Поделиться через

Шифрование службы Azure AI Bot для неактивных данных

ПРИМЕНИМО К: пакет SDK версии 4

Служба Azure AI Bot автоматически шифрует данные при сохранении в облаке для защиты данных и выполнения обязательств по обеспечению безопасности организации и соответствия требованиям.

Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Вы можете управлять ресурсом бота с помощью собственных ключей, называемых ключами, управляемыми клиентом. Управляемые клиентом ключи обеспечивают большую гибкость для создания, поворота, отключения и отзыва элементов управления доступом к хранилищам службы Azure AI Bot. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

При шифровании данных служба Azure AI Bot шифрует два уровня шифрования. В случае, если ключи, управляемые клиентом, не включены, оба ключа используются как управляемые корпорацией Майкрософт ключи. Если ключи, управляемые клиентом, включены, данные шифруются как ключом, управляемым клиентом, так и ключом, управляемым корпорацией Майкрософт.

Управляемые клиентом ключи с использованием Azure Key Vault

Чтобы использовать функцию ключей, управляемых клиентом, необходимо хранить ключи и управлять ими в Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс Azure Bot и хранилище ключей должны находиться в одном клиенте Идентификатора Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.

При использовании ключа, управляемого клиентом, служба Azure AI Bot шифрует данные в своем хранилище. Если доступ к такому ключу отозван или ключ удален, бот не сможет использовать службу Azure AI Bot для отправки или получения сообщений, и вы не сможете получить доступ к конфигурации бота на портале Azure или изменить ее.

При создании ресурса Azure Bot с помощью портала Azure azure создает идентификатор приложения и пароль, но не сохраняет их в Azure Key Vault. С помощью Key Vault можно использовать службу Azure AI Bot. Дополнительные сведения см. в разделе "Настройка веб-приложения для подключения к Key Vault". Пример хранения и извлечения секретов с помощью Key Vault см. в кратком руководстве: клиентская библиотека секретов Azure Key Vault для .NET (пакет SDK версии 4).

Это важно

Команда службы Azure AI Bot не может восстановить бот ключа шифрования, управляемый клиентом, без доступа к ключу.

Какие данные шифруются?

Служба Azure AI Bot хранит данные клиентов о боте, каналы, которые он использует, параметры конфигурации, установленные разработчиком, и, где это необходимо, запись текущих активных бесед. Она также временно хранит сообщения, отправленные через каналы Direct Line или Web Chat, и все вложения, отправленные менее чем за 24 часа.

Все данные клиента шифруются двумя уровнями шифрования в службе Azure AI Bot; либо с ключами шифрования, управляемыми Корпорацией Майкрософт, либо ключами шифрования, управляемыми клиентом. Служба Azure AI Bot шифрует временные данные с помощью ключей шифрования, управляемых Корпорацией Майкрософт, и в зависимости от конфигурации ресурса Azure Bot шифрует долгосрочные данные с помощью ключей шифрования, управляемых корпорацией Майкрософт или клиентом.

Замечание

Так как служба Azure AI Bot существует для предоставления клиентам возможности доставки сообщений и от пользователей в других службах за пределами службы Azure AI Bot шифрование не распространяется на эти службы. Это означает, что при управлении службой Azure AI Bot данные будут храниться в зашифрованном виде в соответствии с рекомендациями, приведенными в этой статье; Однако при выходе из службы для доставки в другую службу данные расшифровываются, а затем отправляются с помощью шифрования TLS 1.2 в целевую службу.

Как настроить экземпляр Azure Key Vault

Использование ключей, управляемых пользователем, в Службе Azure AI Bot требует включения двух свойств в экземпляре Azure Key Vault, который вы планируете использовать для размещения ключей шифрования: мягкое удаление и защита от очистки. Эти функции гарантируют, что если по какой-то причине ключ случайно удален, его можно восстановить. Дополнительные сведения о soft delete и purge protection см. в обзоре soft delete в Azure Key Vault.

Скриншот с включенными функциями обратимого удаления и защиты от очистки.

Если вы используете имеющийся экземпляр Azure Key Vault, проверьте, включены ли эти свойства, на портале Azure в разделе Свойства. Если какие-либо из этих свойств не включены, ознакомьтесь с разделом Key Vault в документе Как включить мягкое удаление и защиту от очистки.

Разрешить Azure AI Bot Service доступ к хранилищу ключей

Чтобы служба Azure AI Bot имела доступ к хранилищу ключей, созданному для этой цели, необходимо задать политику доступа, которая предоставляет служебному принципалу Azure AI Bot текущий набор разрешений. Дополнительные сведения о Azure Key Vault, включая создание хранилища ключей, см. в статье "Сведения о Azure Key Vault".

  1. Зарегистрируйте поставщика ресурсов службы Azure AI Bot в подписке, содержащей хранилище ключей.

    1. Перейдите на портал Azure.
    2. Откройте колонку "Подписки" и выберите подписку, содержащую хранилище ключей.
    3. Откройте колонку "Поставщики ресурсов" и зарегистрируйте поставщика ресурсов Microsoft.BotService .

    Microsoft.BotService, зарегистрированный в качестве поставщика ресурсов

  2. Azure Key Vault поддерживает две модели разрешений: управление доступом на основе ролей Azure (RBAC) или политика доступа к хранилищу. Вы можете использовать любую модель разрешений. Убедитесь, что брандмауэры и виртуальные сети в панели Сеть хранилища ключей настроены на разрешение публичного доступа с всех сетей на этом этапе. Кроме того, убедитесь, что оператор получил разрешение на управление ключами.

    Снимок экрана: две модели разрешений, доступные для хранилища ключей.

    1. Чтобы настроить модель разрешений Azure RBAC в хранилище ключей:

      1. Откройте колонку "Хранилища ключей" и выберите хранилище ключей.
      2. Перейдите в панель управления доступом (IAM) и назначьте роль пользователя службы шифрования Key Vault в службе Бота CMEK Prod. Это изменение может внести только пользователь с ролью владельца подписки.

      Снимок экрана конфигурации хранилища ключей, в котором добавлена роль пользователя шифрования криптослужбы.

    2. Чтобы настроить модель разрешений политики доступа Key Vault в хранилище ключей, выполните следующие действия.

      1. Откройте колонку "Хранилища ключей" и выберите хранилище ключей.
      2. Добавьте приложение BOT Service CMEK Prod в качестве политики доступа и назначьте ему следующие разрешения:
      • Получение (из операций управления ключами)
      • Распаковка ключа (из операций шифрования)
      • Ключ обёртки (из криптографических операций)
      1. Нажмите кнопку "Сохранить", чтобы сохранить внесенные изменения.

      Bot Service CMEK Prod добавлен в качестве политики доступа

  3. Разрешить Key Vault обойти брандмауэр.

    1. Откройте колонку "Хранилища ключей" и выберите хранилище ключей.
    2. Откройте колонку "Сеть" и перейдите на вкладку "Брандмауэры и виртуальные сети ".
    3. Если для параметра Разрешить доступ задано значение Отключить доступ извне, убедитесь, что выбрано разрешение доверенным службам Microsoft обходить этот брандмауэр.
    4. Нажмите кнопку "Сохранить", чтобы сохранить внесенные изменения.

    Исключение брандмауэра, добавленное для Key Vault

Активация управляемых клиентом ключей

Чтобы зашифровать бот с помощью ключа шифрования, управляемого клиентом, выполните следующие действия.

  1. Откройте панель ресурсов Azure Bot для вашего бота.

  2. Откройте колонку шифрования бота и выберите Customer-Managed ключи для типа шифрования.

  3. Либо введите полный URI ключа, включая версию, либо выберите хранилище ключей и ключ , чтобы найти ключ.

  4. Нажмите кнопку Сохранить в верхней части панели.

    Ресурс бота, использующий шифрование, управляемое клиентом

После завершения этих действий служба Azure AI Bot запустит процесс шифрования, который может занять до 24 часов. Бот остается функциональным в течение этого периода времени.

Ротация ключей, управляемых клиентом

Чтобы сменить ключ шифрования, управляемый клиентом, необходимо обновить ресурс Службы Azure AI Bot, чтобы использовать новый URI для нового ключа (или новую версию существующего ключа).

Так как повторное шифрование с новым ключом происходит асинхронно, убедитесь, что старый ключ остается доступным, чтобы данные могли продолжать расшифровываться; в противном случае бот может перестать работать. Старый ключ должен храниться по крайней мере на одну неделю.

Отзыв доступа к управляемым клиентом ключам

Чтобы отменить доступ, удалите политику доступа для учетной записи службы Bot Service CMEK Prod из хранилища ключей.

Замечание

Отмена доступа нарушает большую часть функциональных возможностей, связанных с ботом. Чтобы отключить функцию ключей, управляемую клиентом, отключите функцию перед отменой доступа, чтобы убедиться, что бот может продолжать работать.

Дальнейшие шаги

Дополнительные сведения о Azure Key Vault