Zabezpečení služeb Azure AI

Zabezpečení by mělo být považováno za nejvyšší prioritu při vývoji všech aplikací a s růstem aplikací s podporou umělé inteligence je zabezpečení ještě důležitější. Tento článek popisuje různé funkce zabezpečení dostupné pro služby Azure AI. Každá funkce řeší určitou odpovědnost, takže více funkcí lze použít ve stejném pracovním postupu.

Úplný seznam doporučení zabezpečení služeb Azure najdete v článku Standardní hodnoty zabezpečení služeb Azure AI.

Funkce zabezpečení

Funkce Popis
Protokol TLS (Transport Layer Security) Všechny koncové body služeb Azure AI zveřejněné přes PROTOKOL HTTP vynucují protokol TLS 1.2. U vynuceného protokolu zabezpečení by uživatelé, kteří se pokoušejí volat koncový bod služeb Azure AI, měli postupovat podle těchto pokynů:
  • Klientský operační systém musí podporovat protokol TLS 1.2.
  • Jazyk (a platforma) používaný k volání HTTP musí jako součást požadavku zadat protokol TLS 1.2. V závislosti na jazyce a platformě se zadávání protokolu TLS provádí implicitně nebo explicitně.
  • Pro uživatele .NET zvažte osvědčené postupy zabezpečení vrstvy přenosu.
Možnosti ověřování Ověřování je ověření identity uživatele. Autorizace je naopak specifikace přístupových práv a oprávnění k prostředkům pro danou identitu. Identita je kolekce informací o objektu zabezpečení a instanční objekt může být buď individuální uživatel, nebo služba.

Ve výchozím nastavení ověřujete vlastní volání služeb Azure AI pomocí poskytnutých klíčů předplatného; to je nejjednodušší metoda, ale ne nejbezpečnější. Nejbezpečnější metodou ověřování je použití spravovaných rolí v MICROSOFT Entra ID. Další informace o těchto a dalších možnostech ověřování najdete v tématu Ověřování požadavků na služby Azure AI.
Obměně klíčů Každý prostředek služeb Azure AI má dva klíče rozhraní API pro povolení obměny tajných kódů. Toto je bezpečnostní opatření, které vám umožní pravidelně měnit klíče, které mají přístup k vaší službě, a chránit soukromí vaší služby, pokud dojde k úniku klíče. Další informace o tomto a dalších možnostech ověřování najdete v tématu Obměna klíčů.
Proměnné prostředí Proměnné prostředí jsou páry name-value, které jsou uložené v konkrétním vývojovém prostředí. Proměnné prostředí jsou bezpečnější než použití pevně zakódovaných hodnot v kódu. Pokyny k použití proměnných prostředí v kódu najdete v průvodci proměnnými prostředí.

Pokud je ale vaše prostředí ohrožené, jsou také ohroženy proměnné prostředí, takže se nejedná o nejbezpečnější přístup. Nejbezpečnější metodou ověřování je použití spravovaných rolí v MICROSOFT Entra ID. Další informace o těchto a dalších možnostech ověřování najdete v tématu Ověřování požadavků na služby Azure AI.
Klíče spravované zákazníkem (CMK) Tato funkce je určená pro služby, které ukládají neaktivní uložená data zákazníků (déle než 48 hodin). I když jsou tato data na serverech Azure už dvakrát zašifrovaná, můžou uživatelé získat dodatečné zabezpečení přidáním další vrstvy šifrování, přičemž klíče, které spravují sami. Službu můžete propojit se službou Azure Key Vault a spravovat tam šifrovací klíče dat.

V dokumentaci ke klíčům spravovaným zákazníkem zkontrolujte, jestli služba CMK podporuje.
Virtuální sítě Virtuální sítě umožňují určit, které koncové body můžou provádět volání rozhraní API pro váš prostředek. Služba Azure odmítne volání rozhraní API ze zařízení mimo vaši síť. Můžete nastavit definici povolené sítě založenou na vzorcích nebo můžete definovat úplný seznam koncových bodů, které chcete povolit. Jedná se o další vrstvu zabezpečení, kterou lze použít v kombinaci s ostatními.
Ochrana před únikem informací Funkce ochrany před únikem informací umožňuje správci rozhodnout, jaké typy identifikátorů URI může prostředek Azure přijímat jako vstupy (pro volání rozhraní API, která jako vstup přebírají identifikátory URI). To lze provést, aby se zabránilo možnému exfiltraci citlivých firemních dat: Pokud společnost ukládá citlivé informace (jako jsou soukromá data zákazníka) v parametrech adresy URL, může špatný aktér v této společnosti odeslat citlivé adresy URL do služby Azure, která tato data zobrazí mimo společnost. Ochrana před únikem informací umožňuje nakonfigurovat službu tak, aby při příjezdu odmítla určité formuláře identifikátoru URI.
Customer Lockbox Funkce Customer Lockbox poskytuje rozhraní, které zákazníkům umožňuje kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům. Používá se v případech, kdy technik Microsoftu potřebuje získat přístup k zákaznickým datům během žádosti o podporu. Informace o tom, jak se žádosti Customer Lockboxu inicializovaly, sledují a ukládaly pro pozdější kontroly a audity, najdete v příručce Customer Lockbox.

Customer Lockbox je k dispozici pro následující služby:
  • Azure OpenAI
  • Translator
  • Konverzační služba Language Understanding
  • Vlastní klasifikace textu
  • Rozpoznávání vlastních pojmenovaných entit
  • Pracovní postup orchestrace
Používání vlastního úložiště (BYOS) Služba Speech v současné době nepodporuje Customer Lockbox. Data specifická pro službu ale můžete uspořádat tak, aby se ukládaly ve vašem vlastním prostředku úložiště pomocí funkce Přineste si vlastní úložiště (BYOS). BYOS umožňuje dosáhnout podobných ovládacích prvků dat jako Customer Lockbox. Mějte na paměti, že data služby Speech zůstávají a zpracovávají se v oblasti Azure, ve které byl prostředek služby Speech vytvořen. To platí pro všechna neaktivní uložená data a přenášená data. Pro funkce přizpůsobení, jako je Custom Speech a Custom Voice, se všechna zákaznická data přenášejí, ukládají a zpracovávají ve stejné oblasti, ve které se nachází prostředek služby Speech a prostředek BYOS (pokud se používá).

Pokud chcete používat BYOS se službou Speech, postupujte podle průvodce šifrováním neaktivních uložených dat .

Microsoft nepoužívá zákaznická data ke zlepšení svých modelů řeči. Kromě toho platí, že pokud je protokolování koncového bodu zakázané a nepoužívá se žádná vlastní nastavení, služba Speech neukládá žádná zákaznická data.

Další kroky

  • Prozkoumejte služby Azure AI a zvolte službu, která vám umožní začít.