modo implicito o esplicito

Per gli utenti .NET, prendere in considerazione Transport Layer Security procedure consigliate.

Authentication

Quando si parla di autenticazione, esistono diversi errori comuni. L'autenticazione e l'autorizzazione sono spesso confuse l'una per l'altra. L'identità è anche un componente importante per la sicurezza. Un'identità è una raccolta di informazioni su un'entità . I provider di identità (IdP) forniscono identità ai servizi di autenticazione. L'autenticazione è l'atto di verificare l'identità di un utente. L'autorizzazione è la specifica dei diritti di accesso e dei privilegi alle risorse per una determinata identità. Diverse offerte di Servizi cognitivi includono il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo di Azure può essere usato per semplificare alcune delle attività di gestione manuale delle entità. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure per le risorse di Azure.

Per altre informazioni sull'autenticazione con chiavi di sottoscrizione, token di accesso e Azure Active Directory (AAD), vedere Autenticarele richieste Servizi cognitivi di Azure .

Variabili di ambiente e configurazione dell'applicazione

Le variabili di ambiente sono coppie nome-valore, archiviate all'interno di un ambiente specifico. Un'alternativa più sicura all'uso di valori hardcoded per i dati sensibili consiste nell'usare le variabili di ambiente. I valori hardcoded non sono sicuri e devono essere evitati.

Attenzione

Non usare valori hardcoded per i dati sensibili. Questa è una delle principali vulnerabilità di sicurezza.

Nota

Mentre le variabili di ambiente vengono archiviate in testo normale, sono isolate in un ambiente. Se un ambiente è compromesso, lo sono anche le variabili con l'ambiente.

Impostare la variabile di ambiente

Per impostare le variabili di ambiente, usare uno dei comandi seguenti, dove è la chiave denominata ENVIRONMENT_VARIABLE_KEY e è il valore archiviato nella variabile di ambiente value .

Creare e assegnare una variabile di ambiente persistente, dato il valore .

:: Assigns the env var to the value
setx ENVIRONMENT_VARIABLE_KEY="value"

In una nuova istanza del prompt dei comandi leggere la variabile di ambiente .

:: Prints the env var value
echo %ENVIRONMENT_VARIABLE_KEY%

Suggerimento

Dopo aver impostato una variabile di ambiente, riavviare l'ambiente di sviluppo integrato (IDE) per assicurarsi che siano disponibili le variabili di ambiente appena aggiunte.

Ottenere la variabile di ambiente

Per ottenere una variabile di ambiente, è necessario leggerla in memoria. A seconda del linguaggio in uso, prendere in considerazione i frammenti di codice seguenti. Questi frammenti di codice illustrano come ottenere la variabile di ambiente in base ENVIRONMENT_VARIABLE_KEY a e assegnarla a una variabile denominata value .

Per altre informazioni, vedere Environment.GetEnvironmentVariable .

using static System.Environment;

class Program
{
    static void Main()
    {
        // Get the named env var, and assign it to the value variable
        var value =
            GetEnvironmentVariable(
                "ENVIRONMENT_VARIABLE_KEY");
    }
}

Customer Lockbox

Customer Lockbox per Microsoft Azure un'interfaccia che i clienti possono esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti durante una richiesta di supporto. Per informazioni su come Customer Lockbox richieste vengono avviate, rilevate e archiviate per verifiche e controlli successivi, vedere Customer Lockbox.

Customer Lockbox è disponibile per questo servizio:

  • Traduttore

Per i servizi seguenti, i tecnici Microsoft non accederanno ai dati dei clienti nel livello E0:

  • Language Understanding
  • Viso
  • Content Moderator
  • Personalizza esperienze

Importante

Ad riconoscimento modulo, i tecnici Microsoft non accederanno ai dati dei clienti nelle risorse create dopo il 10 luglio 2020.

Per richiedere la possibilità di usare lo SKU E0, compilare e inviare questo modulo di richiesta. Saranno circa 3-5 giorni lavorativi per ascoltare lo stato della richiesta. A seconda della richiesta, è possibile che si venga inseriti in una coda e approvati quando lo spazio diventa disponibile. Dopo aver approvato l'uso dello SKU E0 con LUIS, è necessario creare una nuova risorsa dal portale di Azure e selezionare E0 come piano tariffario. Gli utenti non potranno eseguire l'aggiornamento da F0 al nuovo SKU E0.

Il servizio Voce attualmente non supporta l'Customer Lockbox. Tuttavia, i dati dei clienti possono essere archiviati usando BYOS (Bring Your Own Storage), consentendo di ottenere controlli dati simili per Customer Lockbox. Tenere presente che i dati del servizio Voce rimangono e vengono elaborati nell'area in cui è stata creata la risorsa Voce. Questo vale per tutti i dati in stato di inquieto e i dati in transito. Quando si usano funzionalità di personalizzazione, ad esempio Riconoscimento vocale personalizzato e voce personalizzata, tutti i dati dei clienti vengono trasferiti, archiviati ed elaborati nella stessa area in cui si trovano le risorse BYOS (se in uso) e del servizio Voce.

Importante

Microsoft non usa i dati dei clienti per migliorare i modelli di riconoscimento vocale. Inoltre, se la registrazione degli endpoint è disabilitata e non vengono usate personalizzazioni, non viene archiviato alcun dato del cliente.

Passaggi successivi