Segurança dos serviços de IA do Azure

A segurança deve ser considerada uma prioridade máxima no desenvolvimento de todos os aplicativos e, com o crescimento de aplicativos habilitados para inteligência artificial, a segurança é ainda mais importante. Este artigo descreve vários recursos de segurança disponíveis para os serviços de IA do Azure. Cada recurso aborda uma responsabilidade específica, portanto, vários recursos podem ser usados no mesmo fluxo de trabalho.

Para obter uma lista abrangente de recomendações de segurança do serviço do Azure, confira o artigo Linha de base de segurança dos serviços de IA do Azure.

Recursos de segurança

Recurso Descrição
Protocolo TLS Todos os pontos de extremidade dos serviços de IA do Azure expostos por HTTP impõem o protocolo TLS 1.2. Com um protocolo de segurança implementado, os consumidores que tentarem chamar um ponto de extremidade dos Serviços de IA do Azure deverão seguir as diretrizes abaixo:
  • O sistema operacional (OS) do cliente precisa ser compatível com TLS 1.2.
  • A linguagem (e a plataforma) usada para fazer a chamada HTTP precisa especificar o TLS 1.2 como parte da solicitação. Dependendo da linguagem e da plataforma, a especificação do TLS é feita implícita ou explicitamente.
  • Usuários do .NET devem levar em conta as boas práticas de Transport Layer Security
Opções de autenticação Autenticação é o ato de verificar a identidade de um usuário. A autorização, ao contrário, é a especificação dos direitos de acesso e dos privilégios para os recursos de determinada identidade. Uma identidade é uma coleção de informações sobre uma entidade de segurança, e uma entidade de segurança pode ser um usuário individual ou um serviço.

Por padrão, você autentica suas próprias chamadas aos serviços de IA do Azure usando as chaves de assinatura fornecidas. Este é o método mais simples, mas não o mais seguro. O método de autenticação mais seguro é usar funções gerenciadas na ID do Microsoft Entra. Para saber mais sobre essa e outras opções de autenticação, confira Solicitações de autenticação para os serviços de IA do Azure.
Alteração de chaves Cada recurso dos serviços de IA do Azure tem duas chaves de API para habilitar a rotação de segredos. Essa é uma precaução de segurança que permite alterar regularmente as chaves que podem acessar seu serviço, protegendo a privacidade do seu serviço caso uma chave seja vazada. Para saber mais sobre essa e outras alternativas de autenticação, confira Alternar chaves.
Variáveis de ambiente As variáveis de ambiente são pares nome-valor que são armazenados em um ambiente de desenvolvimento específico. Armazene suas credenciais dessa forma como uma alternativa mais segura ao usar valores codificados em seu código. No entanto, se o ambiente estiver comprometido, as variáveis de ambiente também serão comprometidas, portanto, essa não será a abordagem mais segura.

Para obter instruções sobre como usar variáveis de ambiente em seu código, consulte a guia Variáveis de ambiente.
Chaves gerenciadas pelo cliente (CMK) Esse recurso é para serviços que armazenam dados inativos do cliente (mais de 48 horas). Embora esses dados já estejam criptografados duas vezes em servidores do Azure, os usuários podem obter segurança extra adicionando outra camada de criptografia, com chaves que eles próprios gerenciam. Você pode vincular seu serviço ao Azure Key Vault e gerenciar suas chaves de criptografia de dados lá.

Somente alguns serviços podem usar o CMK, procure seu serviço na página de Chaves gerenciadas pelo cliente.
Redes virtuais As redes virtuais permitem que você especifique quais pontos de extremidade podem fazer chamadas à API para seu recurso. O serviço do Azure rejeitará chamadas de API de dispositivos fora da sua rede. Defina uma definição baseada em fórmula da rede permitida ou defina uma lista completa de pontos de extremidade para permitir. Essa é outra camada de segurança que pode ser usada em combinação com outras.
Prevenção de perda de dados O recurso de prevenção contra perda de dados permite que um administrador decida quais tipos de URIs seu recurso do Azure pode usar como entradas (para as chamadas à API que tomam URIs como entrada). Isso pode ser feito para evitar a possível exfiltração de dados confidenciais da empresa: se uma empresa armazenar informações confidenciais (como dados privados de um cliente) em parâmetros de URL, um ator inválido dentro dessa empresa poderá enviar os URLs confidenciais para um serviço do Azure, que mostra esses dados fora da empresa. A prevenção contra perda de dados permite que você configure o serviço para rejeitar determinados formulários de URI na chegada.
Sistema de Proteção de Dados do Cliente O recurso do Sistema de Proteção de Dados do Cliente fornece interface para que os clientes revisem e aprovem ou rejeitem as solicitações de acesso a dados. Ele é usado nos casos em que um engenheiro da Microsoft precisa acessar os dados do cliente durante uma solicitação de suporte. Para obter informações sobre como as solicitações do Sistema de Proteção de Dados do Cliente são iniciadas, controladas e armazenadas para análises e auditorias posteriores, confira o Guia do Sistema de Proteção de Dados do Cliente.

O Sistema de Proteção de Dados do Cliente está disponível para os seguintes serviços:
  • OpenAI do Azure
  • Tradutor
  • Compreensão do idioma da conversa
  • Classificação personalizada de textos
  • Reconhecimento de Entidade Nomeada personalizado
  • Fluxo de Trabalho de Orquestração
BYOS (traga seu próprio armazenamento) No momento, o serviço de Fala não é compatível com o Sistema de Proteção de Dados do Cliente. No entanto, você pode organizar para que os dados específicos do serviço sejam armazenados em seu próprio recurso de armazenamento usando BYOS (traga seu próprio armazenamento). O BYOS permite obter controles de dados semelhantes ao do Sistema de Proteção de Dados do Cliente. Lembre-se de que os dados do serviço de Fala permanecem e são processados na região do Azure em que o recurso de Fala foi criado. Isso se aplica aos dados inativos e aos dados em trânsito. Para os recursos de personalização como Fala Personalizada e Voz Personalizada, todos os dados do cliente são transferidos, armazenados e processados na mesma região em que residem o recurso de serviço de Fala e o recurso BYOS (se usado).

Para usar o BYOS com a Fala, siga a guia de Criptografia de Fala dos dados inativos.

A Microsoft não usa dados do cliente para aprimorar os modelos de Fala. Além disso, se o registro em log do ponto de extremidade estiver desabilitado e nenhuma personalização for usada, os dados do cliente não serão armazenados pelo Serviço Cognitivo do Azure para Fala.

Próximas etapas