Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure AI Studio
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure AI Studio. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązanych wskazówek dotyczących usługi Azure AI Studio.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu Microsoft Defender dla Chmury. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender dla Chmury.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do programu Azure AI Studio, zostały wykluczone. Aby zobaczyć, jak program Azure AI Studio całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure AI Studio.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie w usłudze Azure AI Studio, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Sztuczna inteligencja i uczenie maszynowe |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Pełny dostęp |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Wskazówki dotyczące konfiguracji: możesz skonfigurować połączenie łącza prywatnego w celu uzyskania dostępu do programu Azure AI Studio z sieci wirtualnej. Możesz użyć wbudowanej funkcji izolacji sieci zarządzanej, aby zapewnić izolację sieci dla zasobów obliczeniowych w usłudze Azure AI Studio, takich jak wystąpienie obliczeniowe.
Dokumentacja: Jak skonfigurować łącze prywatne dla centrum azure AI
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Sieciowa grupa zabezpieczeń (NSG) jest obsługiwana przez program Azure AI Studio. Obowiązkiem klientów jest zapewnienie prawidłowego konfigurowania zasad i stosowanie sieciowej grupy zabezpieczeń do zasobów.
Wskazówki dotyczące konfiguracji: Użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie dostępowi portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usługi Azure Load Balancers.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: Jak skonfigurować łącze prywatne dla centrum azure AI
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Wyłączenie publicznego dostępu do Internetu jest obsługiwane przez program Azure AI Studio. Klient może skonfigurować usługę Azure Private Link pod kątem bezpiecznego dostępu do programu Azure AI Studio i zasobów obliczeniowych.
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika przełącznika na potrzeby dostępu do sieci publicznej.
Dokumentacja: Jak skonfigurować łącze prywatne dla centrum azure AI
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Kontrola dostępu oparta na rolach platformy Azure służy do zarządzania dostępem do programu Azure AI Studio ze wstępnie zdefiniowanymi rolami. Użytkownicy w identyfikatorze Entra firmy Microsoft powinni mieć przypisane role dostępu do zasobów w usłudze Azure AI Studio.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: /azure/ai-studio/concepts/rbac-ai-studio
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: lokalne uwierzytelnianie na płaszczyźnie danych nie jest obsługiwane przez program Azure AI Studio. Klienci powinni używać identyfikatora entra platformy Azure do zarządzania dostępem do płaszczyzny danych. Klient może jednak skonfigurować lokalne uwierzytelnianie dla wystąpienia obliczeniowego, które jest domyślnie wyłączone.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: tożsamość zarządzana jest obsługiwana przez program Azure AI Studio. Jednak klienci powinni upewnić się, że tożsamość zarządzana jest prawidłowo skonfigurowana dla zasobów docelowych w celu umożliwienia dostępu.
Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Jednostki usługi są obsługiwane przez program Azure AI Studio i można je skonfigurować pod kątem zasobów obsługujących projekt sztucznej inteligencji, w tym konta magazynu i usługi Azure Key Vault itp.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Dostęp warunkowy jest obsługiwany przez program Azure AI Studio, jednak klienci muszą skonfigurować zasady, które nie są domyślnie włączone.
Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Poświadczenia usługi i wpisy tajne obsługują integrację i magazyn w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Klienci mogą używać usługi Azure Key Vault do zarządzania wpisami tajnymi, takimi jak parametry połączenia dla połączeń zasobów. W przypadku izolacji danych wpisy tajne nie mogą być pobierane między projektami za pośrednictwem interfejsów API.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: /azure/ai-studio/concepts/architecture
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: podczas tworzenia wystąpienia obliczeniowego klienci mogą skonfigurować dostęp główny na stronie zabezpieczeń. Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Jak tworzyć wystąpienia obliczeniowe i zarządzać nimi w usłudze Azure AI Studio
PA-7: przestrzeganie zasady minimalnego wystarczającego zakresu administracji (zasada najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Kontrola dostępu oparta na rolach platformy Azure jest obsługiwana przez program Azure AI Studio ze wstępnie zdefiniowanymi rolami. Klienci muszą przypisywać role użytkownikom, zanim będą mogli uzyskać dostęp do usługi Azure AI Studio.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Odnajdywanie i klasyfikacja poufnych danych nie jest obecnie obsługiwane przez program Azure AI Studio. Podczas gdy dane przesyłane i magazynowane są szyfrowane, klienci muszą rozważyć skonfigurowanie funkcji, takich jak izolacja sieci, kontrola dostępu itp., aby chronić dane.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Rozwiązanie do zapobiegania wyciekom/utracie danych (DLP) nie jest obecnie obsługiwane przez program Azure AI Studio. Klient powinien rozważyć zastosowanie mechanizmów kontroli, które pomagają zabezpieczyć dane, w tym izolację sieci, zarządzanie dostępem itp.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Usługa Azure AI Studio używa szyfrowania do ochrony danych magazynowanych i przesyłanych. Domyślnie klucze zarządzane przez firmę Microsoft są używane do szyfrowania.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane, każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Sztuczna inteligencja platformy Azure jest oparta na wielu usługach platformy Azure. Dane są przechowywane bezpiecznie przy użyciu kluczy szyfrowania, które firma Microsoft udostępnia domyślnie.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Usługa Azure AI Studio używa szyfrowania do ochrony danych magazynowanych i przesyłanych. Domyślnie klucze zarządzane przez firmę Microsoft są używane do szyfrowania. Jednak klienci mogą używać własnych kluczy szyfrowania (kluczy zarządzanych przez klienta, CMK). Klienci decydują się na użycie tej funkcji, aby móc korzystać z tej funkcji, muszą przekazać swoje klucze do usługi Azure Key Vault.
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Dokumentacja: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: po utworzeniu zasobu usługi Azure AI Hub usługa Azure Key Vault jest wymagana jako zasób zależny.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Architektura usługi Azure AI Studio
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Usługa Azure AI Studio udostępnia wbudowane zasady platformy Azure. Jednak zasady nie są domyślnie włączone. Klienci powinni przejrzeć i wybrać włączenie zasad w razie potrzeby.
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender dla Chmury, aby skonfigurować usługę Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj funkcji Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację w zasobach platformy Azure.
Dokumentacja: /azure/ai-services/policy-reference
AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej
Funkcje
Microsoft Defender dla Chmury — adaptacyjne kontrolki aplikacji
Opis: Usługa może ograniczyć możliwości uruchamiania aplikacji klienckich na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w Microsoft Defender dla Chmury. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: instalacja agenta usługi Microsoft Defender for Servers nie jest obecnie obsługiwana.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Usługa Microsoft Defender dla usług/oferta produktów
Opis: Usługa oferuje rozwiązanie usługi Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługę Microsoft Defender można skonfigurować dla różnych zasobów dołączonych do programu Azure AI Studio. Klient może przejrzeć dostępność za pośrednictwem dokumentacji programu Micrsoft Defender.
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny zarządzania. Po otrzymaniu alertu z usługi Microsoft Defender for Key Vault zbadaj alert i odpowiedz na nie.
Dokumentacja: produkty i usługi Microsoft Defender
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Usługi Azure Monitor i Azure Log Analytics zapewniają monitorowanie i rejestrowanie bazowych zasobów używanych przez usługę Azure AI Studio.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Architektura usługi Azure AI Studio
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Azure Automation State Configuration
Opis: Usługa Azure Automation State Configuration może służyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Agent konfiguracji gościa usługi Azure Policy
Opis: Agent konfiguracji gościa usługi Azure Policy można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Usługa Azure AI Studio udostępnia wbudowane zasady platformy Azure. Jednak zasady nie są domyślnie włączone. Klienci powinni przejrzeć i wybrać włączenie zasad w razie potrzeby.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: /azure/ai-services/policy-reference
Niestandardowe obrazy maszyn wirtualnych
Opis: Usługa obsługuje korzystanie z obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z witryny Marketplace z wstępnie zastosowanymi konfiguracjami punktu odniesienia. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: obraz maszyny wirtualnej na zasobach obliczeniowych jest zarządzany przez firmę Microsoft, a niestandardowe obrazy maszyn wirtualnych nie są obsługiwane.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Obrazy kontenerów niestandardowych
Opis: Usługa obsługuje korzystanie z obrazów kontenerów dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z witryny Marketplace z wstępnie zastosowanymi konfiguracjami punktu odniesienia. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: klienci mogą zdecydować się na użycie niestandardowego obrazu kontenera na zasobach obliczeniowych dołączonych do projektu sztucznej inteligencji.
