Ingebouwde Azure Policy-beleidsdefinities voor Azure AI Services
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure AI-services. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure AI-services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) | Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure AI Services-resources moeten Gebruikmaken van Azure Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform vermindert risico's voor gegevenslekken door de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure te verwerken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AzurePrivateLink/Overview | Controle, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts moeten een beheerde identiteit gebruiken | Door een beheerde identiteit toe te wijzen aan uw Cognitive Service-account, zorgt u voor veilige verificatie. Deze identiteit wordt door dit Cognitive Service-account gebruikt om op een veilige manier te communiceren met andere Azure-services, zoals Azure Key Vault, zonder dat u referenties hoeft te beheren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Cognitive Services-accounts moet opslag van de klant worden gebruikt | Gebruik opslag in eigendom van de klant om de gegevens te beheren die in rust zijn opgeslagen in Cognitive Services. Ga naar https://aka.ms/cogsvc-cmkvoor meer informatie over opslag in eigendom van de klant. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Azure AI Services-resources configureren om toegang tot lokale sleutels uit te schakelen (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren om lokale verificatiemethoden uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Cognitive Services-accounts uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/cs/auth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Cognitive Services-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800. | Uitgeschakeld, Wijzigen | 3.0.0 |
| Cognitive Services-accounts configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Diagnostische logboeken in Azure AI-services-resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services-resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.