Valutare la sicurezza per i carichi di lavoro di Microsoft Foundry

  • 11 minuti

Microsoft Foundry è la piattaforma principale per la creazione e la distribuzione di applicazioni di intelligenza artificiale in Azure. Gli architetti della sicurezza devono valutare i controlli di sicurezza specifici di Foundry oltre i requisiti di sicurezza di intelligenza artificiale generali coperti nell'unità precedente. Questa unità è incentrata sull'architettura della piattaforma, sui controlli di accesso, sull'isolamento della rete, sulla protezione dei dati e sulla sicurezza operativa univoca per le distribuzioni di Microsoft Foundry.

Valutare la risorsa e l'architettura del progetto

Microsoft Foundry usa un'architettura a due livelli che separa la governance dallo sviluppo.

  • Risorsa Foundry: risorsa di Azure di primo livello in cui gli amministratori configurano le impostazioni di sicurezza, la rete, la crittografia e le distribuzioni di modelli. Tutte le decisioni di governance, tra cui la configurazione della rete gestita, le chiavi gestite dal cliente e l'applicazione di Azure Policy, sono definite qui.
  • Progetti: limiti di sviluppo isolati all'interno della risorsa Foundry in cui i team compilano agenti, eseguono valutazioni e gestiscono i file. I progetti ereditano la configurazione di sicurezza della risorsa Foundry padre.

Questa separazione consente controlli di sicurezza centralizzati a livello di risorsa mentre i team di sviluppo lavorano entro i limiti del progetto con ambito. Valutare se l'architettura inserisce correttamente decisioni di governance a livello di risorsa e limita le autorizzazioni a livello di progetto alle attività di sviluppo. Verificare che ogni progetto sia mappato a un carico di lavoro distinto o limite del team, impedendo l'accesso non autorizzato ai dati tra progetti.

Valutare le identità e i controlli di accesso

Foundry divide le operazioni in piano di gestione (gestione delle risorse) e piano dati (utilizzo di runtime), ognuno con la propria superficie RBAC.

Valutazione del metodo di autenticazione

Foundry supporta due metodi di autenticazione: Microsoft Entra ID e chiavi API. Valutare se per i carichi di lavoro di produzione la soluzione usa Microsoft Entra ID, che abilita l'accesso condizionale, le identità gestite e il controllo granulare dell'accesso basato sui ruoli. Le chiavi API rimangono disponibili per la creazione rapida di prototipi, ma mancano la tracciabilità per utente e devono essere disabilitate tramite Criteri di Azure per gli ambienti di produzione.

Valutazione dell'assegnazione RBAC

Valutare se le assegnazioni RBAC riflettono la separazione tra piano di controllo e piano dati.

  • Utente di Intelligenza artificiale di Azure: punto di partenza con privilegi minimi per gli sviluppatori e le identità gestite del progetto nell'ambito della risorsa Foundry. Fornisce l'accesso al piano dati senza funzionalità di gestione delle risorse.
  • Azure AI Project Manager: consente di creare progetti, gestire le distribuzioni e assegnare in modo condizionale il ruolo utente di Intelligenza artificiale di Azure. Appropriato per i responsabili del team che necessitano di funzionalità di sviluppo e gestione.
  • Proprietario account Azure AI o Proprietario di Azure AI: Riservato agli amministratori IT che necessitano di una gestione completa delle risorse, della crittografia e del controllo della rete. Il ruolo di responsabile di Azure AI include anche l'accesso al piano dati. Valutare se i team di sviluppo hanno come ambito l'utente di Intelligenza artificiale di Azure o Azure AI Project Manager anziché questi ruoli più ampi.

Verificare che l'identità gestita di ciascun progetto abbia solo i ruoli RBAC necessari per le risorse connesse. Le assegnazioni di ruolo comuni includono:

  • Collaboratore dati del BLOB di archiviazione sugli account di archiviazione
  • Contributore di dati per l'indice nei motori di ricerca
  • Utente dei segreti di Key Vault sulle risorse di Key Vault

Valutazione dell'identità gestita

Valutare se le identità gestite del progetto vengono usate per l'autenticazione da servizio a servizio anziché per le credenziali archiviate. Quando il creatore del progetto dispone di sufficienti autorizzazioni (proprietario a livello di sottoscrizione o di gruppo di risorse), le assegnazioni dei ruoli dell'identità gestita vengono create automaticamente. Per gli ambienti con restrizioni, verificare che le assegnazioni di identità gestite siano fornite tramite infrastruttura come codice o attraverso processi amministrativi.

