共用方式為

AI 安全性建議

  • 發行項

本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有 AI 安全性建議。

您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。

Azure 建議

Azure AI 服務資源應停用金鑰存取 (停用本機驗證)

描述:建議停用密鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用設定之後,Microsoft Entra ID 成為唯一的存取方法,允許維持最低許可權原則和細微的控制。 深入了解

此建議會取代舊的認知服務帳戶應該停用本機驗證方法的建議。 它先前屬於認知服務和認知搜尋類別,並已更新以符合 Azure AI 服務命名格式,並符合相關資源。

嚴重性:中

Azure AI 服務資源應限制網路存取

描述:藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務資源。

此建議會取代舊的認知服務帳戶應限制網路存取的建議。 它先前屬於認知服務和認知搜尋類別,並已更新以符合 Azure AI 服務命名格式,並符合相關資源。

嚴重性:中

描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線,以降低資料外洩風險。

深入瞭解私人連結,請參閱: 什麼是 Azure Private Link?

此建議會取代舊的認知服務應該使用私人鏈接的建議。 它先前位於 [數據建議] 類別中,並更新為符合 Azure AI Services 命名格式,並符合相關資源。

嚴重性:中

(必要時開啟) Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK)

描述:使用客戶管理的密鑰來加密待用數據可提供對密鑰生命週期的更多控制,包括輪替和管理。 這與具有相關合規性需求的組織特別相關。

根據預設,這不會進行評估,而且只有在合規性或限制性原則需求需要時才應套用。 如果未啟用,則會使用平台管理的金鑰來加密資料。 若要實作此作業,請在適用範圍的安全原則中更新 'Effect' 參數。 (相關原則: Azure AI 服務資源應使用客戶管理的金鑰加密待用數據 (CMK)

此建議會取代舊的建議 認知服務帳戶應該使用客戶密鑰來啟用數據加密。 它先前位於 [數據建議] 類別中,並更新為符合 Azure AI Services 命名格式,並符合相關資源。

嚴重性:低

應啟用 Azure AI 服務資源中的診斷記錄

描述:啟用 Azure AI 服務資源的記錄。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。

此建議會取代應啟用 搜尋服務 中的舊建議診斷記錄。 它先前位於認知服務和認知搜尋類別中,並已更新以符合 Azure AI 服務命名格式,並符合相關資源。

嚴重性:低

應啟用 Azure 機器學習 工作區中的資源記錄 (預覽)

描述與相關原則:資源記錄可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以用於調查目的。

嚴重性:中

Azure 機器學習 工作區應停用公用網路存取 (預覽)

描述與相關原則:停用公用網路存取可藉由確保公用因特網上不會公開 機器學習 工作區來改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 如需詳細資訊,請參閱設定 Azure Machine Learning 工作區的私人端點

嚴重性:中

Azure 機器學習 計算應位於虛擬網路中 (預覽)

描述與相關原則:Azure 虛擬網絡 為您的 Azure 機器學習 計算叢集和實例,以及子網、訪問控制原則和其他功能提供增強的安全性和隔離,以進一步限制存取。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。

嚴重性:中

Azure 機器學習 計算應停用本機驗證方法 (預覽)

描述與相關原則:停用本機驗證方法可藉由確保 機器學習 計算需要專用的 Azure Active Directory 身分識別來進行驗證,以改善安全性。 如需詳細資訊,請參閱 azure 機器學習 Azure 原則 法規合規性控制。

嚴重性:中

應重新建立 Azure 機器學習 計算實例以取得最新的軟體更新 (預覽)

描述與相關原則:確定 Azure 機器學習 計算實例在最新的可用操作系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請參閱 Azure Machine Learning 的弱點管理

嚴重性:中

應啟用 Azure Databricks 工作區中的資源記錄 (預覽)

描述與相關原則:資源記錄可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以用於調查目的。

嚴重性:中

Azure Databricks 工作區應停用公用網络存取 (預覽)

描述與相關原則:停用公用網路存取可藉由確保資源不會公開在公用因特網上來改善安全性。 您可改為建立私人端點,以控制資源的曝光狀況。 如需詳細資訊,請參閱 啟用 Azure Private Link

嚴重性:中

Azure Databricks 叢集應停用公用 IP (預覽)

描述與相關原則:在 Azure Databricks 工作區中停用叢集的公用 IP 可藉由確保叢集不會公開在公用因特網上來改善安全性。 如需詳細資訊,請參閱安全叢集連線能力

嚴重性:中

Azure Databricks 工作區應位於虛擬網路中 (預覽)

描述與相關原則:Azure 虛擬網絡 為您的 Azure Databricks 工作區以及子網、訪問控制原則和其他功能提供增強的安全性和隔離,以進一步限制存取。 如需詳細資訊,請參閱 在 Azure 虛擬網路中部署 Azure Databricks。

嚴重性:中

描述與相關原則:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure Databricks 工作區,藉此降低資料洩漏風險。 如需詳細資訊,請參閱在 Azure 入口網站 UI 中建立工作區和私人端點。

嚴重性:中

AWS AI 建議

AWS Bedrock 應該已啟用模型調用記錄

描述: 使用叫用記錄,您可以收集與帳戶中執行之所有呼叫相關聯的完整要求數據、回應數據和元數據。 這可讓您在發生安全性事件時,重新建立活動線索以供調查之用。

嚴重性:

描述 由 AWS PrivateLink 提供電源的 Amazon BedrockVP 端點,可讓您在您的帳戶中建立與 Amazon Bedrock 服務帳戶之間的私人連線。 AWS PrivateLink 可讓 CSV 實例與 Bedrock 服務資源通訊,而不需要公用 IP 位址,確保您的數據不會公開至公用因特網,進而協助您符合合規性需求。

嚴重性 中等

當允許存取再生 AI 應用程式時,AWS Bedrock 代理程式應使用護欄

描述 Amazon Bedrock 的護欄可藉由評估使用者輸入和模型產生的回應,來增強產生 AI 應用程式的安全性。 這些護欄包括內容篩選器,可協助偵測和篩選有害內容。 具體來說,「提示攻擊」類別包含使用者提示的防護措施,以防止越獄和提示插入。

嚴重性 中等

相關內容