Поделиться через

Шифрование неактивных данных с помощью искусственного интеллекта Azure

  • Статья

Безопасность содержимого ИИ Azure автоматически шифрует данные при сохранении в облаке. Шифрование защищает данные и помогает выполнять обязательства организации по обеспечению безопасности и соответствия требованиям. В этой статье описывается, как безопасность содержимого ИИ Azure обрабатывает шифрование неактивных данных.

Сведения о шифровании служб ИИ Azure

Безопасность содержимого ИИ Azure входит в состав служб ИИ Azure. Данные служб искусственного интеллекта Azure шифруются и расшифровываются с помощью шифрования FIPS 140-2 , соответствующего 256-разрядному шифрованию AES . Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Есть также возможность управлять подпиской с собственными ключами, называемыми ключами, управляемыми клиентом (CMK). Ключи, управляемые клиентом, обеспечивают большую гибкость при создании, смене, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Управляемые клиентом ключи с использованием Azure Key Vault

Ключи, управляемые клиентом (CMK), которые также называются ключами BYOK, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Для их хранения используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс служб ИИ Azure и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.

Чтобы включить управляемые клиентом ключи, необходимо также включить свойства обратимого удаления и не очищать их в хранилище ключей.

Только ключи RSA размера 2048 поддерживаются с шифрованием служб ИИ Azure. Дополнительные сведения о ключах Key Vault см. в статье Сведения о ключах, секретах и сертификатах Azure Key Vault.

Включение управляемых клиентом ключей для ресурса

Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure.
  2. В области слева выберите Шифрование.
  3. В разделе Тип шифрования выберите Ключи, управляемые клиентом, как показано на следующем снимке экрана.

Снимок экрана: вкладка шифрования в портал Azure.

Указание ключа

После включения ключей, управляемых клиентом, можно указать ключ для связывания с ресурсом служб искусственного интеллекта Azure.

Чтобы указать ключ с помощью URI, выполните следующие действия.

  1. На портале Azure перейдите в хранилище ключей.

  2. В разделе Параметры выберите Ключи.

  3. Выберите нужный ключ, а затем щелкните его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

  4. Скопируйте значение Идентификатор ключа, которое предоставляет универсальный код ресурса (URI).

    Снимок экрана, на котором показана страница портала Azure для версии ключа. Поле

  5. Вернитесь к ресурсу служб ИИ Azure и выберите " Шифрование".

  6. В разделе Ключ шифрования выберите Ввести URI ключа.

  7. Вставьте скопированный URI в поле URI ключа.

    Снимок экрана: страница шифрования для ресурса служб искусственного интеллекта Azure. Выбран параметр URI ключа ВВОД, а поле URI ключа содержит значение.

  8. В разделе Подписка выберите подписку, содержащую хранилище ключей.

  9. Сохранение изменений.

Обновление версии ключа

При создании новой версии ключа обновите ресурс служб искусственного интеллекта Azure, чтобы использовать новую версию. Выполните следующие действия:

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Введите URI новой версии ключа. Как вариант, для обновления версии можно еще раз выбрать хранилище ключей и ключ.
  3. Сохранение изменений.

Использование другого ключа

Чтобы сменить ключ, используемый для шифрования, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Введите URI нового ключа. Как вариант, можно выбрать хранилище ключей и затем выбрать новый ключ.
  3. Сохранение изменений.

Циклическая смена управляемых клиентом ключей

Вы можете периодически сменять управляемый клиентом ключ в Key Vault в соответствии с применяемыми политиками соответствия требованиям. При смене ключа необходимо обновить ресурс служб ИИ Azure, чтобы использовать новый URI ключа. Сведения о том, как обновить ресурс для использования новой версии ключа на портале Azure, см. в разделе Обновление версии ключа.

При циклической смене ключа не запускается повторное шифрование данных ресурса. Никаких действий со стороны пользователя не требуется.

Отмена ключа, управляемого клиентом

Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе служб искусственного интеллекта Azure, так как ключ шифрования недоступен службами ИИ Azure.

Отключение ключей, управляемых клиентом

При отключении управляемых клиентом ключей ресурс служб ИИ Azure затем шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Чтобы отключить управляемые клиентом ключи, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Выберите "Сохранить управляемые ключи>Майкрософт".

Если вы ранее включили управляемые клиентом ключи, которые также включили управляемое удостоверение, назначенное системой, функция идентификатора Microsoft Entra. После включения управляемого удостоверения, назначенного системой, этот ресурс будет зарегистрирован в идентификаторе Microsoft Entra. После регистрации управляемому удостоверению будет предоставлен доступ к хранилищу ключей, выбранному во время настройки управляемого клиентом ключа. Можно узнать дополнительные сведения об управляемых удостоверениях.

Внимание

Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать.

Внимание

Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение назначается автоматически. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в статье "Передача подписки между каталогами Microsoft Entra в часто задаваемых вопросых и известных проблемах с управляемыми удостоверениями для ресурсов Azure".

Следующие шаги