Azure-beveiligingsbasislijn voor Azure AI-services
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure AI-services. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure AI-services.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met Behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies niet van toepassing op Azure AI-services zijn uitgesloten. Als u wilt zien hoe Azure AI-services volledig overeenkomen met de Microsoft-cloudbeveiligingsbenchmark, bekijk dan het volledige toewijzingsbestand van Azure AI-services voor beveiligingsbasislijnen .
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure AI-services, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | AI+ML |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Vals |
| Slaat klantinhoud in rusttoestand op | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiligingvoor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het privé-VNet (Virtual Network) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Het verkeer van het servicenetwerk respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
functienotities: Hoewel netwerkbeveiligingsgroepen voor deze service niet worden ondersteund, kan een firewall op serviceniveau worden geconfigureerd. Ga voor meer informatie naar: IP-netwerkregels beheren
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: systeemeigen IP-filteringsfunctie voor service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Privé-eindpunten implementeren voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Referentie: Privé-eindpunten gebruiken
Openbare netwerktoegang uitschakelen
Beschrijving: Service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een ip-filterregel op serviceniveau (niet NSG of Azure Firewall) of met de wisselknop Openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Verwijzing: De standaardregel voor netwerktoegang wijzigen
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.CognitiveServices:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, weigeren, uitgeschakeld | 3.2.0 |
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheervoor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Referentie: verifiëren met Azure Active Directory-
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: methoden voor lokale verificatie die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: hoewel u zich kunt verifiëren bij Azure AI-services met behulp van een abonnementssleutel voor één service of meerdere services, of deze sleutels kunt gebruiken om te verifiëren met toegangstokens, vallen deze verificatiemethoden kort in complexere scenario's waarvoor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is vereist. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Referentie: verifiëren met een toegangstoken
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.CognitiveServices:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, weigeren, uitgeschakeld | 1.1.0 |
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Configuratierichtlijnen: Gebruik azure beheerde identiteiten in plaats van service-principals indien mogelijk, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, vernieuwd en beveiligd door het platform, waardoor het gebruik van in broncode- of configuratiebestanden vastgelegde referenties wordt vermeden.
Referentie: toegang tot beheerde identiteiten autoriseren
Serviceprincipals
Beschrijving: het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: er zijn geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Referentie: aanvragen verifiëren bij Azure AI-services
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor data-plane
Beschrijving: toegang tot het gegevensvlak kan worden beheerd met behulp van het beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: De blootstelling van inloggegevens en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Referentie: Ontwikkel Azure AI-diensten applicaties met Key Vault
Bevoegde toegang
Zie de Microsoft-cloudbeveiligingsbenchmark: Bevoegde toegangvoor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: Service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Referentie: Authenticeren met Azure Active Directory
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klantenkluis
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: in ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeschermingvoor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: De service ondersteunt een DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens binnen de klantinhoud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Configuratierichtlijnen: met de mogelijkheden voor preventie van gegevensverlies van Azure AI-services kunnen klanten de lijst met uitgaande URL's configureren die hun Azure AI-services-resources kunnen openen. Dit maakt een ander controleniveau voor klanten om gegevensverlies te voorkomen.
Referentie: Preventie van gegevensverlies configureren voor Azure AI-services
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Versleuteling van gegevens tijdens transport
Beschrijving: Service ondersteunt versleuteling van gegevensverkeer in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Beveiliging van Azure AI-services
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
nl-NL: Beschrijving: Versleuteling van gegevens in rusttoestand met behulp van platformsleutels wordt ondersteund. Alle klantinhoud in rusttoestand wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Door de klant beheerde sleutels configureren met Azure Key Vault voor Azure AI-services
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevensversleuteling in rusttoestand met behulp van door de klant beheerde sleutels wordt ondersteund voor klantgegevens die door de service zijn opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: definieer indien vereist voor naleving van regelgeving het use case- en servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Referentie: Door de klant beheerde sleutels configureren met Azure Key Vault voor Azure AI-services
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.CognitiveServices:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI-servicesaccounts gegevensversleuteling moeten inschakelen met een door de klant beheerde sleutel | Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Azure AI-services worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer. Meer informatie over door de klant beheerde sleutels op https://go.microsoft.com/fwlink/?linkid=2121321. | Controleren, weigeren, uitgeschakeld | 2.1.0 |
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Vernieuw en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema, of wanneer een sleutel buiten gebruik wordt gesteld of gecompromitteerd wordt. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Referentie: Door de klant beheerde sleutels configureren met Azure Key Vault voor Azure AI-services
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Vermogensbeheer
Zie de Microsoft Cloud Security Benchmark: Asset Managementvoor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren voor het controleren en afdwingen van configuraties van uw Azure-resources. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen in Azure-resources.
Referentie: Azure Policy ingebouwde beleidsdefinities voor Azure AI-services
Logboekregistratie en detectie van bedreigingen
Zie de Microsoft-cloudbeveiligingsbenchmark: Logboekregistratie en detectie van bedreigingenvoor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onjuist | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze logboeken voor bronnen configureren en naar hun eigen gegevensopslag verzenden, zoals een opslagaccount of een werkruimte voor loganalyse. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: resourcelogboeken voor de service inschakelen. Key Vault biedt bijvoorbeeld ondersteuning voor extra resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of azure SQL heeft resourcelogboeken waarmee aanvragen voor een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Referentie: diagnostische logboekregistratie inschakelen voor Azure AI-services
Back-up en herstel
Zie de Microsoft-cloudbeveiligingsbenchmark: Back-up en herstelvoor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: De service kan worden ondersteund door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-up mogelijkheid voor services
Beschrijving: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheden (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen