Azure-säkerhetsbaslinje för Azure AI Studio
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure AI Studio. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts prestandamått för molnsäkerhet och den relaterade vägledning som gäller för Azure AI Studio.
Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender för molnet portal.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för Azure AI Studio har exkluderats. Om du vill se hur Azure AI Studio helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Azure AI Studio-säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden i Azure AI Studio, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | AI+ML |
| Kunden kan komma åt HOST/OS | Fullständig åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Konfigurationsvägledning: Du kan konfigurera en privat länkanslutning för åtkomst till Azure AI Studio från ditt virtuella nätverk. Du kan använda den inbyggda funktionen för isolering av hanterat nätverk för att tillhandahålla nätverksisolering för dina databehandlingsresurser i Azure AI Studio, till exempel beräkningsinstans.
Referens: Så här konfigurerar du en privat länk för Azure AI Hub
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Nätverkssäkerhetsgrupp (NSG) stöds av Azure AI Studio. Det är kundernas ansvar att se till att principerna konfigureras korrekt och tillämpa NSG på resurserna.
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Så här konfigurerar du en privat länk för Azure AI Hub
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Inaktivering av offentlig Internetåtkomst stöds av Azure AI Studio, kunden kan konfigurera Azure Private Link för säker åtkomst till Azure AI Studio och beräkningsresurser.
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av ip-ACL-filtreringsregeln på tjänstnivå eller en växlare för offentlig nätverksåtkomst.
Referens: Så här konfigurerar du en privat länk för Azure AI Hub
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Rollbaserad åtkomstkontroll i Azure används för att hantera åtkomst till Azure AI Studio med fördefinierade roller. Användare i ditt Microsoft Entra-ID bör ha roller tilldelade för åtkomst till resurserna i Azure AI Studio.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: /azure/ai-studio/concepts/rbac-ai-studio
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Lokal autentisering till dataplanet stöds inte av Azure AI Studio. Kunder bör använda Azure Entra-ID för att hantera åtkomsten till dataplanet. Kunden kan dock konfigurera lokal autentisering för beräkningsinstans som är inaktiverad som standard.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Hanterad identitet stöds av Azure AI Studio. Kunder bör dock se till att den hanterade identiteten är korrekt konfigurerad för målresurserna för att aktivera åtkomsten.
Konfigurationsvägledning: Använd Azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Tjänstens huvudnamn stöds av Azure AI Studio och kan konfigureras för resurser som stöder AI-projektet, inklusive lagringskonto och Azure Key Vault osv.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Villkorlig åtkomst stöds av Azure AI Studio, men kunderna måste konfigurera de principer som inte är aktiverade som standard.
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllda inloggningsbeteenden eller kräva organisationshanterade enheter för specifika program.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Kunder kan använda Azure Key Vault för att hantera hemligheter som anslutningssträng för dina resursanslutningar. För dataisolering kan hemligheter inte hämtas mellan projekt via API:er.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: /azure/ai-studio/concepts/architecture
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala administratörskonton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: När en beräkningsinstans skapas kan kunderna konfigurera rotåtkomst under säkerhetssidan. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Så här skapar och hanterar du beräkningsinstanser i Azure AI Studio
PA-7: Följ principen om minsta behörighet (Just Enough Administration)
Funktioner
Azure RBAC för dataplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Rollbaserad åtkomstkontroll i Azure stöds av Azure AI Studio med fördefinierade roller. Kunder måste tilldela rollerna till användare innan de kan komma åt Azure AI Studio.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Identifiering och klassificering av känsliga data stöds inte av Azure AI Studio just nu. Även om data under överföring och i vila krypteras måste kunderna överväga konfigurerbara funktioner som nätverksisolering, åtkomstkontroll osv. för att skydda data.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: DLP-lösningen (Data Leakage/Loss Prevention) stöds för närvarande inte av Azure AI Studio. Kunden bör överväga att tillämpa kontroller som hjälper till att skydda data, inklusive nätverksisolering, åtkomsthantering osv.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data i överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure AI Studio använder kryptering för att skydda vilande data och under överföring. Som standard används Microsoft-hanterade nycklar för kryptering.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure AI bygger på flera Azure-tjänster. Data lagras säkert med hjälp av krypteringsnycklar som Microsoft tillhandahåller som standard.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure AI Studio använder kryptering för att skydda vilande data och under överföring. Som standard används Microsoft-hanterade nycklar för kryptering. Kunder kan dock använda sina egna krypteringsnycklar (kundhanterade nycklar, CMK). Kunder väljer att använda den här funktionen måste ladda upp sina nycklar till Azure Key Vault för att dra nytta av funktionen.
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfattningen där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: När en Azure AI Hub-resurs skapas krävs ett Azure Key Vault som beroende resurs.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Azure AI Studio-arkitektur
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure AI Studio tillhandahåller inbyggda Azure-principer. Principerna är dock inte aktiverade som standard. Kunder bör granska och välja att aktivera principerna där det behövs.
