Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Для получения последних рекомендаций по безопасности, см. документацию Foundry Tools.
Этот базовый план безопасности применяет рекомендации от Microsoft Cloud Security Benchmark версии 1.0 к Средствам Foundry. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Средствам Foundry.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Заметка
Функции , неприменимые к средствам Foundry, были исключены. Сведения о том, как средства Foundry полностью сопоставляют с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности средств Foundry.
Профиль безопасности
Профиль безопасности обобщает высокоэффективное поведение средств Foundry Tools, что может привести к повышенному вниманию к вопросам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | AI+ML |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Неправда |
| Сохраняет данные клиентов в состоянии покоя | Верно |
Безопасность сети
Для получения дополнительной информации см. эталон облачной безопасности Microsoft: Сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента (VNet). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Поддержка группы безопасности сети
описание: сетевой трафик службы соблюдает назначение правил групп безопасности сети в подсетях. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
примечания к функциям: Хотя сетевые группы безопасности для этой службы не поддерживаются, может быть настроен брандмауэр уровня обслуживания. Дополнительные сведения см. в статье Управление правилами сети IP-адресов
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Рекомендации по настройке: Развертывайте частные конечные точки для всех ресурсов Azure, поддерживающих функцию Private Link, чтобы создать частную точку доступа для этих ресурсов.
Ссылка : использовать частные конечные точки
Отключение доступа к общедоступной сети
Описание: Служба поддерживает отключение доступа к общедоступной сети либо через использование правила фильтрации IP-адресов на уровне службы (не NSG или брандмауэра Azure), либо через переключатель "Отключить доступ к общедоступной сети". Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Отключите доступ к общедоступной сети, используя правило фильтрации IP ACL на уровне обслуживания или переключатель для отключения доступа к общедоступной сети.
справочник : Изменение правила доступа к сети по умолчанию
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.CognitiveServices:
| Имя (портал Azure) |
Описание | Эффекта(-ы) | Версия (GitHub) |
|---|---|---|---|
| ресурсы служб ИИ Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к средству Microsoft Foundry можно получить только приложения из разрешенных сетей. | Аудит, отказ в доступе, отключено | 3.2.0 |
Управление идентификацией
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация Azure AD для доступа к уровню данных
описание: Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Используйте Azure Active Directory (Azure AD) как метод аутентификации по умолчанию для управления доступом к плоскости данных.
Ссылка : Аутентификация через Azure Active Directory
Методы локальной аутентификации для доступа к уровню данных
Описание: методы локальной аутентификации, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Хотя вы можете пройти проверку подлинности в средстве Foundry с помощью одного или нескольких ключей подписки или использовать эти ключи для проверки подлинности с помощью маркеров доступа, эти методы проверки подлинности не соответствуют более сложным сценариям, требующим управления доступом на основе ролей Azure (Azure RBAC). Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Рекомендации по конфигурации. Ограничение использования локальных методов проверки подлинности для доступа к каналу передачи данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
: Аутентифицировать с помощью маркера доступа
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.CognitiveServices:
| Имя (портал Azure) |
Описание | Эффекта(-ы) | Версия (GitHub) |
|---|---|---|---|
| в ресурсах Служб искусственного интеллекта Azure должен быть отключен доступ к ключам (дезактивировать локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. Узнать больше на: https://aka.ms/AI/auth | Аудит, отказ в доступе, отключено | 1.1.0 |
IM-3. Безопасное и автоматическое управление удостоверениями приложений
Функции
Управляемые удостоверения
Описание. Действия уровня данных поддерживают аутентификацию с помощью управляемых удостоверений. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Настройка: Рекомендации. Используйте управляемые идентификаторы Azure вместо учетных записей служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). Учетные данные управляемого удостоверения полностью управляются, обновляются и защищаются платформой, избегая жестко закодированных учетных данных в исходном коде или конфигурационных файлах.
Ссылка: Авторизация доступа к управляемым учетным данным
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью учетных записей службы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
руководство по настройке: нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Проверка подлинности запросов на средства Foundry
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к рабочей плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
руководство по настройке. Определение применимых условий и критериев условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных и секретов службы в Azure Key Vault
Описание: Data plane поддерживает собственное использование Azure Key Vault для хранения учетных данных и секретов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
руководство по настройке: Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо встраивания их в код или в файлы конфигурации.
