Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure AI Search zapewnia kompleksowe mechanizmy kontroli zabezpieczeń w zakresie dostępu do sieci, dostępu do danych i ochrony danych w celu spełnienia wymagań przedsiębiorstwa. Jako architekt rozwiązań należy zrozumieć trzy kluczowe domeny zabezpieczeń:
- Wzorce ruchu sieciowego i zabezpieczenia sieci: ruch przychodzący, wychodzący i wewnętrzny.
- Mechanizmy kontroli dostępu: klucze API lub Microsoft Entra ID z rolami.
- Miejsce przechowywania i ochrona danych: Szyfrowanie podczas przesyłania danych, w użyciu z opcjonalnym przetwarzaniem poufnym i w spoczynku z opcjonalnym podwójnym szyfrowaniem.
Usługa wyszukiwania obsługuje wiele topologii zabezpieczeń sieci, od ograniczeń zapory adresów IP w celu zapewnienia podstawowej ochrony do prywatnych punktów końcowych w celu zapewnienia pełnej izolacji sieci. Opcjonalnie użyj obwodu zabezpieczeń sieci, aby utworzyć granicę logiczną wokół zasobów paaS platformy Azure. W przypadku scenariuszy przedsiębiorstwa wymagających szczegółowych uprawnień można zaimplementować mechanizmy kontroli dostępu na poziomie dokumentu. Wszystkie funkcje zabezpieczeń integrują się ze strukturą zgodności platformy Azure i obsługują typowe wzorce przedsiębiorstwa, takie jak wielodostępność i uwierzytelnianie między usługami przy użyciu tożsamości zarządzanych.
W tym artykule szczegółowo przedstawiono opcje implementacji dla każdej warstwy zabezpieczeń, które ułatwiają projektowanie odpowiednich architektur zabezpieczeń dla środowisk deweloperskich i produkcyjnych.
Wzorce ruchu sieciowego
Usługa Azure AI Search może być hostowana w chmurze publicznej platformy Azure, chmurze prywatnej platformy Azure lub suwerennej chmurze (takiej jak Azure Government). Domyślnie dla wszystkich hostów w chmurze usługa wyszukiwania jest zwykle uzyskiwana przez aplikacje klienckie za pośrednictwem połączeń sieci publicznej. Chociaż ten wzorzec jest dominujący, nie jest to jedyny wzorzec ruchu, o którym musisz się troszczyć. Zrozumienie wszystkich punktów wejścia oraz ruchu wychodzącego jest niezbędne do zabezpieczenia środowisk programistycznych i produkcyjnych.
Usługa Azure AI Search ma trzy podstawowe wzorce ruchu sieciowego:
- Żądania przychodzące wysyłane przez użytkownika lub klienta do usługi wyszukiwania (wzorzec dominujący)
- Żądania wychodzące wystawione przez usługę wyszukiwania do innych usług na platformie Azure i w innych miejscach
- Wewnętrzne żądania typu service-to-service za pośrednictwem bezpiecznej sieci szkieletowej firmy Microsoft
Ruch przychodzący
Żądania przychodzące, które dotyczą punktu końcowego usługi wyszukiwania, obejmują:
- Tworzenie, odczytywanie, aktualizowanie lub usuwanie indeksów i innych obiektów w usłudze wyszukiwania
- Ładowanie indeksu zawierającego dokumenty wyszukiwania
- Wykonywanie zapytań względem indeksu
- Uruchamianie zadań indeksatora lub zestawu umiejętności
Interfejsy API REST opisują pełny zakres żądań przychodzących obsługiwanych przez usługę wyszukiwania.
Co najmniej wszystkie żądania przychodzące muszą być uwierzytelniane przy użyciu jednej z następujących opcji:
- Uwierzytelnianie oparte na kluczach (ustawienie domyślne). Żądania przychodzące zapewniają prawidłowy klucz interfejsu API.
- Kontrola dostępu oparta na rolach. Autoryzacja odbywa się za pośrednictwem tożsamości Microsoft Entra i przypisań ról w usłudze wyszukiwania.
Ponadto można dodać funkcje zabezpieczeń sieci , aby dodatkowo ograniczyć dostęp do punktu końcowego. Możesz utworzyć reguły ruchu przychodzącego w zaporze ip lub utworzyć prywatne punkty końcowe, które w pełni chronią usługę wyszukiwania z publicznego Internetu.
