Linha de base de segurança do Azure para o Azure AI Studio
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure AI Studio. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Azure AI Studio.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao Azure AI Studio foram excluídos. Para ver como o Azure AI Studio mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do Azure AI Studio.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Azure AI Studio, o que pode resultar em considerações de segurança maiores.
| Atributo comportamento do serviço | Value |
|---|---|
| Categoria do Produto | AI+ML |
| O cliente pode aceder ao HOST/SO | Acesso Total |
| O serviço pode ser implementado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente inativo | True |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Diretrizes de configuração: você pode configurar a conexão de link privado para acessar o Azure AI Studio a partir de sua rede virtual. Você pode usar o recurso interno de Isolamento de Rede Gerenciado para fornecer isolamento de rede para seus recursos de computação no Azure AI Studio, como instância de computação.
Referência: Como configurar um link privado para o hub de IA do Azure
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o NSG (Network Security Group) é suportado pelo Azure AI Studio. É responsabilidade do cliente garantir a configuração adequada das políticas e aplicar o NSG aos recursos.
Diretrizes de configuração: use grupos de segurança de rede (NSG) para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis). Lembre-se de que, por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Como configurar um link privado para o hub de IA do Azure
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: A desativação do acesso público à Internet é suportada pelo Azure AI Studio, o cliente pode configurar o Azure Private Link para acesso seguro ao estúdio e aos recursos de computação do Azure AI.
Diretrizes de configuração: desabilite o acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço ou um comutador de alternância para acesso à rede pública.
Referência: Como configurar um link privado para o hub de IA do Azure
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o controlo de acesso baseado na função do Azure é utilizado para gerir o acesso ao Azure AI Studio com funções predefinidas. Os usuários em sua ID do Microsoft Entra devem ter funções atribuídas para acessar os recursos no Azure AI Studio.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: /azure/ai-studio/concepts/rbac-ai-studio
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: A autenticação local para o plano de dados não é suportada pelo Azure AI Studio. Os clientes devem usar o Azure Entra ID para gerenciar o acesso ao plano de dados. No entanto, o cliente pode configurar a autenticação local para a instância de computação que, por padrão, está desabilitada.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: a identidade gerida é suportada pelo Azure AI Studio. No entanto, os clientes devem garantir que a identidade gerenciada esteja configurada corretamente para os recursos de destino para habilitar o acesso.
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: As Entidades de Serviço são suportadas pelo Azure AI Studio e podem ser configuradas para recursos que suportam o projeto de IA, incluindo a Conta de Armazenamento e o Cofre da Chave do Azure, etc.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o Acesso Condicional é suportado pelo Azure AI Studio, no entanto, os clientes precisam de configurar as políticas que não estão ativadas por predefinição.
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: os clientes podem utilizar o Azure Key Vault para gerir segredos como cadeias de ligação para as suas ligações de recursos. Para isolamento de dados, segredos não podem ser recuperados em projetos por meio de APIs.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: /azure/ai-studio/concepts/architecture
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: Durante a criação de uma instância de computação, os clientes podem configurar o acesso raiz na página de segurança. Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Como criar e gerenciar instâncias de computação no Azure AI Studio
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o controlo de acesso baseado em funções do Azure é suportado pelo Azure AI Studio com funções predefinidas. Os clientes precisam atribuir as funções aos usuários antes que eles possam acessar o Azure AI Studio.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: a Deteção e Classificação de Dados Confidenciais não é suportada pelo Azure AI Studio neste momento. Enquanto os dados em trânsito e em repouso são criptografados, os clientes precisam considerar recursos configuráveis, incluindo isolamento de rede, controle de acesso, etc., para proteger os dados.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: A solução de Prevenção de Fugas/Perdas de Dados (DLP) não é suportada pelo Azure AI Studio neste momento. O cliente deve considerar a aplicação de controles que ajudem a proteger os dados, incluindo isolamento de rede, gerenciamento de acesso, etc.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o Azure AI Studio utiliza encriptação para proteger dados em repouso e em trânsito. Por padrão, as chaves gerenciadas pela Microsoft são usadas para criptografia.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: a IA do Azure foi criada com base em vários serviços do Azure. Os dados são armazenados de forma segura usando chaves de criptografia que a Microsoft fornece por padrão.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o Azure AI Studio utiliza encriptação para proteger dados em repouso e em trânsito. Por padrão, as chaves gerenciadas pela Microsoft são usadas para criptografia. No entanto, os clientes podem usar suas próprias chaves de criptografia (chaves gerenciadas pelo cliente, CMK). Os clientes que optarem por usar esse recurso precisam carregar suas chaves no Azure Key Vault para se beneficiarem do recurso.
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Referência: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: Quando um recurso do Azure AI Hub é criado, um Cofre da Chave do Azure é necessário como recurso dependente.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: arquitetura do Azure AI Studio
DP-7: Use um processo seguro de gerenciamento de certificados
Funcionalidades
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o Azure AI Studio fornece Políticas do Azure incorporadas. No entanto, as políticas não estão habilitadas por padrão. Os clientes devem rever e optar por ativar as políticas onde necessário.
