Azure-Sicherheitsbasisplan für Azure AI Studio
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure AI Studio an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Azure AI Studio definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features , die nicht für Azure AI Studio gelten, wurden ausgeschlossen. Informationen dazu, wie Azure AI Studio dem Microsoft Cloud Security Benchmark vollständig zugeordnet ist, finden Sie in der vollständigen Azure AI Studio-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst verhaltensweisen mit hohem Einfluss von Azure AI Studio zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | AI+ML |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Ruhende Kundeninhalte werden gespeichert. | True |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Konfigurationsleitfaden: Sie können eine private Linkverbindung einrichten, um über Ihr virtuelles Netzwerk auf Azure AI Studio zuzugreifen. Sie können das integrierte Feature "Verwaltete Netzwerkisolation" verwenden, um die Netzwerkisolation für Ihre Computerressourcen in Azure AI Studio bereitzustellen, z. B. die Computeinstanz.
Referenz: Konfigurieren eines privaten Links für den Azure AI-Hub
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Die Netzwerksicherheitsgruppe (Network Security Group, NSG) wird von Azure AI Studio unterstützt. Es liegt in der Verantwortung der Kunden, sicherzustellen, dass die Richtlinien ordnungsgemäß konfiguriert und die NSG auf die Ressourcen angewendet werden.
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Für den Dienst native IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Konfigurieren eines privaten Links für den Azure AI-Hub
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Das Deaktivieren des öffentlichen Internetzugriffs wird von Azure AI Studio unterstützt, der Kunde kann Azure Private Link für den sicheren Zugriff auf Azure AI Studio und Computeressourcen konfigurieren.
Konfigurationsleitfaden: Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder eines Umschalters für den öffentlichen Netzwerkzugriff.
Referenz: Konfigurieren eines privaten Links für den Azure AI-Hub
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Die rollenbasierte Zugriffssteuerung von Azure wird verwendet, um den Zugriff auf Azure AI Studio mit vordefinierten Rollen zu verwalten. Benutzern in Ihrer Microsoft Entra-ID sollten Rollen zugewiesen sein, um auf die Ressourcen in Azure AI Studio zuzugreifen.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: /azure/ai-studio/concepts/rbac-ai-studio
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die lokale Authentifizierung für die Datenebene wird von Azure AI Studio nicht unterstützt. Kunden sollten Azure Entra ID verwenden, um den Zugriff auf die Datenebene zu verwalten. Der Kunde kann jedoch die lokale Authentifizierung für die Computeinstanz konfigurieren, die standardmäßig deaktiviert ist.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwaltete Identität wird von Azure AI Studio unterstützt. Kunden sollten jedoch sicherstellen, dass die verwaltete Identität ordnungsgemäß für die Zielressourcen konfiguriert ist, um den Zugriff zu ermöglichen.
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Dienstprinzipale werden von Azure AI Studio unterstützt und können für Ressourcen konfiguriert werden, die das KI-Projekt unterstützen, einschließlich Speicherkonto und Azure Key Vault usw.
Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Der bedingte Zugriff wird von Azure AI Studio unterstützt. Kunden müssen jedoch die Richtlinien konfigurieren, die nicht standardmäßig aktiviert sind.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Kunden können Azure Key Vault verwenden, um geheime Schlüssel wie Verbindungszeichenfolge s für Ihre Ressourcenverbindungen zu verwalten. Bei der Datenisolation können Geheimnisse nicht projektübergreifend über APIs abgerufen werden.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: /azure/ai-studio/concepts/architecture
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Features
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Während der Erstellung einer Computeinstanz können Kunden den Stammzugriff auf der Sicherheitsseite konfigurieren. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Erstellen und Verwalten von Computeinstanzen in Azure AI Studio
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für die Datenebene
Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Role-based access control wird von Azure AI Studio mit vordefinierten Rollen unterstützt. Kunden müssen benutzern die Rollen zuweisen, bevor sie auf Azure AI Studio zugreifen können.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die Ermittlung und Klassifizierung vertraulicher Daten wird derzeit von Azure AI Studio nicht unterstützt. Während Daten während der Übertragung und ruhenden Daten verschlüsselt sind, müssen Kunden konfigurierbare Features wie Netzwerkisolation, Zugriffssteuerung usw. berücksichtigen, um die Daten zu schützen.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt DIE DLP-Lösung zum Überwachen vertraulicher Datenbewegungen (im Kundeninhalt). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die Dlp-Lösung (Data Leakage/Loss Prevention) wird derzeit von Azure AI Studio nicht unterstützt. Der Kunde sollte die Anwendung von Steuerelementen in Betracht ziehen, die dazu beiträgt, die Daten zu schützen, einschließlich Netzwerkisolation, Zugriffsverwaltung usw.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure AI Studio verwendet Verschlüsselung, um ruhende und während der Übertragung gespeicherte Daten zu schützen. Standardmäßig werden von Microsoft verwaltete Schlüssel für die Verschlüsselung verwendet.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure AI basiert auf mehreren Azure-Diensten. Die Daten werden sicher mithilfe von Verschlüsselungsschlüsseln gespeichert, die Von Microsoft standardmäßig bereitgestellt werden.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure AI Studio verwendet Verschlüsselung, um ruhende und während der Übertragung gespeicherte Daten zu schützen. Standardmäßig werden von Microsoft verwaltete Schlüssel für die Verschlüsselung verwendet. Kunden können jedoch ihre eigenen Verschlüsselungsschlüssel (vom Kunden verwaltete Schlüssel, CMK) verwenden. Kunden wählen diese Funktion aus, um ihre Schlüssel in Azure Key Vault hochzuladen, um von der Funktion zu profitieren.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Referenz: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Wenn eine Azure AI Hub-Ressource erstellt wird, ist ein Azure Key Vault als abhängige Ressource erforderlich.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure AI Studio-Architektur
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure AI Studio bietet integrierte Azure-Richtlinien. Die Richtlinien sind jedoch nicht standardmäßig aktiviert. Kunden sollten die Richtlinien bei Bedarf überprüfen und aktivieren.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Die Auswirkungen von Azure Policy [verweigern] und [bereitstellen, falls nicht vorhanden] zum Erzwingen der sicheren Konfiguration über Azure-Ressourcen hinweg.
