Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Content Understanding является частью Microsoft Foundry и предоставляет одинаковые функции безопасности и конфиденциальности, доступные всем службам Foundry. Эти возможности помогают защитить данные и обеспечить соответствие стандартам безопасности Майкрософт.
Виртуальные сети
В рамках средств Foundry Content Understanding поддерживает изоляцию на уровне сети с помощью виртуальных сетей Azure и частных конечных точек (Приватный канал Azure) для обеспечения безопасных корпоративных развертываний.
Content Understanding использует многоуровневую модель безопасности, которая позволяет ограничить доступ к определенным сетям. Если включены правила сети, доступ к ресурсам Foundry разрешен только из определенных IP-адресов, диапазонов IP-адресов или списка виртуальных сетей или подсетей. Любое приложение, обращающееся к ресурсу Foundry, также должно быть авторизовано с помощью идентификатора Microsoft Entra (включая управляемые удостоверения) или с помощью допустимого ключа API.
Кроме того, вы можете использовать частные конечные точки для ресурса Foundry Content Understanding, чтобы разрешить клиентам в виртуальной сети безопасно получать доступ к данным через Приватный канал Azure. Частная конечная точка использует IP-адрес из пространства адресов виртуальной сети для ресурса Content Understanding Foundry. Сетевой трафик между клиентами в виртуальной сети и ресурсом проходит через виртуальную сеть и приватный канал в магистральной сети Microsoft Azure, что устраняет уязвимость из общедоступного Интернета.
Чтобы использовать Content Understanding Studio с виртуальной машины в пределах виртуальной сети (VNet), необходимо разрешить исходящие подключения к необходимому набору тегов служб для этой виртуальной сети.
Дополнительные сведения о настройке и использовании этих сетевых элементов управления см. в руководстве по настройке виртуальных сетей Foundry Tools.
Шифрование Foundry Tools
Система понимания содержимого в инструментах Foundry автоматически шифрует ваши данные при сохранении в облако. Это шифрование помогает выполнить обязательства организации по обеспечению безопасности и соответствия требованиям.
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Данные шифруются и расшифровываются с помощью шифрования AES, совместимого с FIPS 140-256-разрядным. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные защищены по умолчанию. Вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.
Ключи, управляемые клиентом
Вы также можете управлять подпиской с помощью собственных ключей, которые называются ключами, управляемыми клиентом. При использовании ключей, управляемых клиентом, вы получаете большую гибкость в создании, смене, отключении и отзыве элементов управления доступом. Вы также можете проверить ключи шифрования, используемые для защиты данных.
Если для вашей подписки настроены ключи, управляемые клиентом, обеспечивается двойное шифрование. Благодаря этому дополнительному уровню защиты и вы можете управлять ключом шифрования в вашем Azure Key Vault.
Дополнительные сведения о настройке ключей, управляемых пользователем, для вашего ресурса.
Дополнительные сведения о настройке сетевой безопасности для ресурса Foundry см. в разделе "Базовые показатели безопасности Azure для Foundry".
Управляемые идентичности
Управляемые удостоверения для ресурсов Azure — это основные параметры службы, которые создают идентификатор Microsoft Entra и устанавливают определенные разрешения для управляемых ресурсов Azure. Управляемые удостоверения предоставляют доступ к любому ресурсу, который поддерживает проверку подлинности Microsoft Entra, в том числе к собственным приложениям. В отличие от ключей безопасности и маркеров проверки подлинности, управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков.
Предоставить доступ к ресурсу Azure и назначить роль Azure управляемому удостоверению можно с помощью механизма управления доступом на основе ролей Azure (Azure RBAC). Дополнительная плата за использование управляемых удостоверений в Azure не взимается.
Дополнительные сведения о настройке управляемых удостоверений для ресурса Foundry см. в разделе "Базовые показатели безопасности Azure" для Foundry.