базовые показатели безопасности Azure для Microsoft Foundry

Этот базовый уровень безопасности применяет рекомендации Microsoft cloud security benchmark версии 1.0 для Microsoft Foundry. Microsoft Cloud Security Benchmark предоставляет рекомендации по защите облачных решений на Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Foundry.

Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender for Cloud. Определения Azure Policy будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для Cloud.

Если функция имеет релевантные определения Azure Policy, они перечислены в этом базовом стандарте, чтобы помочь вам оценить соответствие контролям и рекомендациям Microsoft Cloud Security Benchmark. Некоторые рекомендации могут потребовать платного Microsoft Defender плана для включения определенных сценариев безопасности.

Профиль безопасности

Профиль безопасности резюмирует мощные воздействия Foundry, которые могут привести к усиленным мерам безопасности.

Сетевая безопасность

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.

NS-1. Установка границ сегментации сети

Функции

Интеграция виртуальной сети

Description: служба поддерживает развертывание в частной виртуальной сети (VNet) клиента. Подробнее.

Руководство по настройке: Вы можете настроить подключение с помощью частной ссылки для доступа к Foundry из виртуальной сети. Вы можете использовать встроенную функцию Управляемой Сетевой Изоляции для обеспечения сетевой изоляции ваших вычислительных ресурсов на платформе Foundry, таких как экземпляры вычислений.

Reference: Как настроить частное соединение для Foundry

Поддержка группы безопасности сети

Описание: Сетевой трафик службы учитывает правила назначения сетевых групп безопасности в подсетях. Подробнее.

Заметки о функциях: Группа безопасности сети (NSG) поддерживается Foundry. Ответственность пользователей заключается в том, чтобы обеспечить правильную настройку политик и применить группу безопасности сети к ресурсам.

Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.

NS-2. Защищенные облачные сервисы с сетевыми элементами управления

Функции

Azure Private Link

Description: Способность службы к фильтрации IP для фильтрации сетевого трафика (не следует путать с NSG или Azure Firewall). Подробнее.

Руководство по настройке: Развернуть частные конечные точки для всех ресурсов Azure, поддерживающих функцию Private Link, для создания частной точки доступа для ресурсов.

Reference: Как настроить частное соединение для Foundry

Отключить публичный доступ к сети

Description: служба поддерживает отключение общедоступного сетевого доступа либо с помощью правила фильтрации ACL IP-адресов уровня службы (а не NSG или Azure Firewall), либо с помощью переключателя "Отключить общедоступный сетевой доступ". Подробнее.

Feature заметки: Отключение публичного доступа в интернет поддерживается Foundry; клиент может настроить Azure Private Link для защищенного доступа к Foundry и вычислительным ресурсам.

Руководство по настройке : Отключите доступ общедоступной сети, используя правило фильтрации IP-адресов на уровне службы или переключатель для доступа к общедоступной сети.

Reference: Как настроить частное соединение для Foundry

Управление идентичностью

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1. Использование централизованной системы идентификации и проверки подлинности

Функции

Аутентификация Azure AD, необходимая для доступа к плоскости данных

Description: служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.

Заметки о функциях Feature: Управление доступом на основе ролей Azure используется для управления доступом в Foundry с предварительно определенными ролями. Пользователи в Microsoft Entra ID должны иметь роли, назначенные им для доступа к ресурсам в Foundry.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Reference: Ролевое управление доступом для Foundry

Методы локальной аутентификации для доступа к плоскости данных

Description: методы локальной аутентификации, поддерживаемые для уровня доступа к данным, такие как локальное имя пользователя и пароль. Подробнее.

Заметки о функциях: Локальная проверка подлинности на канале данных не поддерживается Foundry. Клиенты должны использовать Azure Entra ID для управления доступом к плоскости данных. Однако клиент может настроить локальную проверку подлинности для вычислительного экземпляра, который по умолчанию отключен.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-3. Безопасное и автоматическое управление идентичностями приложений

Функции

Управляемые учётные записи

Описание: Действия в плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Подробнее.

Примечания к функциям: управляемая идентификация поддерживается Foundry. Однако клиенты должны убедиться, что управляемое удостоверение правильно настроено для целевых ресурсов, чтобы включить доступ.

Configuration Guidance. Используйте управляемые удостоверения Azure вместо объектов-службы, когда это возможно, чтобы выполнять аутентификацию в службах и ресурсах, поддерживающих аутентификацию с помощью Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.

Субъекты-службы

Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Подробнее.

Feature notes: учетные записи служб поддерживаются Foundry и могут быть настроены для ресурсов, поддерживающих проект ИИ, включая учетную запись Storage и Azure Key Vault и так далее.

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

IM-7: Ограничение доступа к ресурсам на основе условий

Функции

Условный доступ для уровня данных

Description: Доступ к плоскости данных можно управлять с помощью политики условного доступа Azure AD. Подробнее.

Примечания к функциям : условный доступ поддерживается Foundry, однако клиентам необходимо настроить политики, которые не активированы по умолчанию.

Configuration Guidance: Определите применимые условия и критерии для условного доступа в Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных локаций, блокировка рискованного поведения при входе или требование устройств, управляемых организацией, для конкретных приложений.