Ruch wychodzący
Żądaniami wychodzącymi można zarządzać i je zabezpieczać. Żądania wychodzące pochodzą z usługi wyszukiwania do innych aplikacji. Żądania te są zwykle składane przez indeksatory na potrzeby indeksowania bazującego na tekście i wielomodalnego, niestandardowego wzbogacania sztucznej inteligencji opartego na umiejętnościach oraz wektoryzacji w czasie zapytań. Żądania wychodzące obejmują operacje odczytu i zapisu.
Poniższa lista to pełna wyliczenie żądań wychodzących, dla których można skonfigurować bezpieczne połączenia. Usługa wyszukiwania wysyła żądania we własnym imieniu, jak również w imieniu indeksatora lub niestandardowej funkcji.
| Operation | Scenario |
|---|---|
| Indexers | Połącz się z zewnętrznymi źródłami danych, aby pobrać dane (dostęp do odczytu). Aby uzyskać więcej informacji, zobacz Indeksator dostępu do zawartości chronionej przez zabezpieczenia sieci platformy Azure. |
| Indexers | Nawiąż połączenie z usługą Azure Storage, aby wykonywać operacje zapisu w magazynach wiedzy, buforowanych wzbogaceniach i sesjach debugowania. |
| Umiejętności niestandardowe | Nawiąż połączenie z usługą Azure Functions, aplikacjami internetowymi platformy Azure lub innymi aplikacjami z uruchomionym kodem zewnętrznym, który jest hostowany poza usługą. Żądanie przetwarzania zewnętrznego jest wysyłane podczas wykonywania zestawu umiejętności. |
| Indeksatory i wektoryzacja zintegrowana | Połącz się z usługą Azure OpenAI i wdrożonym modelem osadzającym lub użyj niestandardowej umiejętności, aby połączyć się z dostarczonym przez ciebie modelem osadzającym. Usługa wyszukiwania wysyła tekst do modeli osadzających w celu wektoryzacji podczas indeksowania. |
| Vectorizers | Połącz się z usługą Azure OpenAI lub innymi modelami osadzania w czasie zapytania, aby przekonwertować ciągi tekstowe użytkownika na wektory na potrzeby wyszukiwania wektorów . |
| Bazy wiedzy | Połącz się z modelami uzupełniania czatów w celu planowania zapytań opartych na modelach agentowych, a także przy formułowaniu odpowiedzi opartych na wynikach wyszukiwania. Jeśli implementujesz podstawowy wzorzec RAG, logika zapytań wywołuje zewnętrzny model uzupełniania czatu w celu sformułowania odpowiedzi opartej na wynikach wyszukiwania. W przypadku tego wzorca połączenie z modelem używa tożsamości klienta lub użytkownika. Tożsamość usługi wyszukiwania nie jest używana do połączenia. Natomiast w przypadku korzystania z baz wiedzy we wzorcu pobierania RAG żądanie ruchu wychodzącego jest wykonywane przez tożsamość zarządzaną usługi wyszukiwania. |
| usługa wyszukiwania | Nawiąż połączenie z usługą Azure Key Vault dla kluczy szyfrowania zarządzanych przez klienta używanych do szyfrowania i odszyfrowywania poufnych danych. |
Połączenia wychodzące mogą być zazwyczaj realizowane przy użyciu ciągu połączenia z pełnym dostępem zasobu, który zawiera klucz lub login do bazy danych, albo tożsamość zarządzaną, jeśli używasz Microsoft Entra ID i dostępu opartego na rolach.
Aby uzyskać dostęp do zasobów platformy Azure za zaporą, utwórz reguły ruchu przychodzącego w innych zasobach platformy Azure, które przyznają żądania usługi wyszukiwania.
Aby uzyskać dostęp do zasobów platformy Azure chronionych przez usługę Azure Private Link, utwórz udostępniony link prywatny używany przez indeksator do nawiązywania połączenia.
Wyjątek dla usług wyszukiwania i magazynowania w tym samym regionie
Jeśli usługi Azure Storage i Azure AI Search znajdują się w tym samym regionie, ruch sieciowy jest kierowany przez prywatny adres IP i występuje w sieci szkieletowej firmy Microsoft. Ponieważ są używane prywatne adresy IP, nie można skonfigurować zapór ip ani prywatnego punktu końcowego na potrzeby zabezpieczeń sieci.
Skonfiguruj połączenia w tym samym regionie przy użyciu jednej z następujących metod:
Ruch wewnętrzny
Żądania wewnętrzne są zabezpieczone i zarządzane przez firmę Microsoft. Nie można skonfigurować ani kontrolować tych połączeń. Jeśli blokujesz dostęp do sieci, nie jest wymagana żadna akcja ze strony, ponieważ ruch wewnętrzny nie jest konfigurowalny przez klienta.
