Baseline di sicurezza di Azure per Azure AI Studio
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure AI Studio. Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark della sicurezza cloud Microsoft e dalle indicazioni correlate applicabili ad Azure AI Studio.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure AI Studio sono state escluse. Per informazioni sul mapping completo di Azure AI Studio al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di Azure AI Studio.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure AI Studio, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | INTELLIGENZA ARTIFICIALE+ML |
| Il cliente può accedere a HOST/sistema operativo | Accesso completo |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente( VNet). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Condiviso |
Linee guida per la configurazione: è possibile configurare la connessione di collegamento privato per accedere ad Azure AI Studio dalla rete virtuale. È possibile usare la funzionalità predefinita Isolamento rete gestita per fornire l'isolamento di rete per le risorse di calcolo in Azure AI Studio, ad esempio l'istanza di calcolo.
Riferimento: Come configurare un collegamento privato per l'hub di intelligenza artificiale di Azure
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: il gruppo di sicurezza di rete (NSG) è supportato da Azure AI Studio. È responsabilità dei clienti assicurarsi di configurare correttamente i criteri e applicare il gruppo di sicurezza di rete alle risorse.
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità collegamento privato, per stabilire un punto di accesso privato per le risorse.
Riferimento: Come configurare un collegamento privato per l'hub di intelligenza artificiale di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: la disabilitazione dell'accesso a Internet pubblico è supportata da Azure AI Studio, il cliente può configurare collegamento privato di Azure per l'accesso protetto a Azure AI Studio e alle risorse di calcolo.
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Come configurare un collegamento privato per l'hub di intelligenza artificiale di Azure
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: il controllo degli accessi in base al ruolo di Azure viene usato per gestire l'accesso ad Azure AI Studio con ruoli predefiniti. Gli utenti nell'ID Microsoft Entra devono avere ruoli assegnati per accedere alle risorse all'interno di Azure AI Studio.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: /azure/ai-studio/concepts/rbac-ai-studio
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: l'autenticazione locale al piano dati non è supportata da Azure AI Studio. I clienti devono usare l'ID Entra di Azure per gestire l'accesso al piano dati. Tuttavia, il cliente può configurare l'autenticazione locale per l'istanza di calcolo che è disabilitata per impostazione predefinita.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: l'identità gestita è supportata da Azure AI Studio. Tuttavia, i clienti devono assicurarsi che l'identità gestita sia configurata correttamente per le risorse di destinazione per abilitare l'accesso.
Indicazioni sulla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: le entità servizio sono supportate da Azure AI Studio e possono essere configurate per le risorse che supportano il progetto di intelligenza artificiale, tra cui l'account di archiviazione e Azure Key Vault e così via.
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: l'accesso condizionale è supportato da Azure AI Studio, ma i clienti devono configurare i criteri che non sono abilitati per impostazione predefinita.
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: i clienti possono usare Azure Key Vault per gestire segreti come stringa di connessione per le connessioni alle risorse. Per l'isolamento dei dati, i segreti non possono essere recuperati nei diversi progetti tramite le API.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: /azure/ai-studio/concepts/architecture
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account amministratore locale
Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: durante la creazione di un'istanza di calcolo, i clienti possono configurare l'accesso radice nella pagina di sicurezza. Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Come creare e gestire istanze di calcolo in Azure AI Studio
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: il Controllo di accesso basato sui ruoli di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: il controllo degli accessi in base al ruolo di Azure è supportato da Azure AI Studio con ruoli predefiniti. I clienti devono assegnare i ruoli agli utenti prima di poter accedere ad Azure AI Studio.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: l'individuazione e la classificazione dei dati sensibili non sono attualmente supportate da Azure AI Studio. Mentre i dati in transito e inattivi sono crittografati, i clienti devono prendere in considerazione funzionalità configurabili, tra cui isolamento della rete, controllo di accesso e così via per proteggere i dati.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: la soluzione DLP (Data Loss/Loss Prevention) non è attualmente supportata da Azure AI Studio. Il cliente deve prendere in considerazione l'applicazione di controlli che consentono di proteggere i dati, tra cui isolamento della rete, gestione degli accessi e così via.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: Azure AI Studio usa la crittografia per proteggere i dati inattivi e in transito. Per impostazione predefinita, le chiavi gestite da Microsoft vengono usate per la crittografia.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: L'intelligenza artificiale di Azure si basa su più servizi di Azure. I dati vengono archiviati in modo sicuro usando chiavi di crittografia fornite da Microsoft per impostazione predefinita.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: Azure AI Studio usa la crittografia per proteggere i dati inattivi e in transito. Per impostazione predefinita, le chiavi gestite da Microsoft vengono usate per la crittografia. Tuttavia, i clienti possono usare le proprie chiavi di crittografia (chiavi gestite dal cliente, CMK). I clienti scelgono di usare questa funzionalità devono caricare le chiavi in Azure Key Vault per trarre vantaggio dalla funzionalità.
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: quando viene creata una risorsa dell'hub di intelligenza artificiale di Azure, è necessaria un'istanza di Azure Key Vault come risorsa dipendente.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Architettura di Azure AI Studio
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione cespiti
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: Azure AI Studio offre criteri di Azure predefiniti. Tuttavia, i criteri non sono abilitati per impostazione predefinita. I clienti devono esaminare e scegliere di abilitare i criteri dove necessario.