IM-8. Ограничение раскрытия учетных данных и секретов

Функции

Интеграция поддержки учетных данных и секретов, а также их хранения в Azure Key Vault

Description: Плоскость передачи данных поддерживает нативное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Примечания к функциям : клиенты могут использовать Azure Key Vault для управления секретами, такими как строки для подключения к ресурсам. Для изоляции данных конфиденциальная информация не может быть получена между проектами через API.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Reference: архитектура Foundry

Привилегированный доступ

Для получения дополнительной информации см. контрольные показатели безопасности облачных сервисов Microsoft: Привилегированный доступ.

PA-1. Разделение и ограничение высоко привилегированных или административных пользователей

Функции

Учетные записи локального администратора

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Примечания к функции Feature: Во время создания вычислительного экземпляра клиенты могут настраивать root-доступ на странице безопасности. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочная информация: Как создавать и управлять вычислительными экземплярами в Foundry

PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)

Функции

Azure RBAC для плоскости данных

Description: Управление доступом к действиям плоскости данных службы можно осуществлять с помощью управления доступом на основе ролей Azure (Azure RBAC). Подробнее.

Примечания к функциям: Управление доступом Azure на основе ролей поддерживается в Foundry с заранее определёнными ролями. Клиентам необходимо назначить роли пользователям, прежде чем они смогут получить доступ к Foundry.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Reference: Ролевое управление доступом для Foundry

PA-8. Определение процесса доступа для поддержки от поставщика облачных услуг

Функции

Защитный сейф для клиентов

Description: Customer Lockbox может использоваться для доступа к поддержке Microsoft. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.

DP-1: обнаружение, классификация и метка конфиденциальных данных

Функции

Обнаружение конфиденциальных данных и классификация

Description: средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Заметки о функциях: Обнаружение и классификация конфиденциальных данных в настоящее время не поддерживаются Foundry. Хотя данные при передаче и хранении шифруются, клиентам необходимо учитывать настраиваемые функции, включая сетевую изоляцию, access control и т. д. для защиты данных.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные

Функции

Защита от утечки и потери данных

Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальной информации (в контенте клиента). Подробнее.

Заметки о функциях: решение для защиты от утечки и потери данных (DLP) в настоящее время не поддерживается Foundry. Клиент должен рассмотреть возможность применения элементов управления, которые помогают защитить данные, в том числе сетевую изоляцию, управление доступом и т. д.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-3. Шифрование конфиденциальных данных при передаче

Функции

Шифрование данных в пути

Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.

Заметки о функциях: Foundry использует шифрование для защиты данных в состоянии покоя и в процессе передачи. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

DP-4. Включение шифрования неактивных данных по умолчанию

Функции

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Заметки о функции : Искусственный интеллект Azure построен на основе нескольких служб Azure. Данные хранятся безопасно с помощью ключей шифрования, предоставляемых корпорацией Майкрософт по умолчанию.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости

Функции

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Заметки о функциях: Foundry использует шифрование для защиты данных в состоянии покоя и при передаче. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования. Однако клиенты могут использовать собственные ключи шифрования (ключи, управляемые клиентом, CMK). Клиенты, которые выбирают использовать эту функцию, должны загрузить свои ключи в Azure Key Vault, чтобы воспользоваться преимуществами этой функции.

Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.

Справка: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal

DP-6. Использование процесса безопасного управления ключами

Функции

Управление ключами в Azure Key Vault

Description: служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Примечания Feature: При создании ресурса Центра Azure AI требуется Azure Key Vault как зависимый ресурс.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Reference: архитектура Foundry

DP-7. Использование процесса управления безопасными сертификатами

Функции

Управление сертификатами в Azure Key Vault

Description: служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление активами

Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.

AM-2. Использование только утвержденных служб

Функции

поддержка Azure Policy

Description: конфигурации служб можно отслеживать и применять с помощью Azure Policy. Подробнее.

Примечания к функциям : Foundry предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать политики и при необходимости включать их.

Руководство по настройке: используйте Microsoft Defender for Cloud для конфигурации Azure Policy, с целью аудита и принудительного применения конфигураций ваших ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации в ресурсах. Используйте Azure Policy [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в Azure ресурсах.

Ссылка: /azure/ai-services/policy-reference

AM-5. Использование только утвержденных приложений в виртуальной машине

Функции

Microsoft Defender for Cloud — адаптивные элементы управления приложениями

Description: служба может ограничить работу клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender for Cloud. Подробнее.

Заметки Feature: Установка агента Microsoft Defender для серверов в настоящее время не поддерживается.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Функции

Microsoft Defender для обслуживания или предложения продуктов

Description: у службы есть решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Feature notes: Microsoft Defender можно настроить для различных ресурсов, подключенных к Foundry. Клиент может проверить доступность через документацию Microsoft Defender.

Руководство по конфигурации: Используйте Azure Active Directory (Azure AD) в качестве метода аутентификации по умолчанию для контроля доступа к плоскости управления. Когда вы получаете оповещение от Microsoft Defender для Key Vault, изучите оповещение и ответите на него.