Wskazówki dotyczące konfiguracji: Użyj wstępnie skonfigurowanego obrazu ze wzmocnionym zabezpieczeniami od zaufanego dostawcy, takiego jak firma Microsoft, lub skompiluj odpowiedni bezpieczny punkt odniesienia konfiguracji do szablonu obrazu kontenera
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu usługi Microsoft Defender
Opis: Usługę można skanować pod kątem skanowania pod kątem luk w zabezpieczeniach przy użyciu Microsoft Defender dla Chmury lub innych funkcji oceny osadzonych luk w zabezpieczeniach usług Microsoft Defender (w tym usługi Microsoft Defender dla serwera, rejestru kontenerów, usługi App Service, sql i DNS). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami Microsoft Defender dla Chmury dotyczącymi przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL.
Dokumentacja: Zarządzanie lukami w zabezpieczeniach dla programu Azure AI Studio
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Funkcje
Azure Automation — Update Management
Opis: Usługa może używać usługi Azure Automation Update Management do automatycznego wdrażania poprawek i aktualizacji. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: usługa Azure Automation Update nie jest obsługiwana przez program Azure AI Studio. Wdrożenia mogą korzystać z obrazów maszyn wirtualnych i obrazów platformy Docker. Metody i częstotliwość aktualizacji/poprawek są udokumentowane w dokumentacji — Zarządzanie lukami w zabezpieczeniach dla programu Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Funkcje
Rozwiązanie EDR
Opis: Funkcja wykrywania i reagowania punktu końcowego (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Funkcje
Rozwiązanie chroniące przed złośliwym oprogramowaniem
Opis: Funkcja ochrony przed złośliwym oprogramowaniem, taka jak Program antywirusowy Microsoft Defender, można wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: rozwiązanie chroniące przed złośliwym oprogramowaniem nie jest obsługiwane w punktach końcowych programu Azure AI Studio. Klienci mogą jednak instalować rozwiązania chroniące przed złośliwym oprogramowaniem w wystąpieniu obliczeniowym. Aby uzyskać szczegółowe informacje, zobacz /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Funkcje
Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem
Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji podpisów. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: klienci mogą instalować rozwiązania chroniące przed złośliwym oprogramowaniem w wystąpieniu obliczeniowym dołączonym do projektu sztucznej inteligencji.
Wskazówki dotyczące konfiguracji: Skonfiguruj rozwiązanie chroniące przed złośliwym oprogramowaniem, aby zapewnić szybkie i spójne aktualizowanie platformy, aparatu i podpisów, a ich stan można monitorować.
Dokumentacja: /azure/ai-studio/concepts/vulnerability-management
Tworzenie kopii zapasowych i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: tworzenie kopii zapasowej platformy Azure można skonfigurować na koncie magazynu dołączonym do projektu sztucznej inteligencji.
Wskazówki dotyczące konfiguracji: Włączanie usługi Azure Backup i konfigurowanie źródła kopii zapasowej (na przykład usługi Azure Virtual Machines, bazy danych SQL Server, bazy danych HANA lub udziały plików) z żądaną częstotliwością i żądanym okresem przechowywania. W przypadku usługi Azure Virtual Machines można użyć usługi Azure Policy do włączenia automatycznych kopii zapasowych.
Dokumentacja: Konfigurowanie kopii zapasowych obiektów blob platformy Azure i zarządzanie nimi przy użyciu usługi Azure Backup
Możliwości tworzenia kopii zapasowej natywnej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: program Azure AI Studio nie udostępnia natywnej funkcji tworzenia kopii zapasowej. Klienci powinni używać usługi Azure Backup dla zasobów w projektach sztucznej inteligencji.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Następne kroki
- Zobacz omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure