Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questa baseline di sicurezza si basa su una versione precedente di Microsoft Cloud Security Benchmark (v1.0) e potrebbe contenere indicazioni obsolete. Per le indicazioni sulla sicurezza più recenti, vedere la documentazione di Azure OpenAI.
Questa baseline di sicurezza applica indicazioni dal Microsoft Cloud Security Benchmark versione 1.0 a Azure OpenAI. Il benchmark di sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a Azure OpenAI.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Azure Policy verranno elencate nella sezione Conformità alle normative del portale Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Azure Policy pertinenti, queste sono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Note
Funzionalità non applicabili ad Azure OpenAI sono state escluse. Per vedere come Azure OpenAI mappa completamente al benchmark di sicurezza del cloud Microsoft, vedere il file di mappatura completa delle baseline di sicurezza di Azure OpenAI.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure OpenAI, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | AI+ML |
| Il cliente può accedere all'HOST / sistema operativo | Nessun Accesso |
| Il servizio può essere distribuito nel virtual network del cliente | True |
| Archivia i contenuti dei clienti a riposo | True |
Sicurezza della rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-1: Stabilire i limiti di segmentazione della rete
Features
Integrazione di Virtual Network
Description: il servizio supporta la distribuzione nel Virtual Network privato del cliente. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: Configurare le regole di rete per limitare access all'account degli strumenti Foundry. Per impostazione predefinita, l'abilitazione delle regole del firewall blocca tutte le richieste in ingresso a meno che non provengano da una subnet Azure Virtual Network consentita o da un elenco specificato di indirizzi IP. L'autorizzazione è necessaria usando le credenziali Microsoft Entra ID o una chiave API. È necessario prima negare tutto il traffico per impostazione predefinita e quindi creare regole che consentano di access da reti specifiche, garantendo un limite sicuro per le applicazioni.
Reference: Configurare le reti virtuali degli strumenti Foundry
NS-2: proteggere cloud services con i controlli di rete
Features
Azure Private Link
Description: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con NSG o Azure Firewall). Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: Distribuire endpoint privati per tutte le risorse Azure che supportano la funzionalità di Private Link, per stabilire un punto di access privato per le risorse.
Reference: Configurare le reti virtuali degli strumenti Foundry
Disabilitare Access di rete pubblica
Description: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Azure Firewall) oppure tramite un'opzione "Disabilita accesso alla rete pubblica". Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: Disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello del servizio o un interruttore per l'accesso alla rete pubblica.
Reference: Configurare le reti virtuali degli strumenti Foundry
Gestione delle identità
Per ulteriori informazioni, consulta il benchmark di sicurezza del cloud di Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Features
Autenticazione di Azure Active Directory richiesta per l'accesso al piano dati
Description: Il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso del piano dati. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Reference: Come configurare Azure OpenAI nei modelli Foundry con identità gestite
Metodi di autenticazione locali per l'accesso del piano di dati
Description: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Note Feature: sebbene sia possibile eseguire l'autenticazione con gli strumenti Foundry usando una chiave di sottoscrizione per servizi singoli o multiservizio oppure usare tali chiavi per l'autenticazione con token di accesso, questi metodi di autenticazione risultano insufficienti in scenari più complessi che richiedono il controllo degli accessi basato sui ruoli di Azure (Azure RBAC). Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione laddove possibile.
Configuration Guidance: Limitare l'uso dei metodi di autenticazione locali per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Reference: Authenticate con un token di accesso
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Features
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: usare le identità gestite di Azure al posto dei principali del servizio, quando possibile, che possono autenticarsi ai servizi e alle risorse Azure che supportano l'autenticazione tramite Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente amministrate, ruotate e protette dalla piattaforma, evitando credenziali inserite manualmente nel codice sorgente o nei file di configurazione.
Reference: Come configurare Azure OpenAI nei modelli Foundry con identità gestite
Principali di Servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Indicazioni sulla configurazione: Non sono disponibili linee guida Microsoft correnti per la configurazione di questa funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Reference: Come configurare Azure OpenAI nei modelli Foundry con identità gestite
IM-7: Limitare l'accesso alle risorse in base alle condizioni
Features
Accesso condizionale per il piano dei dati
Description: Gli accessi del piano dati possono essere controllati usando i criteri di accesso condizionale di Azure AD. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nella gestione del carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione di access da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.