Valutare la sicurezza delle connessioni

Le connessioni foundry definiscono il modo in cui la risorsa e i progetti eseguono l'autenticazione ai servizi di Azure dipendenti, ad esempio Azure OpenAI, indici di ricerca, account di archiviazione ed endpoint personalizzati.

Metodo di autenticazione per le connessioni

Valutare se le connessioni usano l'autenticazione di Microsoft Entra ID anziché le chiavi API. Le connessioni foundry supportano i metodi di autenticazione seguenti, con disponibilità variabile in base al tipo di connettore:

  • Identità gestita (assegnata dal sistema o dall'utente): preferita per la gestione delle credenziali senza chiave
  • Entità servizio (ID client/segreto o certificato)
  • Chiave API: per i servizi che non supportano Microsoft Entra ID
  • Token SAS: per scenari di archiviazione specifici

Integrazione di Key Vault

Per le connessioni che richiedono segreti (chiavi API, stringhe di connessione), verificare che un Azure Key Vault dedicato sia configurato tramite una connessione con Key Vault a livello di risorsa Foundry. Questo insieme di credenziali dedicato deve:

  • Archiviare solo i segreti gestiti da Foundry, non essere condivisi con altri componenti del carico di lavoro
  • Disporre di accesso ristretto all'identità di gestione della risorsa Foundry
  • Utilizzare Azure Monitor e i log delle attività per la verifica degli eventi di creazione, aggiornamento ed eliminazione dei segreti.

Se le chiavi gestite dal cliente vengono usate per la crittografia, valutate se i criteri di governance della sicurezza consentono la collocazione delle chiavi di crittografia e dei segreti di connessione nello stesso archivio.

Ambito e ciclo di vita della connessione

Valutare se le connessioni sono definite a livello di progetto piuttosto che a livello di risorsa, limitando il raggio di impatto in caso di compromissione di una connessione. Valutare se le connessioni inutilizzate vengono rimosse e se l'inventario delle connessioni viene esaminato regolarmente. Usare il log attività di Azure per tenere traccia degli eventi del ciclo di vita della connessione.

Valutare l'isolamento della rete

L'isolamento della rete foundry ha due dimensioni: l'accesso in ingresso alla risorsa Foundry e l'accesso in uscita dalle risorse di calcolo.

Accesso in ingresso

Valutare se l'accesso alla rete pubblica è disabilitato per la risorsa Foundry. Quando viene disabilitato, l'accesso richiede una connessione a un endpoint privato tramite Azure Private Link. Verifica che:

  • Gli endpoint privati vengono configurati nella rete virtuale dell'organizzazione
  • Le zone DNS private sono configurate correttamente per la risoluzione dei nomi
  • Le risorse predefinite (account di archiviazione, Key Vault, registro contenitori) hanno anche l'accesso pubblico disabilitato e gli endpoint privati configurati

Accesso in uscita (rete virtuale gestita)

Foundry fornisce una rete virtuale gestita per le risorse di calcolo. Valutare la modalità di isolamento configurata:

  • Consenti internet in uscita: consente l'accesso a Internet in uscita durante l'isolamento delle risorse di calcolo all'interno di una rete gestita. Adatto per i carichi di lavoro che devono accedere a pacchetti o servizi esterni, ma non consigliati per gli ambienti regolamentati.
  • Consenti solo uscita approvata: la modalità più restrittiva. Il traffico in uscita è consentito solo alle destinazioni approvate tramite endpoint privati o regole FQDN. Obbligatorio per gli ambienti regolamentati.
  • Disabilitato: nessun isolamento della rete virtuale gestita. Il calcolo usa la rete pubblica per impostazione predefinita, a meno che non sia configurata una rete virtuale personalizzata. Non consigliato per i carichi di lavoro di produzione che gestiscono i dati sensibili.

Verificare che venga effettuato il provisioning della rete virtuale gestita prima della creazione delle risorse di calcolo. Valutare se le regole in uscita FQDN sono configurate per le dipendenze esterne necessarie, ad esempio pacchetti Python, modelli Hugging Face o integrazione di Visual Studio Code.

Isolamento delle risorse connesse

Verificare che le risorse dipendenti usino un isolamento di rete coerente:

  • Account di memorizzazione: endpoint privati per i servizi BLOB e file
  • Key Vault: endpoint privato con regole del firewall che consentono l'identità gestita di Foundry
  • Registro Contenitori: endpoint privato se vengono usate immagini personalizzate
  • Indici di ricerca: endpoint privato per applicazioni basate su RAG

Valutare la protezione dei dati

Crittografia di dati inattivi

Valutare se le chiavi gestite dal cliente (CMK) sono necessarie per la crittografia dei dati inattivi. Foundry supporta CMK tramite l'integrazione di Azure Key Vault. Se abilitata, la risorsa Foundry crittografa i dati inattivi usando la chiave del cliente anziché le chiavi gestite da Microsoft. Verificare i criteri di accesso di Key Vault e le pianificazioni di rotazione delle chiavi.

