Freigeben über


Azure-Sicherheitsgrundwerte für Azure AI Search

Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure AI Search an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security-Benchmark und die zugehörigen Richtlinien für Azure Cognitive Search definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.

Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.

Hinweis

Features , die nicht für Azure AI Search gelten, wurden ausgeschlossen. Informationen dazu, wie Azure AI Search vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie in der vollständigen Azure AI Search-Sicherheitsbasisplanzuordnungsdatei.

Sicherheitsprofil

Das Sicherheitsprofil fasst verhaltensweisen von Azure AI Search zusammen, was zu erhöhten Sicherheitsaspekten führen kann.

Dienstverhaltensattribut Wert
Produktkategorie AI+ML, Mobil, Web
Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. False
Ruhende Kundeninhalte werden gespeichert. True

Netzwerksicherheit

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

Netzwerksicherheitsgruppenunterstützung

Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Features

Beschreibung: Für den Dienst native IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Featurehinweise: Informationen zu ausgehenden Verbindungen über einen privaten Endpunkt finden Sie unter: Herstellen ausgehender Verbindungen über einen privaten Endpunkt

Konfigurationsleitfaden: Stellen Sie private Endpunkte bereit, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. Blockieren aller Verbindungen am öffentlichen Endpunkt für den Suchdienst Erhöhen der Sicherheit für das virtuelle Netzwerk, indem Sie die Exfiltration von Daten aus dem virtuellen Netzwerk blockieren können

Referenz: Erstellen eines privaten Endpunkts für eine sichere Verbindung mit Azure AI Search

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Azure AI Search unterstützt IP-Regeln für eingehenden Zugriff über eine Firewall, ähnlich den IP-Regeln, die Sie in einer Azure Virtual Network-Sicherheitsgruppe finden. Durch die Nutzung von IP-Regeln können Sie den Suchdienstzugriff auf genehmigte Computer und Clouddienste einschränken. Für den Zugriff auf gespeicherte Daten in Ihrem Suchdienst über diese genehmigten Gruppen von Computern und Diensten muss der Aufrufer weiterhin ein gültiges Autorisierungstoken vorlegen.

Referenz: Konfigurieren einer IP-Firewall für Azure AI Search

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Features

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Hinweise zur Funktion: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.

Referenz: Verwenden von Rollen für die Azure AI Search-Authentifizierung

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Features

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Autorisieren des Zugriffs auf eine Such-App mit Azure Active Directory

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Features

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Features

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen

Features

Lokale Administratorkonten

Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für die Datenebene

Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Azure bietet ein globales rollenbasiertes Zugriffssteuerungs-Autorisierungssystem (RBAC) für alle Dienste, die auf der Plattform ausgeführt werden. In Ai Search können Sie Azure-Rollen für Folgendes verwenden:

  • Vorgänge auf der Steuerungsebene (Dienstverwaltungsaufgaben über Azure Resource Manager).
  • Vorgänge auf der Datenebene, z. B. Erstellen, Laden und Abfragen von Indizes.

Referenz: Verwenden von rollenbasierten Zugriffssteuerungen (Azure RBAC) in Azure AI Search

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Features

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.

Datenschutz

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

Features

Ermittlung und Klassifizierung vertraulicher Daten

Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Features

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt DIE DLP-Lösung zum Überwachen vertraulicher Datenbewegungen (im Kundeninhalt). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Features

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.

Referenz: Azure AI Search-Daten bei der Übertragungsverschlüsselung

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Features

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.

Referenz: Azure AI Search-Standarddatenverschlüsselung mithilfe von dienstverwalteten Schlüsseln

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Features

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Referenz: Konfigurieren von vom Kunden verwalteten Schlüsseln für die Datenverschlüsselung in Azure AI Search

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Features

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Drehen und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihren Dienst basierend auf einem definierten Zeitplan oder bei einer wichtigen Einstellung oder Kompromittierung. Wenn cmK (Customer Managed Key) in der Arbeitsauslastung, dem Dienst oder der Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.

Referenz: Konfigurieren von vom Kunden verwalteten Schlüsseln für die Datenverschlüsselung in Azure AI Search

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Features

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

Ressourcenverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Die Auswirkungen von Azure Policy [verweigern] und [bereitstellen, falls nicht vorhanden] zum Erzwingen der sicheren Konfiguration über Azure-Ressourcen hinweg.

Referenz: Azure Ai Search-Richtlinien

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Features

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kreditor

Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst zum Anzeigen der Azure I Search-Betriebsprotokolle, Suchmetriken und usw.

Referenz: Azure AI Search-Ressourcenprotokoll

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Features

Azure Backup

Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

Diensteigene Sicherungsfunktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Da Azure AI Search keine primäre Datenspeicherlösung ist, bietet Microsoft keinen formalen Mechanismus für die Self-Service-Sicherung und -Wiederherstellung. Sie können den Index jedoch mit Ihrem eigenen Code sichern und wiederherstellen. Siehe: Sichern und Wiederherstellen von Alternativen

Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.

Nächste Schritte