Azure-beveiligingsbasislijn voor Azure AI Studio
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure AI Studio. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure AI Studio.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure AI Studio, zijn uitgesloten. Als u wilt zien hoe Azure AI Studio volledig wordt toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor azure AI Studio-beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure AI Studio, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Weergegeven als |
|---|---|
| Productcategorie | AI+ML |
| Klant heeft toegang tot HOST/OS | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud at rest op | Waar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Configuratierichtlijnen: U kunt een private link-verbinding instellen voor toegang tot Azure AI Studio vanuit uw virtuele netwerk. U kunt de ingebouwde functie Beheerde netwerkisolatie gebruiken om netwerkisolatie te bieden voor uw rekenresources in Azure AI Studio, zoals een rekenproces.
Naslaginformatie: Een privékoppeling configureren voor Azure AI Hub
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij de functie: Netwerkbeveiligingsgroep (NSG) wordt ondersteund door Azure AI Studio. Het is de verantwoordelijkheid van klanten om ervoor te zorgen dat het beleid correct wordt geconfigureerd en de NSG op de resources wordt toegepast.
Configuratierichtlijnen: Netwerkbeveiligingsgroepen (NSG) gebruiken om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de geopende poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar dat verkeer van virtueel netwerk en Azure Load Balancers is toegestaan.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Een privékoppeling configureren voor Azure AI Hub
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: het uitschakelen van openbare internettoegang wordt ondersteund door Azure AI Studio. De klant kan Azure Private Link configureren voor beveiligde toegang tot Azure AI Studio en rekenresources.
Configuratierichtlijnen: Schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: Een privékoppeling configureren voor Azure AI Hub
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: op rollen gebaseerd toegangsbeheer van Azure wordt gebruikt voor het beheren van de toegang tot Azure AI Studio met vooraf gedefinieerde rollen. Gebruikers in uw Microsoft Entra-id moeten rollen hebben toegewezen voor toegang tot de resources in Azure AI Studio.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: /azure/ai-studio/concepts/rbac-ai-studio
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Lokale verificatie voor het gegevensvlak wordt niet ondersteund door Azure AI Studio. Klanten moeten Azure Entra ID gebruiken om de toegang tot het gegevensvlak te beheren. De klant kan echter lokale verificatie configureren voor een rekenproces dat standaard is uitgeschakeld.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij functies: Beheerde identiteit wordt ondersteund door Azure AI Studio. Klanten moeten er echter voor zorgen dat de beheerde identiteit correct is geconfigureerd voor de doelbronnen om de toegang in te schakelen.
Configuratierichtlijnen: Gebruik indien mogelijk beheerde Identiteiten van Azure in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD-verificatie (Azure Active Directory). Referenties voor beheerde identiteiten worden volledig beheerd, gedraaid en beveiligd door het platform, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Service-principals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Service-principals worden ondersteund door Azure AI Studio en kunnen worden geconfigureerd voor resources die het AI-project ondersteunen, waaronder opslagaccount en Azure Key Vault, enzovoort.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Voorwaardelijke toegang wordt ondersteund door Azure AI Studio, maar klanten moeten het beleid configureren dat niet standaard is ingeschakeld.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Klanten kunnen Azure Key Vault gebruiken om geheimen zoals verbindingsreeks s voor uw resourceverbindingen te beheren. Voor gegevensisolatie kunnen geheimen niet worden opgehaald voor projecten via API's.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: /azure/ai-studio/concepts/architecture
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: tijdens het maken van een rekenproces kunnen klanten hoofdtoegang configureren onder de beveiligingspagina. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Rekenprocessen maken en beheren in Azure AI Studio
PA-7: Principe van minimale bevoegdheden hanteren
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij functies: op rollen gebaseerd toegangsbeheer van Azure wordt ondersteund door Azure AI Studio met vooraf gedefinieerde rollen. Klanten moeten de rollen toewijzen aan gebruikers voordat ze toegang hebben tot Azure AI Studio.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij functies: Detectie en classificatie van gevoelige gegevens wordt momenteel niet ondersteund door Azure AI Studio. Hoewel gegevens tijdens overdracht en at-rest worden versleuteld, moeten klanten overwegen om configureerbare functies, waaronder netwerkisolatie, toegangsbeheer, enzovoort, te configureren om de gegevens te beveiligen.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: De oplossing voor preventie van gegevenslekken/verlies (DLP) wordt momenteel niet ondersteund door Azure AI Studio. De klant moet overwegen om controles toe te passen die helpen bij het beveiligen van de gegevens, waaronder netwerkisolatie, toegangsbeheer, enzovoort.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Gegevens in transitversleuteling
Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure AI Studio maakt gebruik van versleuteling om data-at-rest en in transit te beveiligen. Standaard worden door Microsoft beheerde sleutels gebruikt voor versleuteling.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure AI is gebouwd op meerdere Azure-services. De gegevens worden veilig opgeslagen met behulp van versleutelingssleutels die Microsoft standaard biedt.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevens-at-rest-versleuteling met door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Azure AI Studio maakt gebruik van versleuteling om data-at-rest en in transit te beveiligen. Standaard worden door Microsoft beheerde sleutels gebruikt voor versleuteling. Klanten kunnen echter hun eigen versleutelingssleutels gebruiken (door de klant beheerde sleutels, CMK). Klanten kiezen ervoor om deze functie te gebruiken, moeten hun sleutels uploaden naar Azure Key Vault om te profiteren van de functie.
Configuratierichtlijnen: definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Wanneer een Azure AI Hub-resource wordt gemaakt, is een Azure Key Vault vereist als afhankelijke resource.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Azure AI Studio-architectuur
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Asset-management
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Azure AI Studio biedt ingebouwd Azure-beleid. Het beleid is echter niet standaard ingeschakeld. Klanten moeten het beleid waar nodig controleren en inschakelen.
Configuratierichtlijnen: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen in Azure-resources.
Naslaginformatie: /azure/ai-services/policy-reference
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
Functies
Microsoft Defender voor Cloud - Adaptieve toepassingsregelaars
Beschrijving: De service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender voor Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij de functie: de installatie van de Microsoft Defender voor Servers-agent wordt momenteel niet ondersteund.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Microsoft Defender kan worden geconfigureerd voor verschillende resources die zijn gekoppeld aan Azure AI Studio. De klant kan de beschikbaarheid bekijken via de Documentatie van Micrsoft Defender.
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw beheervlak te beheren. Wanneer u een waarschuwing krijgt van Microsoft Defender voor Key Vault, onderzoekt en reageert u op de waarschuwing.
Naslaginformatie: Microsoft Defender-producten en -services
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure Monitor en Azure Log Analytics bieden bewaking en logboekregistratie voor de onderliggende resources die worden gebruikt door Azure AI Studio.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Azure AI Studio-architectuur
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft-benchmark voor cloudbeveiliging: Postuur- en beveiligingsproblemenbeheer voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gastconfiguratieagent van Azure Policy
Beschrijving: Azure Policy-gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als een extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Azure AI Studio biedt ingebouwd Azure-beleid. Het beleid is echter niet standaard ingeschakeld. Klanten moeten het beleid waar nodig controleren en inschakelen.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: /azure/ai-services/policy-reference
Aangepaste VM-installatiekopieën
Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij de functie: de VM-installatiekopieën op de rekenresources worden beheerd door Microsoft en aangepaste VM-installatiekopieën worden niet ondersteund.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Aangepaste containerinstallatiekopieën
Beschrijving: Service biedt ondersteuning voor het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Klanten kunnen ervoor kiezen om aangepaste containerinstallatiekopieën te gebruiken voor de rekenresources die zijn gekoppeld aan het AI-project.
Configuratierichtlijnen: Gebruik een vooraf geconfigureerde beveiligde installatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouw de gewenste beveiligde configuratiebasislijn in de sjabloon voor containerinstallatiekopieën
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met Microsoft Defender
Beschrijving: De service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor Cloud of andere ingesloten mogelijkheden voor evaluatie van beveiligingsproblemen van Microsoft Defender-services (waaronder Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: volg aanbevelingen uit Microsoft Defender voor Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers.
Naslaginformatie: Beheer van beveiligingsproblemen voor Azure AI Studio
PV-6: Beveiligingsproblemen snel en automatisch herstellen
Functies
Azure Automation-updatebeheer
Beschrijving: Service kan Azure Automation Update Management gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij functies: Azure Automation Update wordt niet ondersteund door Azure AI Studio. Implementaties kunnen gebruikmaken van VM-installatiekopieën en Docker-installatiekopieën. De update-/patchmethoden en -frequentie worden beschreven in de documentatie- Beveiligingsbeheer voor Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Eindpuntbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Eindpuntbeveiliging voor meer informatie.
ES-1: Eindpuntdetectie en -respons gebruiken (EDR)
Functies
EDR-oplossing
Beschrijving: De functie Eindpuntdetectie en -respons (EDR), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt kan worden geïmplementeerd op het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij functies: de antimalwareoplossing wordt niet ondersteund op de eindpunten van Azure AI Studio. Klanten kunnen er echter voor kiezen om antimalwareoplossingen op het rekenproces te installeren. Raadpleeg /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance voor meer informatie.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: Antimalwareoplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Klanten kunnen ervoor kiezen om antimalwareoplossingen te installeren op het rekenproces dat is gekoppeld aan het AI-project.
Configuratierichtlijnen: Configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en handtekeningen snel en consistent worden bijgewerkt en hun status kan worden bewaakt.
Naslaginformatie: /azure/ai-studio/concepts/vulnerability-management
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij functies: Azure Backup kan worden geconfigureerd in het opslagaccount dat is gekoppeld aan het AI-project.
Configuratierichtlijnen: Schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor virtuele Azure-machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Naslaginformatie: Back-ups configureren en beheren voor Azure Blobs met behulp van Azure Backup
Systeemeigen back-upmogelijkheid van service
Beschrijving: De service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze geen Azure Backup gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure AI Studio biedt geen systeemeigen back-upfunctie. Klanten moeten Azure Backup gebruiken voor resources onder de AI-projecten.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Lees meer over basislijnen voor de beveiliging van Azure