Standardní hodnoty zabezpečení Azure pro Azure OpenAI
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Azure OpenAI. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny pro Azure OpenAI.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice služby Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na Azure OpenAI, byly vyloučeny. Pokud chcete zjistit, jak Azure OpenAI kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure OpenAI.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure OpenAI s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | AI+ML |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Bez přístupu |
| Službu je možné nasadit do virtuální sítě zákazníka. | True |
| Ukládá neaktivní uložený obsah zákazníka. | True |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Nastavte pravidla sítě, která omezují přístup k vašemu účtu služeb Azure AI. Povolení pravidel brány firewall blokuje ve výchozím nastavení všechny příchozí požadavky, pokud nepocházejí z povolené podsítě virtuální sítě Azure nebo zadaného seznamu IP adres. Autorizace se vyžaduje pomocí přihlašovacích údajů Microsoft Entra ID nebo klíče rozhraní API. Nejprve byste měli zakázat veškerý provoz ve výchozím nastavení a pak vytvořit pravidla, která povolují přístup z konkrétních sítí, a zajistit tak bezpečnou hranici pro vaše aplikace.
Referenční informace: Konfigurace virtuálních sítí služeb Azure AI
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Konfigurace virtuálních sítí služeb Azure AI
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby, nebo přepínače pro přístup k veřejné síti.
Referenční informace: Konfigurace virtuálních sítí služeb Azure AI
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Konfigurace služby Azure OpenAI se spravovanými identitami
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
poznámky k funkcím: I když se můžete ověřovat ve službách Azure AI pomocí klíče předplatného s jednou službou nebo více službami, nebo tyto klíče použít k ověřování pomocí přístupových tokenů, tyto metody ověřování spadají do složitějších scénářů, které vyžadují řízení přístupu na základě role v Azure (Azure RBAC). Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Ověření pomocí přístupového tokenu
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměněné a chráněné platformou. Vyhnete se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Konfigurace služby Azure OpenAI se spravovanými identitami
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Konfigurace služby Azure OpenAI se spravovanými identitami
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace přihlašovacích údajů a tajných kódů služby a úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Služba Azure OpenAI neukládá tajné kódy (např. hesla atd.).
Pokyny ke konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne jejich vkládání do kódu nebo konfiguračních souborů.
Referenční informace: Vývoj aplikací služeb Azure AI pomocí služby Key Vault
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Privilegovaný přístup.
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Použití řízení přístupu na základě role v Azure (Azure RBAC) ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.
Referenční informace: Konfigurace služby Azure OpenAI se spravovanými identitami
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Referenční informace: Customer Lockbox pro Microsoft Azure
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Funkce
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Možnosti ochrany před únikem informací ve službách Azure OpenAI umožňují zákazníkům nakonfigurovat seznam odchozích adres URL, ke které mají přístup prostředky služeb Azure OpenAI. Tím se pro zákazníky vytvoří další úroveň kontroly, která zabrání ztrátě dat.
Referenční informace: Konfigurace ochrany před únikem informací pro služby Azure AI
DP-3: Šifrování citlivých dat během přenosu
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Šifrování neaktivních uložených dat ve službě Azure OpenAI
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Šifrování neaktivních uložených dat ve službě Azure OpenAI
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazují se na id klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční informace: Šifrování neaktivních uložených dat ve službě Azure OpenAI
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa prostředků.
AM-2: Používejte pouze schválené služby.
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
poznámky k funkcím: Přečtěte si zásady pro služby Azure AI.
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Protokolování a detekce hrozeb.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Povolení protokolů prostředků pro službu Key Vault například podporuje další protokoly prostředků pro akce, které z trezoru klíčů získávají tajný kód, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Monitorování služby Azure OpenAI
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu .
- Přečtěte si další informace o standardních hodnotách zabezpečení Azure.