Ruch wewnętrzny składa się z:
- Wywołania typu usługa-usługa dla zadań takich jak uwierzytelnianie i autoryzacja za pośrednictwem Microsoft Entra ID, rejestrowanie zasobów wysyłanych do Azure Monitor oraz połączenia prywatnych punktów końcowych z usługi Azure Private Link.
- Żądania dotyczące wbudowanego przetwarzania umiejętności, z żądaniami w tym samym regionie kierowanymi do wewnętrznych zasobów Microsoft Foundry, które są używane wyłącznie do obsługi wbudowanego przetwarzania umiejętności przez usługę Azure AI Search.
- Żądania wysyłane do różnych modeli, które obsługują klasyfikację semantyczną.
Bezpieczeństwo sieci
Zabezpieczenia sieci chroni zasoby przed nieautoryzowanym dostępem lub atakiem, stosując mechanizmy kontroli do ruchu sieciowego. Usługa Azure AI Search obsługuje funkcje sieciowe, które mogą być frontonem obrony przed nieautoryzowanym dostępem.
Połączenie przychodzące za pośrednictwem zapór ip
Usługa wyszukiwania jest aprowizowana przy użyciu publicznego punktu końcowego, który umożliwia dostęp przy użyciu publicznego adresu IP. Aby ograniczyć ruch przechodzący przez publiczny punkt końcowy, utwórz regułę zapory dla ruchu przychodzącego, która zezwala na żądania z określonego adresu IP lub zakresu adresów IP. Wszystkie połączenia klienta muszą zostać nawiązane za pośrednictwem dozwolonego adresu IP lub połączenie zostanie odrzucone.
Możesz użyć portalu Azure do skonfigurowania dostępu do zapory.
Alternatywnie możesz użyć interfejsów API REST do zarządzania. Począwszy od wersji interfejsu API 2020-03-13, z parametrem IpRule, możesz ograniczyć dostęp do swojej usługi, identyfikując adresy IP, indywidualnie lub w zakresie, którym chcesz udzielić dostępu do usługi wyszukiwania.
Połączenie przychodzące z prywatnym punktem końcowym (izolacja sieci, bez ruchu internetowego)
Aby uzyskać bardziej rygorystyczne zabezpieczenia, możesz ustanowić prywatny punkt końcowy dla usługi Azure AI Search, aby umożliwić klientowi w sieci wirtualnej bezpieczny dostęp do danych w indeksie wyszukiwania za pośrednictwem usługi Private Link.
Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej na potrzeby połączeń z usługą wyszukiwania. Ruch sieciowy między klientem a usługą wyszukiwania przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu. Sieć wirtualna umożliwia bezpieczną komunikację między zasobami z siecią lokalną, a także z Internetem.
Chociaż to rozwiązanie jest najbezpieczniejsze, korzystanie z większej liczby usług to dodatkowy koszt, dlatego upewnij się, że masz jasne zrozumienie korzyści przed rozpoczęciem nurkowania. Aby uzyskać więcej informacji na temat kosztów, zobacz stronę cennika. Aby uzyskać więcej informacji na temat współdziałania tych składników, obejrzyj ten film wideo. Omówienie opcji prywatnego punktu końcowego rozpoczyna się o 5:48 w wideo. Aby uzyskać instrukcje dotyczące konfigurowania punktu końcowego, zobacz Tworzenie prywatnego punktu końcowego dla usługi Azure AI Search.
Obwód zabezpieczeń sieci
Obwód zabezpieczeń sieci to granica sieci logicznej wokół zasobów typu "platforma jako usługa" (PaaS), które są wdrażane poza siecią wirtualną. Ustanawia obwód do kontrolowania dostępu do sieci publicznej do zasobów, takich jak Azure AI Search, Azure Storage i Azure OpenAI. Wyjątki można udzielać za pomocą jawnych reguł dostępu dla ruchu przychodzącego i wychodzącego. Takie podejście pomaga zapobiegać eksfiltracji danych przy zachowaniu niezbędnej łączności dla aplikacji.
Przychodzące połączenia klienta i połączenia między usługami występują w granicach, co upraszcza i wzmacnia ochronę przed nieautoryzowanym dostępem. Często w rozwiązaniach usługi Azure AI Search można używać wielu zasobów platformy Azure. Wszystkie następujące zasoby można dołączyć do istniejącego obwodu zabezpieczeń sieci:
Aby uzyskać pełną listę kwalifikujących się usług, zobacz Dołączane zasoby łącza prywatnego.