Reference: Microsoft Defender продукты и услуги

LT-4. Включение логирования для расследования инцидентов безопасности

Функции

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например, учетную запись хранения или рабочую область аналитики журналов. Подробнее.

Примечания к функциям : Azure Monitor и Azure Log Analytics обеспечивают мониторинг и логирование базовых ресурсов, используемых Foundry.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Reference: архитектура Foundry

Управление позицией и уязвимостью

Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.

PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов

Функции

Azure Automation Конфигурация состояния

Description: Azure Automation State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

агент конфигурации гостевой среды Azure Policy

Описание: агент гостевой конфигурации Azure Policy можно установить или развернуть в виде расширения для вычислительных ресурсов. Подробнее.

Примечания к функциям : Foundry предоставляет встроенные политики Azure. Однако политики по умолчанию не включены. Клиенты должны просматривать политики и при необходимости включать их.

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

Ссылка: /azure/ai-services/policy-reference

Пользовательские образы виртуальных машин

Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.

Заметки о функциях. Образ виртуальной машины на вычислительных ресурсах управляется корпорацией Майкрософт, а пользовательские образы виртуальных машин не поддерживаются.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Пользовательские образы контейнеров

Описание. Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из торговой площадки с некоторыми заранее установленными базовыми конфигурациями. Подробнее.

Feature notes: Клиенты могут использовать настраиваемый образ контейнера для вычислительных ресурсов, подключенных к проекту ИИ.

Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемые базовые показатели безопасной конфигурации в шаблоне образа контейнера.

PV-5. Выполнение оценки уязвимостей

Функции

Оценка уязвимостей с помощью Microsoft Defender

Description. Служба может быть отсканирована на наличие уязвимостей с помощью Microsoft Defender for Cloud или других служб Microsoft Defender с встроенной функцией оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, App Service, SQL и DNS). Подробнее.

руководство по настройке . Следуйте рекомендациям из Microsoft Defender for Cloud для выполнения оценки уязвимостей на Azure virtual machines, образах контейнеров и серверах SQL.

Справка: Управление уязвимостями для Foundry

PV-6. Быстрое и автоматическое исправление уязвимостей

Функции

управление обновлениями Azure Automation

Description: служба может использовать управление обновлениями Azure Automation для автоматического развертывания исправлений и обновлений. Подробнее.

Примечания к функциям Feature: обновление Azure Automation не поддерживается Foundry. Развертывания могут использовать образы виртуальных машин и образы Docker. Методы обновления и исправления и частота описаны в документации — управление уязвимостями для Foundry (/en-us/azure/ai-foundry/concepts/vulnerability-management).

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Безопасность конечных точек

Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Endpoint Security.

ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)

Функции

Решение EDR

Description: функция обнаружения конечных точек и реагирования (EDR), например Azure Defender для серверов, можно развернуть в конечной точке. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

ES-2. Использование современного программного обеспечения для защиты от вредоносных программ

Функции

Решение для защиты от вредоносных программ

Description: функции защиты от вредоносных программ, такие как антивирусная программа Microsoft Defender и Microsoft Defender for Endpoint, могут быть развернуты на конечной точке. Подробнее.

Заметки о функциях. Решение защиты от вредоносных программ не поддерживается в конечных точках Foundry. Однако клиенты могут установить решения для защиты от вредоносных программ на вычислительном экземпляре. Дополнительные сведения см. в разделе /en-us/azure/ai-foundry/concepts/vulnerability-management#compute-instance.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ

Функции

Мониторинг работоспособности решений защиты от вредоносных программ

Описание: Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, ядра и автоматических обновлений сигнатур. Подробнее.

Примечания о функциях: клиенты могут устанавливать решения для защиты от вредоносных программ на вычислительном экземпляре, подключенном к проекту ИИ.

Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы гарантировать, что платформа, подсистема и подписи обновляются быстро и последовательно и их состояние можно отслеживать.

Справка: Управление уязвимостями для Foundry

Резервное копирование и восстановление

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.

BR-1. Обеспечение регулярного автоматического резервного копирования

Функции

Azure Backup

Description: служба может создавать резервные копии службой Azure Backup. Подробнее.

Описание возможностей : Резервное копирование Azure можно настроить в учетной записи хранения, подключенной к проекту ИИ.

Configuration Guidance. Включите Azure Backup и настройте источник резервного копирования (например, Azure Virtual Machines, SQL Server, базы данных HANA или общие папки) на требуемой частоте и с требуемым периодом хранения. Для Azure Virtual Machines можно использовать Azure Policy для включения автоматического резервного копирования.

Reference: Настройка и управление резервным копированием для объектов BLOB Azure, используя Azure Backup

Возможность встроенного резервного копирования службы

Description: служба поддерживает собственную собственную возможность резервного копирования (если Azure Backup не используется). Подробнее.

Заметки о функциях: Foundry не предоставляет собственную функцию резервного копирования. Клиенты должны использовать Azure Backup для ресурсов в проектах ИИ.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие шаги

• Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
• Дополнительные сведения о базовых показателях безопасности Azure