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: /azure/ai-services/policy-reference
AM-5: Use apenas aplicativos aprovados na máquina virtual
Funcionalidades
Microsoft Defender for Cloud - Controles de aplicativos adaptáveis
Descrição: O serviço pode limitar quais aplicativos do cliente são executados na máquina virtual usando os Controles de Aplicativo Adaptáveis no Microsoft Defender for Cloud. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de recursos: A instalação do agente do Microsoft Defender for Servers não é suportada no momento.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o Microsoft Defender pode ser configurado para vários recursos anexados ao Azure AI Studio. O cliente pode rever a disponibilidade através da documentação do Micrsoft Defender.
Diretrizes de configuração: use o Azure Ative Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de gerenciamento. Quando receber um alerta do Microsoft Defender for Key Vault, investigue e responda ao alerta.
Referência: produtos e serviços Microsoft Defender
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o Azure monitor e o Azure Log Analytics fornecem monitorização e registo para os recursos subjacentes utilizados pelo Azure AI Studio.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: arquitetura do Azure AI Studio
Gestão de postura e de vulnerabilidade
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Postura e gerenciamento de vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: A Configuração do Estado de Automação do Azure pode ser usada para manter a configuração de segurança do sistema operacional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Agente de Configuração de Convidado de Política do Azure
Descrição: o agente de configuração de convidado da Política do Azure pode ser instalado ou implantado como uma extensão para recursos de computação. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: o Azure AI Studio fornece Políticas do Azure incorporadas. No entanto, as políticas não estão habilitadas por padrão. Os clientes devem rever e optar por ativar as políticas onde necessário.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: /azure/ai-services/policy-reference
Imagens de VM personalizadas
Descrição: o serviço suporta o uso de imagens de VM fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: A imagem da VM nos recursos de computação é gerida pela Microsoft e não há suporte para imagens de VM personalizadas.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Imagens de contêineres personalizados
Descrição: O serviço suporta o uso de imagens de contêiner fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recurso: os clientes podem optar por usar a imagem de contêiner personalizada nos recursos de computação anexados ao projeto de IA.
Diretrizes de configuração: use uma imagem protegida pré-configurada de um fornecedor confiável, como a Microsoft, ou crie a linha de base de configuração segura desejada no modelo de imagem de contêiner
PV-5: Realizar avaliações de vulnerabilidade
Funcionalidades
Avaliação de vulnerabilidade usando o Microsoft Defender
Descrição: O serviço pode ser verificado quanto à verificação de vulnerabilidades usando o Microsoft Defender for Cloud ou outros recursos de avaliação de vulnerabilidade incorporados dos serviços Microsoft Defender (incluindo o Microsoft Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: siga as recomendações do Microsoft Defender for Cloud para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL.
Referência: Gerenciamento de vulnerabilidades para o Azure AI Studio
PV-6: Corrige vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: O serviço pode usar o Azure Automation Update Management para implantar patches e atualizações automaticamente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: a Atualização de Automação do Azure não é suportada pelo Azure AI Studio. As implantações podem aproveitar imagens de VM e imagens do Docker. Os métodos e a frequência de atualização/patch estão documentados na documentação - Gerenciamento de vulnerabilidades para o Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Segurança de pontos finais
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de ponto final.
ES-1: Usar EDR (Endpoint Detection and Response)
Funcionalidades
Solução EDR
Descrição: o recurso EDR (Endpoint Detection and Response), como o Azure Defender for servers, pode ser implantado no ponto de extremidade. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
ES-2: Use software anti-malware moderno
Funcionalidades
Solução Anti-Malware
Descrição: O recurso antimalware, como o Microsoft Defender Antivirus, o Microsoft Defender for Endpoint pode ser implantado no ponto de extremidade. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: A solução Antimalware não é suportada nos pontos finais do Azure AI Studio. No entanto, os clientes podem optar por instalar soluções antimalware na instância de computação. Para obter detalhes, consulte /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
ES-3: Garantir que o software antimalware e as assinaturas estejam atualizados
Funcionalidades
Monitoramento da integridade da solução antimalware
Descrição: A solução antimalware fornece monitoramento de status de integridade para atualizações automáticas de plataforma, mecanismo e assinatura. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recurso: os clientes podem optar por instalar soluções antimalware na instância de computação anexada ao projeto de IA.
Orientação de configuração: configure sua solução antimalware para garantir que a plataforma, o mecanismo e as assinaturas sejam atualizados de forma rápida e consistente e que seu status possa ser monitorado.
Referência: /azure/ai-studio/concepts/vulnerability-management
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recurso: o backup do Azure pode ser configurado na conta de armazenamento anexada ao projeto de IA.
Diretrizes de configuração: habilite o Backup do Azure e configure a fonte de backup (como Máquinas Virtuais do Azure, SQL Server, bancos de dados HANA ou Compartilhamentos de Arquivos) na frequência desejada e com um período de retenção desejado. Para Máquinas Virtuais do Azure, você pode usar a Política do Azure para habilitar backups automáticos.
Referência: Configurar e gerenciar backup para Blobs do Azure usando o Backup do Azure
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: o Azure AI Studio não fornece uma funcionalidade de cópia de segurança nativa. Os clientes devem usar o Backup do Azure para recursos nos projetos de IA.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Próximos passos
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure