Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Поиск по искусственному интеллекту Azure включает средства защиты, которые корпорация Майкрософт управляет автоматически, не требуя никаких действий от клиентов. Понимание того, что обрабатывает Корпорация Майкрософт, помогает сосредоточить усилия по обеспечению безопасности на элементах управления и конфигурациях, за которые отвечаете.
В этой статье рассматриваются встроенные средства защиты Майкрософт, включая сетевую архитектуру, шифрование (при передаче, использовании и хранении), размещение данных, гарантии конфиденциальности и сертификаты соответствия требованиям. Рекомендации по обеспечению безопасности, которые следует настроить, см. в статье "Защита службы поиска ИИ Azure".
Что корпорация Майкрософт управляет автоматически
Поиск ИИ Azure обеспечивает комплексные встроенные средства защиты в сети, данных и службах. Эти функции активны по умолчанию и не требуют настройки:
Безопасность транспортного уровня (TLS):все подключения используют TLS 1.2 или 1.3 для шифрования во время передачи.
Шифрование, управляемое службой: данные шифруются в состоянии покоя с использованием 256-битного алгоритма Advanced Encryption Standard (AES).
Внутренняя безопасность сети: вызовы между службами выполняются через безопасную магистральную сеть Майкрософт.
Сертификаты соответствия требованиям. Поиск Azure AI поддерживает сертификации для глобальных, региональных и отраслевых стандартов.
Операционная безопасность: корпорация Майкрософт управляет безопасностью инфраструктуры, исправлениями и обновлениями служб.
Архитектура безопасности сети
Служба "Поиск ИИ Azure" использует безопасную сетевую инфраструктуру Майкрософт для защиты трафика к вашей поисковой службе, от нее и внутри нее.
Защита внутреннего трафика
Корпорация Майкрософт защищает внутренние запросы и управляет ими. Вы не можете настроить или контролировать эти подключения. Внутренний трафик изолирован от общедоступных сетей и защищен инфраструктурой безопасности Майкрософт.
Внутренний трафик включает:
Проверка подлинности и авторизация между службами: вызовы через Microsoft Entra ID, ведение журнала ресурсов, отправляемое в Azure Monitor, и подключения к частным конечным точкам, использующие Приватный канал Azure.
Встроенная обработка навыков: запросы в одном регионе, направленные на внутренний размещенный ресурс Microsoft Foundry, используемый исключительно для встроенной обработки навыков с помощью поиска ИИ Azure.
Семантическое ранжирование: запросы, сделанные в модели, поддерживающие семантический ранжирование.
Безопасность транспортного уровня (TLS)
Платформа ИИ Azure требует TLS 1.2 или 1.3 для всех подключений. TLS 1.3 — это значение по умолчанию для более новых систем. Более ранние версии TLS (1.0 и 1.1) не поддерживаются.
Для всех конечных точек требуется HTTPS через порт 443. Клиентские системы должны поддерживать TLS 1.2 или более поздней версии. Рекомендации по реализации см. в статье:
Службы хранилища Azure и ИИ-поиска Azure в одном регионе
Если служба хранилища Azure и поиск по искусственному интеллекту Azure находятся в одном регионе, сетевой трафик направляется через частный IP-адрес и происходит через магистральную сеть Майкрософт. Так как используются частные IP-адреса, вы не можете настроить брандмауэры IP-адресов или частную конечную точку для сетевой безопасности в учетной записи хранения для этих подключений.
Эта оптимизация с тем же регионом обеспечивает высокую производительность и низкую задержку при сохранении безопасности с помощью сетевой изоляции. Трафик никогда не покидает сетевую инфраструктуру Майкрософт.
Шифрование данных
Поиск по искусственному интеллекту Azure автоматически шифрует все данные клиента на нескольких уровнях.
Данные в транзитном режиме
Все данные, передаваемые в поисковую систему ИИ Azure, шифруются с помощью протокола TLS 1.2 или более поздней версии. Эти данные включают:
- Запросы клиентского приложения к конечной точке службы поиска
- Ответы от службы поиска на клиентские приложения
- Запросы API для управления индексами, операций запросов и индексирования
Данные при передаче защищены сквозной защитой между клиентом и службой поиска. Для внутреннего обмена данными между службами шифрование выполняется по магистральной сети Майкрософт.
Данные, используемые
По умолчанию служба "ИИ Azure Поиск" развертывает ваш поисковый сервис в стандартной инфраструктуре Azure. Эта инфраструктура шифрует данные в состоянии покоя и в процессе передачи, но не защищает данные, когда они активно обрабатываются в памяти.
В сценариях, требующих аппаратной защиты данных, поиск Azure AI предлагает конфиденциальные вычисления. Этот тип вычислений имеет ограниченную региональную доступность, отключает или ограничивает определенные функции и увеличивает затраты на выполнение службы поиска. Дополнительные сведения см. в разделе (Необязательно) Включение конфиденциальных вычислений.
Неактивные данные
Поиск ИИ Azure автоматически шифрует все неактивные данные с помощью 256-разрядного шифрования AES с помощью ключей, управляемых Корпорацией Майкрософт. Это относится к индексам, картам синонимов и определениям объектов (индексаторы, источники данных и наборы навыков) как на дисках данных, так и на временных дисках. Дополнительные сведения см. в разделе Шифрование Azure для данных на диске.
Шифрование, управляемое службой:
- Встроенная и автоматическая (не требуется конфигурация)
- Доступна на всех ценовых категориях во всех регионах
- Использует шифрование, совместимое с FIPS 140-2
Вы можете настроить управляемые клиентом ключи (CMK) для управления собственными ключами шифрования. CMK добавляет второй уровень шифрования на основе шифрования, управляемого службой. Дополнительные сведения см. в разделе (Необязательно) Добавление шифрования ключей, управляемых клиентом.
Место расположения данных
При создании службы поиска вы выбираете регион в географическом регионе Azure. Поиск ИИ Azure хранит и обрабатывает данные в пределах этого географического региона, но корпорация Майкрософт может реплицировать данные в другие регионы в пределах того же географического региона для обеспечения высокой доступности. Исключением является Южная Бразилия, где данные остаются в пределах региона.
Данные остаются в географическом регионе, если вы не настроите функции, которые записываются в службу хранилища Azure (кэш обогащения, сеансы отладки, хранилища знаний) в другом регионе.
Имена объектов (индексы, поля, индексаторы) также могут обрабатываться за пределами выбранного региона. Эти имена отображаются в журналах телеметрии, которые корпорация Майкрософт использует для поддержки служб. Избегайте размещения конфиденциальных данных в именах объектов.
Дополнительные сведения можно найти здесь
Конфиденциальность и обработка данных
Корпорация Майкрософт стремится защитить ваши данные и уважать конфиденциальность при использовании службы "Поиск ИИ Azure".
Нет данных клиента, используемых для обучения модели
Корпорация Майкрософт не использует данные клиентов из службы "Поиск ИИ Azure" для обучения или улучшения моделей, включая встроенные навыки, семантический ранжирование или другие функции ИИ. Документы, запросы и другие данные используются исключительно для доставки и эксплуатации настроенной службы поиска.
Ведение журнала данных
Поиск по искусственному интеллекту Azure не регистрирует удостоверения пользователей, поэтому вы не можете ссылаться на журналы для получения сведений о конкретном пользователе. Однако служба выполняет операции создания журналов, чтения, обновления и удаления (CRUD), которые можно сопоставить с другими журналами, чтобы определить, кто выполнял определенные действия.
Запись журналов ресурсов:
- Административные операции (создание службы, изменения конфигурации)
- Операции запроса (с текстом запроса, но не идентификация пользователя)
- Операции индексирования (дополнения документов, обновления, удаления)
Журналы ресурсов не записывают:
- Отдельные удостоверения пользователей
- Личная информация о пользователях
- Подробное содержимое документа (только метаданные о индексированных документах)
Сведения о настройке журналов см. в статье Monitor Поиск с использованием ИИ Azure and Monitor query requests.
Соответствие и сертификация
Поиск по искусственному интеллекту Azure проходит регулярные сторонние аудиты и поддерживает сертификацию по глобальным, региональным, государственным и отраслевым стандартам, включая ISO 27001, ISO 27018, ISO 27701, SOC 2, FedRAMP, HIPAA и GDPR.
Полные списки сертификации, отчеты аудита и документация по соответствию требованиям см. в:
- Предложения по соответствию Требованиям Azure
- Технический документ о предложениях соответствия Требованиям Microsoft Azure
- Центр доверия Майкрософт
Модель общей ответственности
Поиск azure AI работает в рамках модели общей ответственности. Корпорация Майкрософт защищает инфраструктуру и встроенные функции платформы, описанные в этой статье. Вы несете ответственность за настройку элементов управления безопасностью для конкретного развертывания.
Корпорация Майкрософт управляет физической безопасностью, сетевой инфраструктурой, безопасностью платформы, шифрованием по умолчанию (при передаче, использовании и хранении), сертификациями соответствия и обновлениями инфраструктуры.
Вы настраиваете элементы управления доступом к сети, проверку подлинности и авторизацию, исходящие подключения, разрешения на уровне документа, мониторинг и оповещения, а также дополнительные вычисления CMK и конфиденциальные вычисления.