Authentication
Po przyznaniu żądania do usługi wyszukiwania musi on nadal przechodzić uwierzytelnianie i autoryzację, która określa, czy żądanie jest dozwolone. Usługa Azure AI Search obsługuje dwa podejścia:
Uwierzytelnianie Entra firmy Microsoft ustanawia obiekt wywołujący (a nie żądanie) jako uwierzytelniona tożsamość. Przypisanie roli Azure określa uprawnienia.
Uwierzytelnianie oparte na kluczach jest wykonywane na żądaniu (nie aplikacji wywołującej lub użytkownika) za pomocą klucza interfejsu API, gdzie klucz jest ciągiem składającym się z losowo wygenerowanych cyfr i liter, które dowodzą, że żądanie pochodzi z zaufanego źródła. Klucze są wymagane przy każdym żądaniu. Przesyłanie prawidłowego klucza jest uznawane za dowód, że żądanie pochodzi z zaufanej jednostki.
Poleganie na uwierzytelnianiu opartym na kluczach interfejsu API oznacza, że należy mieć plan ponownego generowania klucza administracyjnego w regularnych odstępach czasu, zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń platformy Azure. W usłudze wyszukiwania istnieje maksymalnie dwa klucze administratora. Aby uzyskać więcej informacji na temat zabezpieczania kluczy interfejsu API i zarządzania nimi, zobacz Tworzenie kluczy api-keys i zarządzanie nimi.
Uwierzytelnianie oparte na kluczach jest ustawieniem domyślnym dla operacji płaszczyzny danych (tworzenie i używanie obiektów w usłudze wyszukiwania). Możesz użyć obu metod uwierzytelniania lub wyłączyć podejście , które nie jest dostępne w usłudze wyszukiwania.
Authorization
Usługa Azure AI Search udostępnia modele autoryzacji do zarządzania usługami i zarządzania zawartością.
Dostęp uprzywilejowany
W nowej usłudze wyszukiwania istniejące przypisania ról na poziomie subskrypcji są dziedziczone przez usługę wyszukiwania, a tylko właściciele i Administratorzy dostępu do użytkownika mogą przyznawać dostęp.
Zadania związane z operacjami płaszczyzny sterowania (tworzeniem usług lub zasobami i zarządzaniem nimi) są autoryzowane wyłącznie za pośrednictwem przypisań ról, bez możliwości korzystania z uwierzytelniania opartego na kluczach na potrzeby administrowania usługą.
Operacje płaszczyzny sterowania obejmują tworzenie, konfigurowanie lub usuwanie usługi oraz zarządzanie zabezpieczeniami. W związku z tym przypisania ról platformy Azure określają, kto może wykonywać te zadania, niezależnie od tego, czy korzystają z portalu, programu PowerShell, czy interfejsów API REST zarządzania.
Do administrowania usługą wyszukiwania mają zastosowanie trzy podstawowe role (Właściciel, Współautor, Czytelnik).
Note
Korzystając z mechanizmów obejmujących platformę Azure, możesz zablokować subskrypcję lub zasób, aby zapobiec przypadkowemu lub nieautoryzowanemu usunięciu usługi wyszukiwania przez użytkowników z uprawnieniami administratora. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów, aby zapobiec nieoczekiwanemu usunięciu.
Autoryzowanie dostępu do zawartości
Operacje płaszczyzny danych odnoszą się do obiektów utworzonych i używanych w usłudze wyszukiwania.
W przypadku autoryzacji opartej na rolach użyj przypisań ról Azure, aby ustanowić dostęp do odczytu i zapisu operacji.
W przypadku autoryzacji opartej na kluczach klucz interfejsu API i kwalifikowany punkt końcowy określają dostęp. Punkt końcowy może być usługą, kolekcją indeksów, określonym indeksem, kolekcją dokumentów lub określonym dokumentem. Po połączeniu łańcuchowym punkt końcowy, operacja (na przykład żądanie utworzenia) i typ klucza (administracyjny lub zapytania) autoryzują dostęp do zawartości i operacji.
Ograniczanie dostępu do indeksów
Za pomocą ról platformy Azure można ustawić uprawnienia do poszczególnych indeksów , o ile są wykonywane programowo.
