Standardní hodnoty zabezpečení Azure pro služby Azure AI
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na služby Azure AI. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny vztahujícími se ke službám Azure AI.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
funkce, nejsou použitelné pro služby Azure AI, byly vyloučeny. Pokud chcete zjistit, jak se služby Azure AI kompletně mapují na srovnávací test zabezpečení cloudu Microsoft, podívejte se na kompletní mapovací soubor základní hodnoty zabezpečení služeb Azure AI.
Profil zabezpečení
Profil zabezpečení shrnuje chování služeb Azure AI s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | AI+ML |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Falešný |
| Ukládá obsah zákazníka v klidovém stavu. | Pravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zabezpečení sítě .
NS-1: Vytvoření hranic segmentace sítě
Vlastnosti
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidel skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
poznámky k funkcím: Přestože Skupiny zabezpečení sítě (NSG) pro tuto službu nejsou podporované, je možné nakonfigurovat firewall na úrovni služby. Další informace najdete v tématu: Správa pravidel sítě IP
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Služba nativního filtrování IP adres pro filtrování síťového provozu (není zaměňováno s NSG nebo službou Azure Firewall). Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční : Použití privátních koncových bodů
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu řízení přístupu (ACL) na úrovni služby, nebo přepínače pro nastavení přístupu k veřejné síti.
Referenční: Změnit výchozí pravidlo přístupu k síti
Monitorování cloudu pomocí Microsoft Defenderu
předdefinované definice azure Policy – Microsoft.CognitiveServices:
| Jméno (Azure Portal) |
Popis | Účinek/Účinky | Verze (GitHub) |
|---|---|---|---|
| prostředky Azure AI Services by měly omezit síťový přístup | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Vlastnosti
Vyžadováno ověřování Azure AD pro přístup k datové vrstvě
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Použití Azure Active Directory (Azure AD) jako výchozí metody ověřování k řízení přístupu k rovině dat.
Referenční : Ověřit pomocí Azure Active Directory
Místní metody ověřování pro přístup k datovému rozhraní
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: I když se můžete ověřovat ve službách Azure AI pomocí klíče předplatného s jednou službou nebo více službami, nebo tyto klíče použít k ověřování pomocí přístupových tokenů, tyto metody ověřování spadají do složitějších scénářů, které vyžadují řízení přístupu na základě role v Azure (Azure RBAC). Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční: Ověřte s přístupovým tokenem
Monitorování Microsoft Defenderu pro Cloud
Předdefinované definice Azure Policy – Microsoft.CognitiveServices:
| Jméno (Azure Portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| prostředky Azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete v: https://aka.ms/AI/auth | Audit, Odepřít, Vypnuto | 1.1.0 |
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje pro spravovanou identitu jsou plně spravovány, rotovány a chráněny platformou, což vám umožňuje vyhnout se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční: Autorizace přístupu ke spravovaným identitám
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční : ověřování požadavků na služby Azure AI
IM-7: Omezení přístupu k prostředkům na základě podmínek
Vlastnosti
Podmíněný přístup pro datovou rovinu
Popis: Přístup k datovému plánu lze řídit pomocí podmíněných zásad přístupu Azure AD. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup k Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace a ukládání přístupových údajů služby a tajností v Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Ujistěte se, že tajné kódy a přihlašovací údaje jsou uložené v zabezpečených umístěních, jako je Azure Key Vault, a nemusíte je vkládat do kódu nebo konfiguračních souborů.
Referenční: Vývoj aplikací služby Azure AI se službou Key Vault
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Funkce
Účty místního správce
Popis: Služba má koncept místního administrativního účtu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Funkce
Azure RBAC pro datovou vrstvu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) se dá použít k řízení přístupu k akcím na datové úrovni služby. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Použití řízení přístupu na základě role v Azure (Azure RBAC) ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí. Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.
Referenční: Ověřování pomocí služby Azure Active Directory
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Zákaznická schránka
Popis: Customer Lockbox je možné použít pro přístup podpory Microsoftu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Vlastnosti
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Funkce
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje DLP řešení pro sledování pohybu citlivých dat (v obsahu zákazníka). Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Možnosti ochrany před únikem informací ve službách Azure AI umožňují zákazníkům nakonfigurovat seznam odchozích adres URL, ke které mají přístup prostředky služeb Azure AI. Tím se pro zákazníky vytvoří další úroveň kontroly, která zabrání ztrátě dat.
Referenční : Konfigurace ochrany před únikem informací pro služby Azure AI
DP-3: Šifrování citlivých dat během přenosu
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro datovou rovinu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční: zabezpečení služeb Azure AI
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční : Konfigurace klíčů spravovaných zákazníkem pomocí služby Azure Key Vault pro služby Azure AI
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Vlastnosti
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční: Konfigurujte klíče spravované zákazníkem pomocí služby Azure Key Vault pro služby Azure AI
Monitorování Microsoft Defenderu pro cloud
předdefinované definice azure Policy – Microsoft.CognitiveServices:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| účty služeb Azure AI by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem | Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Azure AI pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete v https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Odepřít, Deaktivováno | 2.1.0 |
DP-6: Použití zabezpečeného procesu správy klíčů
Vlastnosti
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí služby Azure Key Vault můžete vytvářet a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměňujte a odvolávejte své klíče ve službě Azure Key Vault a vaší službě podle definovaného plánu nebo v případě vyřazení klíče či jeho kompromitace. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazují se na id klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční : Konfigurace klíčů spravovaných zákazníkem pomocí služby Azure Key Vault pro služby Azure AI
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa prostředků
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí programu Microsoft Defender for Cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pro zajištění bezpečné konfigurace napříč prostředky Azure použijte Azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční : předdefinované definice zásad pro služby Azure AI
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba nabízí řešení specifické pro Microsoft Defender, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Povolení záznamování pro vyšetřování zabezpečení
Vlastnosti
Protokoly prostředků Azure
Popis: Služba vytváří záznamy o prostředcích, které mohou poskytovat rozšířené metriky a protokoly specifické pro danou službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastního úložiště dat, například na účet úložiště nebo do pracovního prostoru Log Analytics. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje dodatečné protokoly prostředků pro akce, které získávají tajemství z trezoru klíčů, a Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční: Povolení protokolování diagnostiky pro služby Azure AI
Zálohování a obnovení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zálohování a obnovení .
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu
- Další informace o standardních hodnotách zabezpečení Azure