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: /azure/ai-services/policy-reference
AM-5: Använd endast godkända program på en virtuell dator
Funktioner
Microsoft Defender för molnet – Anpassningsbara programkontroller
Beskrivning: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender för molnet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Agentinstallationen i Microsoft Defender för servrar stöds för närvarande inte.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Microsoft Defender kan konfigureras för olika resurser som är kopplade till Azure AI Studio. Kunden kan granska tillgängligheten via Dokumentation om Micrsoft Defender.
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till hanteringsplanet. När du får en avisering från Microsoft Defender för Key Vault undersöker och svarar du på aviseringen.
Referens: Microsoft Defender-produkter och -tjänster
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure Monitor och Azure Log Analytics tillhandahåller övervakning och loggning för de underliggande resurser som används av Azure AI Studio.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Azure AI Studio-arkitektur
Status- och sårbarhetshantering
Mer information finns i Microsofts prestandamått för molnsäkerhet: Hållning och hantering av säkerhetsrisker.
PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser
Funktioner
Azure Automation State Configuration
Beskrivning: Azure Automation State Configuration kan användas för att underhålla operativsystemets säkerhetskonfiguration. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Gästkonfigurationsagent för Azure Policy
Beskrivning: Gästkonfigurationsagenten för Azure Policy kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure AI Studio tillhandahåller inbyggda Azure-principer. Principerna är dock inte aktiverade som standard. Kunder bör granska och välja att aktivera principerna där det behövs.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: /azure/ai-services/policy-reference
Anpassade VM-avbildningar
Beskrivning: Tjänsten har stöd för användning av användardefinierade VM-avbildningar eller fördefinierade avbildningar från marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Vm-avbildningen på beräkningsresurserna hanteras av Microsoft och anpassade VM-avbildningar stöds inte.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Avbildningar av anpassade containrar
Beskrivning: Tjänsten stöder användning av containeravbildningar som tillhandahålls av användaren eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Kunder kan välja att använda anpassad containeravbildning på de beräkningsresurser som är kopplade till AI-projektet.
Konfigurationsvägledning: Använd en förkonfigurerad härdad avbildning från en betrodd leverantör som Microsoft eller skapa önskad säker konfigurationsbaslinje i mallen för containeravbildning
PV-5: Utföra sårbarhetsbedömningar
Funktioner
Sårbarhetsbedömning med Microsoft Defender
Beskrivning: Tjänsten kan genomsökas efter sårbarhetsgenomsökning med hjälp av Microsoft Defender för molnet eller andra inbäddade sårbarhetsbedömningsfunktioner i Microsoft Defender (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar.
Referens: Sårbarhetshantering för Azure AI Studio
PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt
Funktioner
Azure Automation – Uppdateringshantering
Beskrivning: Tjänsten kan använda Azure Automation Update Management för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Azure Automation Update stöds inte av Azure AI Studio. Distributioner kan utnyttja VM-avbildningar och Docker-avbildningar. Metoderna och frekvensen för uppdatering/korrigering finns dokumenterade i dokumentationen – Sårbarhetshantering för Azure AI Studio (/en-us/azure/ai-studio/concepts/vulnerability-management).
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Slutpunktssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1: Använd slutpunktsidentifiering och svar (EDR)
Funktioner
EDR-lösning
Beskrivning: Funktionen Slutpunktsidentifiering och svar (EDR), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
ES-2: Använd modern programvara mot skadlig kod
Funktioner
Lösning mot skadlig kod
Beskrivning: Funktionen mot skadlig kod, till exempel Microsoft Defender Antivirus, Microsoft Defender för Endpoint kan distribueras på slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Lösningen mot skadlig kod stöds inte på slutpunkterna i Azure AI Studio. Kunder kan dock välja att installera lösningar mot skadlig kod på beräkningsinstansen. Mer information finns i /en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
Funktioner
Hälsoövervakning av lösning mot skadlig kod
Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för uppdateringar av plattform, motor och automatiska signaturer. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Kunder kan välja att installera lösningar mot skadlig kod på beräkningsinstansen som är kopplad till AI-projektet.
Konfigurationsvägledning: Konfigurera din lösning mot skadlig kod för att säkerställa att plattformen, motorn och signaturerna uppdateras snabbt och konsekvent och att deras status kan övervakas.
Referens: /azure/ai-studio/concepts/vulnerability-management
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure-säkerhetskopiering kan konfigureras på lagringskontot som är kopplat till AI-projektet.
Konfigurationsvägledning: Aktivera Azure Backup och konfigurera säkerhetskopieringskällan (till exempel Virtuella Azure-datorer, SQL Server, HANA-databaser eller filresurser) med önskad frekvens och med en önskad kvarhållningsperiod. För virtuella Azure-datorer kan du använda Azure Policy för att aktivera automatiska säkerhetskopieringar.
Referens: Konfigurera och hantera säkerhetskopiering för Azure Blobs med Hjälp av Azure Backup
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Azure AI Studio tillhandahåller ingen inbyggd säkerhetskopieringsfunktion. Kunder bör använda Azure Backup för resurser under AI-projekten.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om säkerhetsbaslinjer för Azure