Встроенные определения в Политике Azure для Когнитивного поиска Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Когнитивного поиска Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Когнитивный поиск Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: служба поиска ИИ Azure должна быть избыточной по зонам | Служба поиска ИИ Azure может быть настроена как избыточность в зонах или нет. Зоны доступности используются при добавлении двух или более реплик в службу поиска. Каждая реплика помещается в другую зону доступности в пределах региона. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Ресурсы служб искусственного интеллекта Azure должны использовать Приватный канал Azure | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в следующем: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Для служб Когнитивного поиска Azure должны быть отключены локальные способы проверки подлинности | Отключение способов локальной проверки подлинности повышает безопасность, гарантируя, что службы Когнитивного поиска Azure требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/rbac. Учтите, что, хотя параметр отключения локальной проверки подлинности все еще находится на этапе предварительной версии, эффект запрета для этой политики может привести к ограниченной функциональности портала Когнитивного поиска Azure, так как некоторые функции портала используют API-интерфейс GA, который не поддерживает этот параметр. | Audit, Deny, Disabled | 1.0.0 |
| Службы "Когнитивный поиск Azure" должны использовать управляемые клиентом ключи для шифрования неактивных данных | Включение шифрования неактивных данных с помощью управляемого клиентом ключа в службах Когнитивного поиска Azure обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов, которым нужно соблюдать нормативные требования, чтобы управлять ключами шифрования данных с помощью хранилища ключей. | Audit, Deny, Disabled | 1.0.0 |
| Настройка ресурсов служб искусственного интеллекта Azure для отключения доступа к локальному ключу (отключение локальной проверки подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка служб Когнитивного поиска Azure для отключения локальной проверки подлинности | Отключите способы локальной проверки подлинности, чтобы службы Когнитивного поиска Azure требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/rbac. | Modify, Disabled | 1.0.0 |
| Настройка служб Когнитивного поиска Azure для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для своей службы "Когнитивный поиск Azure", чтобы она была недоступна через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modify, Disabled | 1.0.0 |
| Настройка службы Когнитивного поиска Azure с частными конечными точками | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки со службой Когнитивного поиска Azure, можно снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание параметров диагностики служб поиска в концентраторе событий | Развертывает параметры диагностики служб поиска для потоковой передачи в региональный концентратор событий при создании или изменении служб поиска, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 2.0.0 |
| Развертывание параметров диагностики служб поиска в рабочей области Log Analytics | Развертывает параметры диагностики служб поиска для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении служб поиска, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 1.0.0 |
| Журналы диагностики в ресурсах служб ИИ Azure должны быть включены | Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для служба (microsoft.search/searchservices) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для служба (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для служба (microsoft.search/searchservices) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для служба (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для служба (microsoft.search/searchservices) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для служба (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.