Isolamento dei dati tra progetti

Foundry applica l'isolamento dei dati tra i progetti. I segreti archiviati tramite connessioni non possono essere recuperati tra progetti tramite API. Valutare se il limite del progetto fornisce un isolamento sufficiente per i requisiti di classificazione dei dati o se sono necessarie risorse Foundry separate per diversi livelli di riservatezza dei dati.

Gestione delle vulnerabilità

Foundry segue un modello di responsabilità condivisa per la gestione delle vulnerabilità. Microsoft gestisce le patch a livello di piattaforma per il calcolo gestito, le immagini ospitate e i pacchetti di base. I clienti sono responsabili di:

  • Mantenere aggiornati gli ambienti personalizzati e le immagini dei contenitori
  • Ricreare le istanze di calcolo per applicare le patch di sicurezza più recenti
  • Monitoraggio delle raccomandazioni di Defender for Cloud per le vulnerabilità del carico di lavoro di intelligenza artificiale

Valutare la governance della distribuzione modello

Applicazione dei criteri di Azure

Valutare se Azure Policy è configurato per controllare le distribuzioni dei modelli a livello di risorsa Foundry.

  • Le distribuzioni di Servizi cognitivi devono usare solo modelli del Registro approvati: limita quali modelli possono essere distribuiti in base agli ID asset del modello corrispondenti. Impedisce ai modelli non autorizzati o non verificati di raggiungere la produzione.
  • Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale: forza l'autenticazione di Microsoft Entra ID disabilitando l'accesso alla chiave API a livello di risorsa.

Valutazione del catalogo dei modelli

Valutare se l'organizzazione ha stabilito un processo di governance del modello per il catalogo dei modelli Foundry. Valutare il rilevamento della provenienza del modello per garantire che i team possano identificare la cronologia di origine, licenze e modifiche dei modelli distribuiti. I modelli del catalogo devono passare attraverso un processo di verifica e approvazione prima dell'implementazione in produzione.

Valutare il monitoraggio e la diagnostica

Impostazioni di diagnostica

Verificare che le impostazioni di diagnostica siano abilitate per la risorsa Foundry, instradando le categorie seguenti a Log Analytics:

  • Controllo: operazioni amministrative e modifiche alla configurazione
  • RequestResponse: richieste API e risposte del modello per la conformità
  • AllMetrics: metriche di utilizzo, inclusi l'utilizzo dei token e l'utilizzo del calcolo

Monitoraggio di Azure fornisce metriche segmentate per ambito: metriche a livello di risorsa per le operazioni di gestione e metriche a livello di progetto per le prestazioni di valutazione e attività dell'agente.

Integrazione del monitoraggio della sicurezza

Assicurarsi che la risorsa Foundry sia coperta dalle funzionalità di Defender for Cloud descritte nell'unità precedente, tra cui l'individuazione CSPM e la protezione dalle minacce in fase di esecuzione. Verificare inoltre che il log attività di Azure sia configurato per tenere traccia di tutte le operazioni del piano di controllo Foundry, incluse la gestione delle connessioni, le assegnazioni di ruolo e le modifiche dei criteri.

Riepilogo dei criteri di valutazione chiave

Quando si valuta la sicurezza della piattaforma Microsoft Foundry, verificare gli indirizzi della soluzione:

Area Punti di valutazione chiave
Architecture Separazione di risorse/progetto, limiti di isolamento del progetto, segmentazione del carico di lavoro
Identità Autenticazione Microsoft Entra ID, chiavi API disabilitate, ruoli di Controllo degli accessi in base al ruolo di Foundry (utente Azure AI, responsabile di progetto, proprietario account, proprietario), identità gestite
Connessioni ID Microsoft Entra preferito, Key Vault dedicato, connessioni specifiche del progetto, gestione del ciclo di vita
Network Accesso pubblico disabilitato, endpoint privati, modalità di isolamento della rete virtuale gestita, isolamento delle risorse connesse
Protezione dei dati Chiavi gestite dal cliente, isolamento dei dati del progetto, gestione delle vulnerabilità
Governance del modello Criteri di Azure per i modelli approvati, disabilitare l'autenticazione locale, il rilevamento della provenienza del modello
Monitoring Impostazioni diagnostiche, Defender per il cloud, Registro attività di Azure