Partilhar via


Linha de base de segurança do Azure para Azure AI Search

Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure AI Search. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis à Pesquisa Cognitiva do Azure.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

Os recursos não aplicáveis ao Azure AI Search foram excluídos. Para ver como o Azure AI Search mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do Azure AI Search.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto da Pesquisa de IA do Azure, o que pode resultar em considerações de segurança maiores.

Atributo comportamento do serviço Value
Categoria do Produto AI+ML, Móvel, Web
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente False
Armazena o conteúdo do cliente inativo True

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Suporte ao Grupo de Segurança de Rede

Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

NS-2: Proteger serviços cloud com controlos de rede

Funcionalidades

Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Notas de recurso: Para conexões de saída por meio de um ponto de extremidade privado, consulte: Fazer conexões de saída por meio de um ponto de extremidade privado

Diretrizes de configuração: implante pontos de extremidade privados para estabelecer um ponto de acesso privado para os recursos. Bloqueie todas as conexões no ponto de extremidade público para seu serviço de pesquisa. Aumente a segurança da rede virtual, permitindo que você bloqueie a exfiltração de dados da rede virtual.

Referência: Criar um Ponto de Extremidade Privado para uma conexão segura com o Azure AI Search

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Diretrizes de configuração: o Azure AI Search dá suporte a regras de IP para acesso de entrada por meio de um firewall, semelhante às regras de IP que você encontrará em um grupo de segurança de rede virtual do Azure. Ao aproveitar as regras de IP, você pode restringir o acesso ao serviço de pesquisa a um conjunto aprovado de máquinas e serviços de nuvem. O acesso aos dados armazenados em seu serviço de pesquisa a partir dos conjuntos aprovados de máquinas e serviços ainda exigirá que o chamador apresente um token de autorização válido.

Referência: Configurar um firewall IP para o Azure AI Search

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True True Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Referência: Usar funções para autenticação do Azure AI Search

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Autorizar o acesso a um aplicativo de pesquisa usando o Azure Ative Directory

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.

IM-7: Restringir o acesso a recursos com base nas condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-1: separar e limitar utilizadores altamente privilegiados/administrativos

Funcionalidades

Contas de Administração Local

Descrição: o serviço tem o conceito de uma conta administrativa local. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-7: Siga o princípio da administração (mínimo privilégio) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Diretrizes de configuração: o Azure fornece um sistema de autorização RBAC (controle de acesso baseado em função) global para todos os serviços em execução na plataforma. No Ai Search, você pode usar funções do Azure para:

  • Controle operações de plano (tarefas de administração de serviço por meio do Azure Resource Manager).
  • Operações de plano de dados, como criação, carregamento e consulta de índices.

Referência: Usar controles de acesso baseados em função do Azure (Azure RBAC) na Pesquisa de IA do Azure

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True True Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Azure AI Search dados em criptografia de trânsito

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True True Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: criptografia de dados padrão do Azure AI Search usando chaves gerenciadas por serviço

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.

Referência: Configurar chaves gerenciadas pelo cliente para criptografia de dados no Azure AI Search

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

Referência: Configurar chaves gerenciadas pelo cliente para criptografia de dados no Azure AI Search

DP-7: Use um processo seguro de gerenciamento de certificados

Funcionalidades

Gerenciamento de certificados no Azure Key Vault

Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Políticas de Pesquisa do Azure Ai

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender de Serviço/Oferta de Produtos

Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
True False Cliente

Diretrizes de configuração: habilite os logs de recursos para o serviço para exibir os logs de operações do Azure I Search, métricas de pesquisa e etc.

Referência: log de recursos do Azure AI Search

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Mais informações.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
False Não Aplicável Não Aplicável

Notas de funcionalidade: Como o Azure AI Search não é uma solução principal de armazenamento de dados, a Microsoft não fornece um mecanismo formal para backup e restauração de autoatendimento. No entanto, você pode fazer backup e restaurar o índice usando seu próprio código. Consulte: Alternativas de backup e restauração

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Próximos passos