Azure 上 AI 工作負載的安全性建議
本文提供在 Azure 上執行 AI 工作負載的組織的安全性建議。 其著重於 Azure AI 平臺即服務 (PaaS) 解決方案,包括 Azure AI Studio、Azure OpenAI、Azure 機器學習 和 Azure AI 服務。 其涵蓋產生式和非產生式 AI 工作負載。
隨著 AI 更整合到商務營運中,保護這些資源免於潛在的威脅,對於維護數據完整性和合規性至關重要。 套用標準化的安全性基準,並遵循架構完善的架構,可協助組織保護其 AI 基礎結構免於弱點。
保護 AI 資源
保護 AI 資源表示套用安全性基準和最佳做法,以保護 Azure 上 AI 工作負載所使用的基礎結構。 此保護可將外部威脅的風險降到最低,並確保整個組織的安全性狀態保持一致。
保護 Azure AI 平臺。 針對每個 AI 資源標準化 Azure 安全性基準的應用。 遵循 Azure 良好架構架構中的 Azure 服務指南 中的安全性建議。
| Azure AI 平台安全性基準 | Azure 架構完善的架構服務指南 |
|---|---|
| Azure Machine Learning | Azure Machine Learning |
| Azure AI Studio | |
| Azure OpenAI | Azure OpenAI |
保護 AI 模型
保護 AI 模型是指實作威脅防護、監視提示插入風險、驗證模型完整性,以及集中治理。 這些做法可確保 AI 模型免於惡意操作、維護其可靠性,並提供精確的結果。
為所有 AI 模型實作威脅防護。 使用 適用於雲端的 Microsoft Defender 來保護 AI 模型免受提示插入式攻擊和模型操作等威脅。 此工具可持續監視 AI 工作負載,協助偵測及防止新興威脅。 在所有工作負載之間實作此保護可確保整個組織的安全性狀態一致。
監視輸出並套用提示防護。 定期檢查 AI 模型傳回的數據,以偵測並降低與惡意或無法預測的使用者提示相關聯的風險。 實 作提示盾牌 來掃描文字,以尋找使用者輸入攻擊產生 Al 模型的風險。
確定模型驗證。 建立全公司驗證機制,以確保使用中的所有 AI 模型都是合法且安全的。 如果您使用開放原始碼模型,請使用模型簽章或其他驗證程式來確認 AI 模型的真實性,以防止未經授權的或竄改模型進行部署。
請考慮使用 AI 閘道。Azure API 管理 (APIM) 可協助確保 AI 工作負載之間的一致安全性。 使用其內建原則來進行流量控制和安全性強制執行。 整合APIM與 Microsoft Entra ID,以集中驗證和授權,並確保只有授權的使用者或應用程式與您的 AI 模型互動。 請確定您在反向 Proxy 的受控識別上設定最低許可權存取權。 如需詳細資訊,請參閱 使用APIM進行 AI 驗證
保護 AI 存取
保護 AI 存取包括建立管理平面和對 AI 資源外部存取的驗證和授權控制。 適當的存取管理只會將資源使用量限製為只有已驗證許可權的使用者。 它可減少未經授權與 AI 模型互動的機會。 強式訪問控制,例如角色型存取和條件式存取原則,可協助保護敏感數據並維持安全性標準的合規性。
組織資源和訪問控制。 使用不同的工作區來組織和管理 AI 成品,例如數據集、模型和實驗。 工作區會集中管理資源,並簡化訪問控制。 例如,使用 Azure AI Studio 內的專案 有效率地管理資源和許可權,協助共同作業,同時維護安全性界限。
使用 Microsoft Entra ID 進行驗證。 盡可能排除靜態 API 金鑰,以利Microsoft Entra ID 進行驗證。 此步驟透過集中式身分識別管理來增強安全性,並減少秘密管理額外負荷。 同時限制 API 金鑰的散發。 相反地,偏好在 Microsoft Entra ID 中的身分識別,而不是 API 密鑰來進行驗證。 稽核具有 API 金鑰存取權的個人清單,以確保其為最新狀態。 如需驗證指引,請參閱 Azure AI Studio、Azure OpenAI、Azure AI 服務、Azure 機器學習。
設定驗證。 啟用 多重要素驗證 (MFA),並偏好使用敏感性帳戶的 Privileged Identity Management (PIM) 進行次要系統管理帳戶或 Just-In-Time 存取。 使用 Azure Bastion 之類的服務限制控制平面存取,作為專用網的安全進入點。
使用條件式存取原則。 實作風險型 條件式存取原則 ,以回應不尋常的登入活動或可疑行為。 使用使用者位置、裝置狀態和登入行為等訊號來觸發額外的驗證步驟。 需要 MFA 才能存取重要的 AI 資源,以增強安全性。 根據地理位置或受信任的IP範圍限制對 AI 基礎結構的存取。 請確定只有符合安全性需求的裝置(符合安全性需求的裝置)才能存取 AI 資源。
設定最低許可權存取。 藉由實作角色型訪問控制 (RBAC) 來設定最低許可權存取,以提供最少的數據和服務存取權。 根據使用者和群組的責任,將角色指派給使用者和群組。 使用 Azure RBAC 來微調特定資源的訪問控制,例如虛擬機和記憶體帳戶。 請確定使用者只有執行其工作所需的最低存取層級。 定期檢閱並調整許可權,以防止許可權爬行。 例如,
角色 範例許可權 資料科學家 數據記憶體的讀取/寫入存取權、執行定型作業的許可權,以及模型定型環境的存取權。 AI 開發人員 存取開發環境、部署許可權,以及修改 AI 應用程式的能力。 IT 系統管理員 管理基礎結構、網路設定和安全性策略的完整存取權。 保護 Azure 服務對服務互動。 使用 受控識別 可讓 Azure 服務彼此進行驗證,而不需管理認證。
保護對 AI 模型端點的外部存取。 要求用戶端在存取 AI 模型端點時,使用 Microsoft Entra ID 進行驗證。 請考慮在 AI 模型端點前面使用 Azure API 管理 作為 AI 閘道,以強制執行存取原則、控制使用方式,並提供監視功能。
保護 AI 執行
保護 AI 執行涉及保護 AI 代理程式的程式,例如 虛擬助理 或 自發代理程式,執行程式代碼以回應使用者要求。 隔離執行環境、進行程式代碼檢閱,以及設定資源限制。 這些措施有助於確保這些執行不會危害系統穩定性或安全性。 這些做法會防止惡意活動,並保護 AI 代理程式運作的系統完整性,讓他們能夠在安全架構內可靠地運作。
實作隔離機制。 利用動態會話管理,例如 Azure Container Apps 中的動態工作階段 ,以確保每個程式代碼執行都發生在使用後終結的新隔離環境中。
安全執行程序代碼。 在部署腳本以供 AI 代理程式執行之前,先進行徹底的程式代碼檢閱和測試。 此程式可協助識別並降低潛在弱點。 使用版本控制系統來管理程式碼變更,並確保只執行已核准的腳本版本。
實作資源限制。 設定程式代碼執行環境的資源限制(CPU、記憶體、磁碟使用量),以防止任何單一執行耗用過多的資源,並可能會中斷其他服務。 定義執行逾時,以確保長時間執行或可能停滯的進程會自動終止。
如需詳細資訊,請參閱 如何使用 Azure OpenAI 服務 建立小幫手、 如何使用 Azure OpenAI Assistants 函式呼叫 和 代理程序實作。