Sicurezza dei servizi di intelligenza artificiale di Azure
La sicurezza deve essere considerata una priorità assoluta nello sviluppo di tutte le applicazioni e, con la crescita delle applicazioni abilitate per l'intelligenza artificiale, la sicurezza è ancora più importante. Questo articolo illustra varie funzionalità di sicurezza disponibili per i servizi di intelligenza artificiale di Azure. Ogni funzionalità risolve una responsabilità specifica, quindi è possibile usare più funzionalità nello stesso flusso di lavoro.
Per un elenco completo delle raccomandazioni sulla sicurezza dei servizi di Azure, vedere l'articolo Baseline di sicurezza dei servizi di intelligenza artificiale di Azure.
Funzionalità di sicurezza
| Funzionalità | Descrizione |
|---|---|
| Transport Layer Security (TLS) | Tutti gli endpoint dei servizi di intelligenza artificiale di Azure esposti tramite HTTP applicano il protocollo TLS 1.2. Con un protocollo di sicurezza applicato, i consumer che tentano di chiamare un endpoint di Servizi di intelligenza artificiale di Azure devono seguire queste linee guida:
|
| Opzioni di autenticazione | L'autenticazione è l'atto di verificare l'identità di un utente. L'autorizzazione, al contrario, è la specifica dei diritti di accesso e dei privilegi per le risorse per una determinata identità. Un'identità è una raccolta di informazioni su un'entità di sicurezza e un'entità può essere un singolo utente o un servizio.Per impostazione predefinita, si autenticano le proprie chiamate ai servizi di intelligenza artificiale di Azure usando le chiavi di sottoscrizione fornite; questo è il metodo più semplice, ma non il più sicuro. Il metodo di autenticazione più sicuro consiste nell'usare i ruoli gestiti in Microsoft Entra ID. Per informazioni su questa e altre opzioni di autenticazione, vedere Autenticare le richieste ai servizi di intelligenza artificiale di Azure. |
| Rotazione delle chiavi | Ogni risorsa dei servizi di intelligenza artificiale di Azure ha due chiavi API per abilitare la rotazione dei segreti. Si tratta di una precauzione di sicurezza che consente di modificare regolarmente le chiavi che possono accedere al servizio, proteggendo la privacy del servizio in caso di perdita di una chiave. Per altre informazioni su questa e altre opzioni di autenticazione, vedere Ruotare le chiavi. |
| Variabili di ambiente | Le variabili di ambiente sono coppie nome-valore archiviate in un ambiente di sviluppo specifico. È possibile archiviare le credenziali in questo modo come alternativa più sicura all'uso dei valori hardcoded nel codice. Tuttavia, se l'ambiente è compromesso, anche le variabili di ambiente vengono compromesse, quindi questo non è l'approccio più sicuro.Per istruzioni su come usare le variabili di ambiente nel codice, vedere la guida alle variabili di ambiente. |
| Chiavi gestite dal cliente | Questa funzionalità è destinata ai servizi che archiviano i dati dei clienti inattivi (più di 48 ore). Anche se questi dati sono già crittografati a doppio livello nei server di Azure, gli utenti possono ottenere una maggiore sicurezza aggiungendo un altro livello di crittografia, con le chiavi che gestiscono autonomamente. È possibile collegare il servizio ad Azure Key Vault e gestire le chiavi di crittografia dei dati. Solo alcuni servizi possono usare CMK; cercare il servizio nella pagina Chiavi gestite dal cliente. |
| Reti virtuali | Le reti virtuali consentono di specificare quali endpoint possono effettuare chiamate API alla risorsa. Il servizio di Azure rifiuterà le chiamate API dai dispositivi esterni alla rete. È possibile impostare una definizione basata su formula della rete consentita oppure definire un elenco completo di endpoint da consentire. Si tratta di un altro livello di sicurezza che può essere usato in combinazione con altri utenti. |
| Prevenzione della perdita dei dati | La funzionalità di prevenzione della perdita dei dati consente a un amministratore di decidere quali tipi di URI la risorsa di Azure può accettare come input (per le chiamate API che accettano URI come input). Questa operazione può essere eseguita per evitare la possibile esfiltrazione dei dati aziendali sensibili: se un'azienda archivia informazioni riservate (ad esempio i dati privati di un cliente) nei parametri URL, un attore non valido all'interno di tale azienda potrebbe inviare gli URL sensibili a un servizio di Azure, che espone tali dati all'esterno dell'azienda. La prevenzione della perdita dei dati consente di configurare il servizio per rifiutare determinati moduli URI all'arrivo. |
| Customer Lockbox | La funzionalità Customer Lockbox fornisce un'interfaccia che consente ai clienti di esaminare e approvare o rifiutare le richieste di accesso ai dati. Viene usato nei casi in cui un tecnico Microsoft deve accedere ai dati dei clienti durante una richiesta di supporto. Per informazioni su come vengono avviate, monitorate e archiviate le richieste di Customer Lockbox per revisioni e controlli successivi, vedere la guida a Customer Lockbox.Customer Lockbox è disponibile per i servizi seguenti:
|
| Bring Your Own Storage (BYOS) | Il servizio Voce attualmente non supporta Customer Lockbox. Tuttavia, è possibile organizzare i dati specifici del servizio da archiviare nella propria risorsa di archiviazione usando bring-your-own-storage (BYOS). BYOS consente di ottenere controlli dati simili a Customer Lockbox. Tenere presente che i dati del servizio Voce rimangono e vengono elaborati nell'area di Azure in cui è stata creata la risorsa Voce. Questo vale per tutti i dati inattivi e i dati in transito. Per le funzionalità di personalizzazione come Riconoscimento vocale personalizzato e Voce personalizzata, tutti i dati dei clienti vengono trasferiti, archiviati ed elaborati nella stessa area in cui risiedono la risorsa del servizio Voce e la risorsa BYOS (se usata). Per usare BYOS con Riconoscimento vocale, seguire la guida Alla crittografia vocale dei dati inattivi . Microsoft non usa i dati dei clienti per migliorare i modelli voce. Inoltre, se la registrazione degli endpoint è disabilitata e non vengono usate personalizzazioni, non vengono archiviati dati del cliente tramite Riconoscimento vocale. |
Passaggi successivi
- Esplorare i servizi di intelligenza artificiale di Azure e scegliere un servizio per iniziare.