Справочник. Разработка приложений средств Foundry с помощью Key Vault
Привилегированный доступ
Дополнительные сведения см. в microsoft cloud security benchmark: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание: Служба имеет концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
PA-7. Придерживайтесь принципа «наименьшие привилегии» в администрировании
Функции
Azure RBAC для плоскости данных
Описание: Оазуре Role-Based Управление доступом (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по Настройке: Используйте управление доступом на основе ролей Azure (Azure RBAC) для контроля доступа к ресурсам Azure через встроенные назначения ролей. Роли RBAC Azure можно назначать пользователям, группам, служебным субъектам и управляемым удостоверениям.
Ссылка : Аутентификация через Azure Active Directory
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Ящик безопасности для клиентов
Описание: Customer Lockbox может использоваться для доступа службы поддержки Microsoft. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Рекомендации по настройке: В сценариях поддержки, где корпорации Майкрософт нужен доступ к вашим данным, используйте Customer Lockbox для проверки и последующего утверждения или отклонения каждого запроса на доступ к данным Майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание: Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в рамках службы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
DP-2. Мониторинг аномалий и угроз, нацеленных на чувствительные данные
Функции
Защита от утечки и потери данных
Описание: служба поддерживает DLP-решение для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Возможности защиты от потери данных средств foundry позволяют клиентам настраивать список исходящих URL-адресов, к которым разрешен доступ к ресурсам служб ИИ Azure. Это создает еще один уровень управления для клиентов, чтобы предотвратить потерю данных.
Справочник.Настройка защиты от потери данных для средств Foundry
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание. Служба поддерживает шифрование данных во время передачи для канала данных. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по конфигурации: Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: Безопасность инструментов Foundry
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
описание. Поддерживается шифрование данных на стадии покоя с помощью ключей платформы; любое неактивное содержимое клиента шифруется этими ключами, управляемыми Microsoft. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по конфигурации: Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник.Настройка ключей, управляемых клиентом, с помощью Azure Key Vault для средств Foundry
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание: Шифрование данных в состоянии покоя с использованием ключей, управляемых клиентом, поддерживается для контента клиента, хранящегося сервисом. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область службы, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник.Настройка ключей, управляемых клиентом, с помощью Azure Key Vault для средств Foundry
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.CognitiveServices:
| Имя (портал Azure) |
Описание | Эффекта(-ы) | Версия (GitHub) |
|---|---|---|---|
| Учетные записи средств Foundry должны включить шифрование данных с помощью ключа, управляемого клиентом. | Ключи, управляемые клиентом, обычно требуются для соответствия нормативным стандартам. Управляемые клиентом ключи позволяют шифровать данные, хранящиеся в средствах Foundry, с помощью ключа Azure Key Vault, созданного и принадлежащих вам. У вас есть полный контроль и ответственность за жизненный цикл ключа, включая ротацию и управление. Дополнительные сведения о ключах, управляемых клиентом, см. в https://go.microsoft.com/fwlink/?linkid=2121321. | Аудит, отказ в доступе, отключено | 2.1.0 |
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для всех клиентских ключей, секретов или сертификатов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при наличии выхода на пенсию или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и указываются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник.Настройка ключей, управляемых клиентом, с помощью Azure Key Vault для средств Foundry
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание: Служба поддерживает интеграцию Azure Key Vault для любых сертификатов заказчика. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Asset Management.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание: Конфигурации служб можно отслеживать и применять с помощью политики Azure. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Используйте Microsoft Defender для облачных решений, чтобы настроить политику Azure для аудита и применения конфигураций ваших Ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.
Справочник: Встроенные определения политики Azure для инструментов Foundry
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: логирование и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание: служба имеет специфичное для предложения решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
LT-4. Включение ведения журнала для расследования инцидентов в области безопасности.
Функции
Журналы ресурсов Azure
описание: служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Рекомендации по настройке: Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
Справочник.Включение ведения журнала диагностики для средств Foundry
Резервное копирование и восстановление
Дополнительные сведения см. в статье microsoft cloud security benchmark: Backup and Recovery.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Этот сервис может быть резервно скопирован с помощью службы Azure Backup. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Возможность встроенного резервного копирования службы
Описание: служба поддерживает собственную функцию резервного копирования (если не используется Azure Backup). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором стандарта безопасности в облаке Microsoft
- Дополнительные сведения о базовых стандартах безопасности Azure