Linee guida per la configurazione: usare Microsoft Defender per il cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: /azure/ai-services/policy-reference
AM-5: Usare solo applicazioni approvate nella macchina virtuale
Funzionalità
Microsoft Defender per il cloud - Controlli applicazioni adattivi
Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender per il cloud. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: l'installazione dell'agente di Microsoft Defender per server non è attualmente supportata.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: Microsoft Defender può essere configurato per varie risorse collegate ad Azure AI Studio. Il cliente può esaminare la disponibilità tramite la documentazione di Micrsoft Defender.
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando si riceve un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.
Informazioni di riferimento: Prodotti e servizi di Microsoft Defender
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulle funzionalità: Monitoraggio di Azure e Azure Log Analytics forniscono monitoraggio e registrazione per le risorse sottostanti usate da Azure AI Studio.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Architettura di Azure AI Studio
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft: Postura e gestione delle vulnerabilità.
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
Funzionalità
State Configuration di Automazione di Azure
Descrizione: Automazione di Azure State Configuration può essere usato per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
agente di configurazione guest Criteri di Azure
Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulla funzionalità: Azure AI Studio offre criteri di Azure predefiniti. Tuttavia, i criteri non sono abilitati per impostazione predefinita. I clienti devono esaminare e scegliere di abilitare i criteri dove necessario.
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: /azure/ai-services/policy-reference
Immagini di macchine virtuali personalizzate
Descrizione: il servizio supporta l'uso di immagini di macchine virtuali fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: l'immagine della macchina virtuale nelle risorse di calcolo è gestita da Microsoft e le immagini di macchine virtuali personalizzate non sono supportate.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Immagini di contenitori personalizzati
Descrizione: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: i clienti possono scegliere di usare un'immagine del contenitore personalizzata nelle risorse di calcolo collegate al progetto di intelligenza artificiale.
Linee guida per la configurazione: usare un'immagine con protezione avanzata preconfigurata da un fornitore attendibile, ad esempio Microsoft o compilare la baseline di configurazione sicura desiderata nel modello di immagine del contenitore
PV-5: Eseguire valutazioni delle vulnerabilità
Funzionalità
Valutazione della vulnerabilità con Microsoft Defender
Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per il cloud o altre funzionalità di valutazione delle vulnerabilità incorporate di Microsoft Defender Services (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: seguire i consigli di Microsoft Defender per il cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server SQL.
Informazioni di riferimento: Gestione delle vulnerabilità per Azure AI Studio
PV-6: Correggere in modo rapido e automatico le vulnerabilità del software
Funzionalità
Automazione di Azure - Gestione aggiornamenti
Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Automazione di Azure Update non è supportato da Azure AI Studio. Le distribuzioni possono sfruttare le immagini delle macchine virtuali e le immagini Docker. I metodi di aggiornamento/patch e la frequenza sono documentati nella documentazione relativa alla gestione delle vulnerabilità per Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Sicurezza degli endpoint
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza degli endpoint.
ES-1: Usare Rilevamento e reazione dagli endpoint (EDR)
Funzionalità
Soluzione EDR
Descrizione: è possibile distribuire nell'endpoint la funzionalità Rilevamento endpoint e risposta (EDR), ad esempio Azure Defender per i server. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
ES-2: Usare un software antimalware moderno
Funzionalità
Soluzione antimalware
Descrizione: funzionalità antimalware, ad esempio Antivirus Microsoft Defender, Microsoft Defender per endpoint può essere distribuita nell'endpoint. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: la soluzione antimalware non è supportata negli endpoint di Azure AI Studio. Tuttavia, i clienti possono scegliere di installare soluzioni antimalware nell'istanza di calcolo. Per informazioni dettagliate, vedere /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati
Funzionalità
Monitoraggio dell'integrità della soluzione antimalware
Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti automatici della piattaforma, del motore e della firma automatica. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: i clienti possono scegliere di installare soluzioni antimalware nell'istanza di calcolo collegata al progetto di intelligenza artificiale.
Linee guida sulla configurazione: configurare la soluzione antimalware per garantire che la piattaforma, il motore e le firme vengano aggiornate rapidamente e in modo coerente e che il relativo stato possa essere monitorato.
Riferimento: /azure/ai-studio/concepts/vulnerability-management
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: il backup di Azure può essere configurato nell'account di archiviazione collegato al progetto di intelligenza artificiale.
Linee guida per la configurazione: abilitare Backup di Azure e configurare l'origine di backup (ad esempio Azure Macchine virtuali, SQL Server, database HANA o condivisioni file) in base alla frequenza desiderata e con un periodo di conservazione desiderato. Per Azure Macchine virtuali, è possibile usare Criteri di Azure per abilitare i backup automatici.
Riferimento: Configurare e gestire il backup per i BLOB di Azure usando Backup di Azure
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: Azure AI Studio non fornisce una funzionalità di backup nativa. I clienti devono usare Backup di Azure per le risorse nei progetti di intelligenza artificiale.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure