Базовые показатели безопасности Azure для Azure AI Studio
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к Azure AI Studio. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Azure AI Studio.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции , неприменимые к Azure AI Studio, были исключены. Сведения о том, как Azure AI Studio полностью сопоставляется с эталонным показателем облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Azure AI Studio.
Профиль безопасности
Профиль безопасности обобщает поведение Azure AI Studio с высоким влиянием, что может привести к увеличению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | AI+ML |
| Клиент может получить доступ к HOST / OS | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Руководство по настройке. Вы можете настроить приватный канал для доступа к Azure AI Studio из виртуальной сети. Вы можете использовать встроенную функцию управляемой сетевой изоляции для обеспечения сетевой изоляции вычислительных ресурсов в Azure AI Studio, таких как вычислительный экземпляр.
Справочник. Настройка приватного канала для Центра искусственного интеллекта Azure
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Группа безопасности сети (NSG) поддерживается Azure AI Studio. Ответственность клиентов заключается в том, чтобы правильно настроить политики и применить группу безопасности сети к ресурсам.
Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание: возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов.
Справочник. Настройка приватного канала для Центра искусственного интеллекта Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или Брандмауэр Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Отключение общедоступного доступа к Интернету поддерживается Azure AI Studio, клиент может настроить Приватный канал Azure для защищенного доступа к Студии ИИ Azure и вычислительным ресурсам.
Руководство по настройке. Отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания или переключателя для доступа к общедоступной сети.
Справочник. Настройка приватного канала для Центра искусственного интеллекта Azure
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Управление доступом на основе ролей Azure используется для управления доступом к Azure AI Studio с предварительно определенными ролями. Пользователи в идентификаторе Microsoft Entra должны иметь роли, назначенные для доступа к ресурсам в Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/rbac-ai-studio
Методы локальной проверки подлинности для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Локальная проверка подлинности на плоскости данных не поддерживается Azure AI Studio. Клиенты должны использовать идентификатор Azure Entra для управления доступом к плоскости данных. Однако клиент может настроить локальную проверку подлинности для вычислительного экземпляра, который по умолчанию отключен.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Функции
управляемые удостоверения.
Описание. Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Управляемое удостоверение поддерживается Azure AI Studio. Однако клиенты должны убедиться, что управляемое удостоверение правильно настроено для целевых ресурсов, чтобы включить доступ.
Руководство по настройке. Используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: субъекты-службы поддерживаются Azure AI Studio и могут быть настроены для ресурсов, поддерживающих проект ИИ, включая учетную запись хранения и Azure Key Vault и т. д.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Условный доступ поддерживается Azure AI Studio, однако клиентам необходимо настроить политики, которые не включены по умолчанию.
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных службы и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Клиенты могут использовать Azure Key Vault для управления секретами, такими как строка подключения для подключений к ресурсам. Для изоляции данных секреты нельзя получить в проектах через API.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/architecture
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Во время создания вычислительного экземпляра клиенты могут настроить корневой доступ на странице безопасности. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Создание вычислительных экземпляров и управление ими в Azure AI Studio
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
Функции
Azure RBAC для плоскости данных
Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Управление доступом на основе ролей Azure поддерживается Azure AI Studio с предварительно определенными ролями. Клиентам необходимо назначить роли пользователям, прежде чем они смогут получить доступ к Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: /azure/ai-studio/concepts/rbac-ai-studio
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защищенное хранилище
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Обнаружение конфиденциальных данных и классификация в настоящее время не поддерживается Azure AI Studio. Хотя данные во время передачи и неактивных данных шифруются, клиенты должны учитывать настраиваемые функции, включая сетевую изоляцию, управление доступом и т. д. для защиты данных.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Решение защиты от утечки и потери данных (DLP) в настоящее время не поддерживается Azure AI Studio. Клиент должен рассмотреть возможность применения элементов управления, которые помогают защитить данные, включая сетевую изоляцию, управление доступом и т. д.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях: Azure AI Studio использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Azure AI основана на нескольких службах Azure. Данные хранятся безопасно с помощью ключей шифрования, предоставляемых корпорацией Майкрософт по умолчанию.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: Azure AI Studio использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования. Однако клиенты могут использовать собственные ключи шифрования (ключи, управляемые клиентом, CMK). Клиенты предпочитают использовать эту функцию для отправки ключей в Azure Key Vault, чтобы воспользоваться этой функцией.
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: безопасное управление ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. При создании ресурса Azure AI Hub требуется Azure Key Vault в качестве зависимого ресурса.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Архитектура Azure AI Studio
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2: использование только утвержденных служб
Функции
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: Azure AI Studio предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать и выбирать, чтобы включить политики, где это необходимо.
Руководство по настройке. Используйте Microsoft Defender для облака для настройки Политика Azure для аудита и применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник: /azure/ai-services/policy-reference
AM-5: использование только утвержденных приложений на виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Установка агента Microsoft Defender для серверов в настоящее время не поддерживается.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: Microsoft Defender можно настроить для различных ресурсов, подключенных к Azure AI Studio. Клиент может просмотреть доступность с помощью документации По Micrsoft Defender.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Когда вы получите оповещение из Microsoft Defender для Key Vault, изучите и ответите на это оповещение.
Справочник по продуктам и службам Microsoft Defender
LT-4. Включение ведения журнала для исследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях: Azure Monitor и Azure Log Analytics предоставляют мониторинг и ведение журнала базовых ресурсов, используемых Azure AI Studio.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Архитектура Azure AI Studio
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в тестовом коде microsoft cloud security: Posture и управление уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Функции
Настройка состояния службы автоматизации Azure
Описание: служба автоматизации Azure конфигурацию состояния можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
агент гостевой конфигурации Политика Azure
Описание: Политика Azure агент гостевой конфигурации можно установить или развернуть как расширение для вычислительных ресурсов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: Azure AI Studio предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать и выбирать, чтобы включить политики, где это необходимо.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник: /azure/ai-services/policy-reference
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Образ виртуальной машины на вычислительных ресурсах управляется корпорацией Майкрософт, а пользовательские образы виртуальных машин не поддерживаются.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы контейнеров
Описание. Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из Marketplace с определенными конфигурациями базовых конфигураций. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Клиенты могут использовать пользовательский образ контейнера в вычислительных ресурсах, подключенных к проекту ИИ.
Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемые базовые показатели безопасной конфигурации в шаблоне образа контейнера.
PV-5: выполнение оценок уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Следуйте рекомендациям из Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL.
Справочник. Управление уязвимостями для Azure AI Studio
PV-6: быстрое и автоматическое исправление уязвимостей
Функции
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях: обновление служба автоматизации Azure не поддерживается Azure AI Studio. Развертывания могут использовать образы виртуальных машин и образы Docker. Методы обновления и исправления и частота описаны в документации. Управление уязвимостями для Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
безопасность конечных точек.
Дополнительные сведения см. в статье microsoft cloud security benchmark: Endpoint Security.
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Функции
Решение EDR
Описание. Функция обнаружения конечных точек и ответа (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Функции
Решение для защиты от вредоносных программ
Описание: функция защиты от вредоносных программ, например антивирусная программа в Microsoft Defender, Microsoft Defender для конечной точки можно развернуть на конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Решение защиты от вредоносных программ не поддерживается в конечных точках Azure AI Studio. Однако клиенты могут установить решения для защиты от вредоносных программ на вычислительном экземпляре. Дополнительные сведения см. в статье /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Функции
Монитор работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности для обновлений платформы, подсистемы и автоматической подписи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Клиенты могут устанавливать решения для защиты от вредоносных программ в вычислительном экземпляре, подключенном к проекту ИИ.
Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы гарантировать, что платформа, подсистема и подписи обновляются быстро и последовательно и их состояние можно отслеживать.
Справочник: /azure/ai-studio/concepts/vulnerability-management
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может создавать резервную копию службы Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Резервное копирование Azure можно настроить в учетной записи хранения, подключенной к проекту ИИ.
Руководство по настройке. Включение Azure Backup и настройка источника резервного копирования (например, Azure Виртуальные машины, SQL Server, баз данных HANA или общих папок) на требуемой частоте и с требуемым периодом хранения. Для Azure Виртуальные машины можно использовать Политика Azure для включения автоматического резервного копирования.
Справочник. Настройка резервного копирования для BLOB-объектов Azure и управление ими с помощью Azure Backup
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях: Azure AI Studio не предоставляет собственную функцию резервного копирования. Клиенты должны использовать Azure Backup для ресурсов в проектах ИИ.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Следующие шаги
- Ознакомьтесь с обзором microsoft cloud security benchmark
- Дополнительные сведения о базовой конфигурации безопасности Azure.