Za pomocą kluczy każda osoba z kluczem administratora usługi może odczytywać, modyfikować lub usuwać dowolny indeks w tej samej usłudze. W przypadku ochrony przed przypadkowym lub złośliwym usunięciem indeksów wewnętrzny system kontroli wersji kodu jest rozwiązaniem, które pozwala cofnąć niepożądane usunięcie lub modyfikację indeksu. Usługa Azure AI Search ma tryb failover w klastrze w celu zapewnienia dostępności, ale nie przechowuje ani nie wykonuje zastrzeżonego kodu używanego do tworzenia lub ładowania indeksów.
W przypadku rozwiązań wielodostępnych wymagających granic zabezpieczeń na poziomie indeksu, izolacja indeksu jest często realizowana w warstwie środkowej poprzez kod aplikacji. Aby uzyskać więcej informacji na temat wielodostępnego przypadku użycia, zobacz Design patterns for multitenant SaaS applications and Azure AI Search (Wzorce projektowania dla wielodostępnych aplikacji SaaS i usługi Azure AI Search).
Ograniczanie dostępu do dokumentów
Uprawnienia użytkownika na poziomie dokumentu, znane również jako zabezpieczenia na poziomie wiersza, są dostępne jako funkcja w wersji zapoznawczej i zależą od źródła danych. Jeśli zawartość pochodzi z usługi Azure Data Lake Storage (ADLS) Gen2 lub obiektów blob platformy Azure, metadane uprawnień użytkownika pochodzące z usługi Azure Storage są zachowywane w indeksach generowanych przez indeksator oraz są stosowane podczas wykonywania zapytań, co sprawia, że w wynikach wyszukiwania uwzględniana jest tylko autoryzowana zawartość.
W przypadku innych źródeł danych można wypchnąć ładunek dokumentu zawierający metadane uprawnień użytkownika lub grupy, a te uprawnienia są zachowywane w indeksowanej zawartości, a także wymuszane w czasie wykonywania zapytania. Ta funkcja jest również dostępna w wersji zapoznawczej.
Jeśli nie możesz używać funkcji w wersji zapoznawczej i potrzebujesz dostępu do zawartości w wynikach wyszukiwania, istnieje technika stosowania filtrów zawierających lub wykluczających dokumenty na podstawie tożsamości użytkownika. Obejście polega na dodaniu pola tekstowego w źródle danych, które reprezentuje tożsamość grupy lub użytkownika i które można skonfigurować do filtrowania w indeksie. Aby uzyskać więcej informacji na temat tego wzorca, zobacz Security trimming based on identity filters (Przycinanie zabezpieczeń na podstawie filtrów tożsamości). Aby uzyskać więcej informacji na temat dostępu do dokumentów, zobacz Kontrola dostępu na poziomie dokumentu.
Miejsce przechowywania danych
Podczas konfigurowania usługi wyszukiwania należy wybrać region określający miejsce przechowywania i przetwarzania danych klientów. Każdy region istnieje w lokalizacji geograficznej (geograficznej), która często zawiera wiele regionów (na przykład Szwajcaria jest obszarem geograficznym zawierającym Szwajcarię Północną i Szwajcarię Zachodnią). Usługa Azure AI Search może replikować dane do innego regionu w tym samym obszarze geograficznym w celu zapewnienia trwałości i wysokiej dostępności. Usługa nie będzie przechowywać ani przetwarzać danych klientów poza określonym obszarem geograficznym, chyba że skonfigurujesz funkcję, która ma zależność od innego zasobu platformy Azure i ten zasób jest aprowizowany w innym regionie.
Obecnie jedynym zasobem zewnętrznym zapisywanym przez usługę wyszukiwania jest usługa Azure Storage. Konto przechowywania to takie, które Ty podajesz, i może znajdować się w dowolnym regionie. Jeśli używasz dowolnej z następujących funkcji, usługa wyszukiwania zapisuje dane w usłudze Azure Storage:
Aby uzyskać więcej informacji na temat rezydencji danych, zobacz Rezydencja danych na platformie Azure.
Wyjątki od zobowiązań dotyczących lokalizacji danych
Nazwy obiektów są wyświetlane w dziennikach telemetrii używanych przez firmę Microsoft do zapewnienia obsługi usługi. Nazwy obiektów są przechowywane i przetwarzane poza wybranym regionem lub lokalizacją. Nazwy obiektów obejmują nazwy indeksów i pól indeksów, aliasów, indeksatorów, źródeł danych, zestawów umiejętności, map synonimów, zasobów, kontenerów i magazynu kluczy. Klienci nie powinni umieszczać żadnych poufnych danych w polach nazw ani tworzyć aplikacji przeznaczonych do przechowywania poufnych danych w tych polach.