Referenz: /azure/ai-services/policy-reference
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Features
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die Installation des Microsoft Defender for Servers-Agents wird derzeit nicht unterstützt.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Microsoft Defender kann für verschiedene Ressourcen konfiguriert werden, die azure AI Studio zugeordnet sind. Der Kunde kann die Verfügbarkeit über die Micrsoft Defender-Dokumentation überprüfen.
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Verwaltungsebene zu steuern. Wenn Sie eine Benachrichtigung von Microsoft Defender für Key Vault erhalten, untersuchen und reagieren Sie auf die Warnung.
Referenz: Microsoft Defender-Produkte und -Dienste
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Monitor und Azure Log Analytics bieten Überwachung und Protokollierung für die zugrunde liegenden Ressourcen, die von Azure AI Studio verwendet werden.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure AI Studio-Architektur
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Haltung und Sicherheitsrisikomanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Features
Azure Automation State Configuration
Beschreibung: Die Azure Automation State-Konfiguration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Azure Policy-Gastkonfigurations-Agent
Beschreibung: Der Gastkonfigurations-Agent für Azure-Richtlinien kann als Erweiterung für Computeressourcen installiert oder bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure AI Studio bietet integrierte Azure-Richtlinien. Die Richtlinien sind jedoch nicht standardmäßig aktiviert. Kunden sollten die Richtlinien bei Bedarf überprüfen und aktivieren.
Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: /azure/ai-services/policy-reference
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Das VM-Image der Computeressourcen wird von Microsoft verwaltet, und benutzerdefinierte VM-Images werden nicht unterstützt.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Benutzerdefinierte Containerimages
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Kunden können ein benutzerdefiniertes Containerimage für die Computeressourcen verwenden, die an das KI-Projekt angefügt sind.
Konfigurationsleitfaden: Verwenden eines vorkonfigurierten gehärteten Images von einem vertrauenswürdigen Lieferanten wie Microsoft oder Erstellen der gewünschten Basislinie für sichere Konfiguration in der Containerimagevorlage
PV-5: Durchführen von Sicherheitsrisikobewertungen
Features
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten auf Sicherheitsrisikoüberprüfung überprüft werden (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Befolgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern.
Referenz: Sicherheitsrisikoverwaltung für Azure AI Studio
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Features
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Update Management verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure Automation Update wird vom Azure AI Studio nicht unterstützt. Bereitstellungen können VM-Images und Docker-Images nutzen. Die Update-/Patchmethoden und -häufigkeit sind in der Dokumentation dokumentiert – Sicherheitsrisikoverwaltung für Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security-Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Features
EDR-Lösung
Beschreibung: Endpoint Detection and Response (EDR)-Feature wie Azure Defender für Server kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
ES-2: Verwenden moderner Antischadsoftware
Features
Antischadsoftware-Lösung
Beschreibung: Antischadsoftware-Feature wie Microsoft Defender Antivirus, Microsoft Defender für Endpunkt kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die Antischadsoftwarelösung wird auf den Endpunkten von Azure AI Studio nicht unterstützt. Kunden können sich jedoch für die Installation von Antischadsoftwarelösungen auf der Computeinstanz entscheiden. Ausführliche Informationen finden Sie unter /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Features
Antischadsoftwarelösung Systemüberwachung ing
Beschreibung: Die Antischadsoftwarelösung bietet Integritätsstatusüberwachung für Plattform-, Modul- und automatische Signaturupdates. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Kunden können auswählen, dass Antischadsoftwarelösungen auf der Computeinstanz installiert werden, die an das KI-Projekt angefügt ist.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass die Plattform, das Modul und die Signaturen schnell und konsistent aktualisiert werden und ihr Status überwacht werden kann.
Referenz: /azure/ai-studio/concepts/vulnerability-management
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Die Azure-Sicherung kann auf dem speicherkonto konfiguriert werden, das dem KI-Projekt zugeordnet ist.
Konfigurationsleitfaden: Aktivieren sie Azure Backup und konfigurieren Sie die Sicherungsquelle (z. B. Azure Virtual Machines, SQL Server, HANA-Datenbanken oder Dateifreigaben) in einer gewünschten Häufigkeit und mit einem gewünschten Aufbewahrungszeitraum. Für virtuelle Azure-Computer können Sie Azure-Richtlinie verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Konfigurieren und Verwalten der Sicherung für Azure Blobs mit Azure Backup
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure AI Studio bietet kein systemeigenes Sicherungsfeature. Kunden sollten Azure Backup für Ressourcen unter den KI-Projekten verwenden.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.