IM-8: limitare l'esposizione di credenziali e segreti
Features
Integrazione e archiviazione delle credenziali dei servizi e dei segreti in Azure Key Vault
Description: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Note sulle funzionalità: Azure OpenAI non archivia segreti (ad esempio, password e così via).
Configuration Guidance: assicurarsi che i segreti e le credenziali siano archiviati in percorsi sicuri, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Riferimento: Sviluppare applicazioni Foundry Tools con Key Vault
Accesso privilegiato
Per altre informazioni, vedere Microsoft cloud security benchmark: Privileged access.
PA-7: seguire il principio dell'amministrazione necessaria (privilegi minimi)
Features
Azure RBAC per il piano dati
Description: Azure Role-Based Access Control (Azure controllo degli accessi in base al ruolo) può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: utilizzare il controllo degli accessi basato su ruoli di Azure (Azure RBAC) per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. Ruoli di controllo degli accessi basati sui ruoli di Azure possono essere assegnati a utenti, gruppi, principali del servizio e identità gestite.
Reference: Come configurare Azure OpenAI nei modelli Foundry con identità gestite
PA-8: Determinare il processo di accesso per il supporto del fornitore cloud
Features
Customer Lockbox
Description: Customer Lockbox può essere usato per l'accesso al supporto Microsoft. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ogni richiesta di accesso ai dati di Microsoft.
Reference: Customer Lockbox per Microsoft Azure
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Features
Individuazione e classificazione dei dati sensibili
Description: gli strumenti (ad esempio Azure Purview o Azure Information Protection) possono essere usati per l'individuazione e la classificazione dei dati nel servizio. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| False | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Features
Prevenzione della perdita/fuga di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: Le funzionalità di prevenzione della perdita dei dati di Azure OpenAI consentono ai clienti di configurare l'elenco degli URL in uscita a cui le loro risorse Azure OpenAI possono accedere. In questo modo si crea un altro livello di controllo che consente ai clienti di evitare la perdita dei dati.
Reference: Configurare la Prevenzione della perdita dei dati per Foundry Tools
DP-3: Crittografare i dati sensibili in movimento
Features
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il layer dati. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Features
Crittografia dei dati a riposo tramite chiavi della piattaforma
Descrizione: la crittografia dei dati a riposo è supportata tramite le chiavi della piattaforma, e tutti i contenuti dei clienti a riposo vengono crittografati con queste chiavi gestite da Microsoft. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Azure OpenAI nei modelli Foundry crittografa i dati a riposo
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Features
Crittografia dei dati inattivi tramite chiave di crittografia gestita dal cliente
Descrizione: La crittografia dei dati a riposo usando chiavi gestite dal cliente è supportata per i contenuti dei clienti archiviati dal servizio. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Azure OpenAI nei modelli Foundry crittografa i dati a riposo
DP-6: Usare un processo di gestione delle chiavi sicure
Features
Gestione delle chiavi in Azure Key Vault
Description: il servizio supporta l'integrazione Azure Key Vault per eventuali chiavi, segreti o certificati dei clienti. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Configuration Guidance: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione di chiavi, distribuzione e storage. Ruota e revoca le chiavi in Azure Key Vault e nel tuo servizio seguendo una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le best practice per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati (DEK) separata con la chiave di crittografia della chiave (KEK) nel proprio archivio di chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e a cui viene fatto riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio (ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Riferimento: Azure OpenAI nei modelli Foundry crittografa i dati a riposo
Gestione delle risorse
Per altre informazioni, vedere il benchmark della sicurezza cloud di Microsoft: Gestione delle risorse.
AM-2: Utilizzare solo servizi approvati
Features
Supporto per Azure Policy
Description: le configurazioni del servizio possono essere monitorate e applicate tramite Azure Policy. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Note sulle funzionalità: fare riferimento ai criteri per gli strumenti Foundry.
Configuration Guidance: usare Microsoft Defender for Cloud per configurare Azure Policy per controllare e applicare le configurazioni delle risorse Azure. Usare Azure Monitoraggio per creare avvisi quando viene rilevata una deviazione della configurazione nelle risorse. Usare gli effetti di Azure Policy [deny] e [deploy if not exists] per applicare configurazioni sicure tra le risorse di Azure.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Features
log delle risorse Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di Log Analytics. Scopri di più.
| Supported | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | False | Customer |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un key vault o e Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al Azure servizio e al tipo di risorsa.
Riferimento: Monitoraggio di Azure OpenAI nei modelli foundry
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza Azure