Zabezpieczenia usług Azure AI
Bezpieczeństwo należy traktować jako najwyższy priorytet w tworzeniu wszystkich aplikacji, a wraz ze wzrostem aplikacji obsługujących sztuczną inteligencję bezpieczeństwo jest jeszcze ważniejsze. W tym artykule opisano różne funkcje zabezpieczeń dostępne dla usług Azure AI. Każda funkcja odpowiada za określoną odpowiedzialność, więc wiele funkcji może być używanych w tym samym przepływie pracy.
Aby uzyskać kompleksową listę zaleceń dotyczących zabezpieczeń usług platformy Azure, zobacz artykuł Punkt odniesienia zabezpieczeń usług Azure AI.
Funkcje zabezpieczeń
| Funkcja | opis |
|---|---|
| Protokół Transport Layer Security (TLS) | Wszystkie punkty końcowe usług Azure AI uwidocznione za pośrednictwem protokołu HTTP wymuszają protokół TLS 1.2. W przypadku wymuszonego protokołu zabezpieczeń użytkownicy próbujący wywołać punkt końcowy usług Azure AI powinni postępować zgodnie z następującymi wytycznymi:
|
| Opcje uwierzytelniania | Uwierzytelnianie to czynność weryfikacji tożsamości użytkownika. Natomiast autoryzacja jest specyfikacją praw dostępu i uprawnień do zasobów dla danej tożsamości. Tożsamość to zbiór informacji o jednostce, a jednostka może być pojedynczym użytkownikiem lub usługą. Domyślnie uwierzytelniasz własne wywołania usług Azure AI przy użyciu podanych kluczy subskrypcji; jest to najprostsza metoda, ale nie najbezpieczniejsza. Najbezpieczniejszą metodą uwierzytelniania jest użycie ról zarządzanych w usłudze Microsoft Entra ID. Aby dowiedzieć się więcej o tych i innych opcjach uwierzytelniania, zobacz Uwierzytelnianie żądań w usługach azure AI. |
| Rotacja kluczy | Każdy zasób usługi Azure AI ma dwa klucze interfejsu API umożliwiające rotację wpisów tajnych. Jest to środek ostrożności, który umożliwia regularne zmienianie kluczy, które mogą uzyskiwać dostęp do usługi, ochronę prywatności usługi w przypadku wycieku klucza. Aby dowiedzieć się więcej o tych i innych opcjach uwierzytelniania, zobacz Rotacja kluczy. |
| Zmienne środowiskowe | Zmienne środowiskowe to pary nazwa-wartość przechowywane w określonym środowisku deweloperów. Poświadczenia można przechowywać w ten sposób jako bardziej bezpieczną alternatywę dla używania zakodowanych na stałe wartości w kodzie. Jednak jeśli środowisko zostanie naruszone, zmienne środowiskowe również zostaną naruszone, więc nie jest to najbezpieczniejsze podejście. Aby uzyskać instrukcje dotyczące używania zmiennych środowiskowych w kodzie, zobacz przewodnik Zmienne środowiskowe. |
| Klucze zarządzane przez klienta (CMK) | Ta funkcja jest przeznaczona dla usług, które przechowują dane klientów magazynowanych (dłużej niż 48 godzin). Chociaż te dane są już dwukrotnie szyfrowane na serwerach platformy Azure, użytkownicy mogą uzyskać dodatkowe zabezpieczenia, dodając kolejną warstwę szyfrowania, z kluczami, którymi zarządzają samodzielnie. Możesz połączyć usługę z usługą Azure Key Vault i zarządzać kluczami szyfrowania danych. Tylko niektóre usługi mogą używać klucza zarządzanego przez klienta; poszukaj usługi na stronie Klucze zarządzane przez klienta. |
| Sieci wirtualne | Sieci wirtualne umożliwiają określenie punktów końcowych, które mogą wykonywać wywołania interfejsu API do zasobu. Usługa platformy Azure odrzuci wywołania interfejsu API z urządzeń spoza sieci. Możesz ustawić opartą na formule definicję dozwolonej sieci lub zdefiniować wyczerpującą listę punktów końcowych, które mają być dozwolone. Jest to kolejna warstwa zabezpieczeń, która może być używana w połączeniu z innymi. |
| Zapobieganie utracie danych | Funkcja zapobiegania utracie danych pozwala administratorowi zdecydować, jakie typy identyfikatorów URI mogą przyjmować ich zasób platformy Azure jako dane wejściowe (w przypadku tych wywołań interfejsu API, które przyjmują identyfikatory URI jako dane wejściowe). Można to zrobić, aby zapobiec ewentualnej eksfiltracji poufnych danych firmowych: jeśli firma przechowuje poufne informacje (takie jak dane prywatne klienta) w parametrach adresu URL, zły aktor wewnątrz tej firmy może przesłać poufne adresy URL do usługi platformy Azure, co spowoduje, że dane znajdują się poza firmą. Zapobieganie utracie danych umożliwia skonfigurowanie usługi w celu odrzucenia niektórych formularzy identyfikatora URI po przybyciu. |
| Skrytka klienta | Funkcja Skrytka klienta udostępnia interfejs umożliwiający klientom przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych. Jest ona używana w przypadkach, gdy inżynier firmy Microsoft musi uzyskać dostęp do danych klienta podczas żądania pomocy technicznej. Aby uzyskać informacje na temat sposobu inicjowania, śledzenia i przechowywania żądań skrytki klienta na potrzeby późniejszych przeglądów i inspekcji, zobacz przewodnik Po skrytce klienta. Skrytka klienta jest dostępna dla następujących usług:
|
| Korzystanie z własnego magazynu (BYOS) | Usługa rozpoznawania mowy nie obsługuje obecnie skrytki klienta. Można jednak zorganizować przechowywanie danych specyficznych dla usługi we własnym zasobie magazynu przy użyciu rozwiązania BRING-your-own-Storage (BYOS). Usługa BYOS umożliwia osiągnięcie podobnych mechanizmów kontroli danych do skrytki klienta. Należy pamiętać, że dane usługi Mowa pozostają i są przetwarzane w regionie świadczenia usługi Azure, w którym utworzono zasób usługi Mowa. Dotyczy to wszelkich danych magazynowanych i przesyłanych danych. W przypadku funkcji dostosowywania, takich jak Custom Speech i Custom Voice, wszystkie dane klientów są przesyłane, przechowywane i przetwarzane w tym samym regionie, w którym znajduje się zasób usługi Mowa i zasób BYOS (jeśli jest używany). Aby używać funkcji BYOS z usługą Mowa, postępuj zgodnie z przewodnikiem Szyfrowanie mowy danych magazynowanych . Firma Microsoft nie używa danych klientów do ulepszania modeli mowy. Ponadto jeśli rejestrowanie punktów końcowych jest wyłączone i nie są używane żadne dostosowania, żadne dane klienta nie są przechowywane przez usługę Mowa. |
Następne kroki
- Zapoznaj się z usługami azure AI i wybierz usługę, aby rozpocząć pracę.