Dzienniki telemetryczne są przechowywane przez półtora roku. W tym okresie firma Microsoft może uzyskać dostęp do nazw obiektów i odwołać się do ich nazw w następujących warunkach:
Diagnozowanie problemu, ulepszanie funkcji lub naprawianie błędu. W tym scenariuszu dostęp do danych jest tylko wewnętrzny, bez dostępu innej firmy.
Podczas pomocy technicznej te informacje mogą służyć do szybkiego rozwiązywania problemów i eskalowania zespołu produktu w razie potrzeby
Ochrona danych
W warstwie magazynu szyfrowanie danych jest wbudowane dla całej zawartości zarządzanej przez usługę zapisanej na dysku, w tym indeksów, map synonimów i definicji indeksatorów, źródeł danych i zestawów umiejętności. Szyfrowanie zarządzane przez usługę ma zastosowanie zarówno do długoterminowego przechowywania danych, jak i magazynu danych tymczasowych.
Opcjonalnie możesz dodać klucze zarządzane przez klienta (CMK) w celu dodatkowego szyfrowania indeksowanej zawartości, co pozwala na podwójne zaszyfrowanie danych magazynowanych. W przypadku usług utworzonych po 1 sierpnia 2020 r. szyfrowanie CMK rozszerza się na krótkoterminowe dane na dyskach tymczasowych.
Dane w tranzycie
W przypadku połączeń usługi wyszukiwania za pośrednictwem publicznego Internetu usługa Azure AI Search nasłuchuje na porcie HTTPS 443.
Usługa Azure AI Search obsługuje szyfrowanie TLS 1.2 i 1.3 na potrzeby szyfrowania kanału klient-usługa:
- Protokół TLS 1.3 jest domyślny w nowszych systemach operacyjnych klienta i wersjach platformy .NET.
- Protokół TLS 1.2 jest domyślny w starszych systemach, ale można jawnie ustawić protokół TLS 1.3 na żądanie klienta.
Wcześniejsze wersje protokołu TLS (1.0 lub 1.1) nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz Obsługa protokołu TLS w programie .NET Framework.
Dane używane
Domyślnie usługa Azure AI Search wdraża usługę wyszukiwania w standardowej infrastrukturze platformy Azure. Ta infrastruktura szyfruje dane magazynowane i przesyłane, ale nie chroni danych, gdy są aktywnie przetwarzane w pamięci.
Opcjonalnie możesz użyć witryny Azure Portal lub usług — tworzenie lub aktualizowanie (interfejs API REST) w celu skonfigurowania poufnego przetwarzania podczas tworzenia usługi. Poufne przetwarzanie chroni dane używane przed nieautoryzowanym dostępem, w tym od firmy Microsoft, za pośrednictwem zaświadczania sprzętowego i szyfrowania. Aby uzyskać więcej informacji, zobacz Poufne przypadki użycia przetwarzania.
W poniższej tabeli porównaliśmy oba typy obliczeniowe.
| Typ środowiska obliczeniowego | Description | Ograniczenia | Koszt | Availability |
|---|---|---|---|---|
| Default | Przetwarza dane na standardowych maszynach wirtualnych z wbudowanym szyfrowaniem danych magazynowanych i przesyłanych. Brak izolacji opartej na sprzęcie dla danych używanych. | Brak ograniczeń. | Brak zmian w podstawowym koszcie warstw bezpłatnych lub rozliczanych. | Dostępne we wszystkich regionach. |
| Confidential | Przetwarza dane na poufnych maszynach wirtualnych (DCasv5 lub DCesv5) w opartym na sprzęcie zaufanym środowisku wykonywania. Izoluje obliczenia i pamięć od systemu operacyjnego hosta i innych maszyn wirtualnych. | Wyłącza lub ogranicza pobieranie agentów, semantyczny ranker, ponowne zapisywanie zapytań, wykonywanie zestawu umiejętności i indeksatory uruchamiane w środowisku wielodostępnym1. | Dodaje 10% dopłaty do podstawowego kosztu warstw rozliczanych. Aby uzyskać więcej informacji, zobacz stronę z cennikiem. | Dostępne w niektórych regionach. Aby uzyskać więcej informacji, zobacz listę obsługiwanych regionów. |
1 Po włączeniu tego typu obliczeniowego indeksatory mogą działać tylko w prywatnym środowisku wykonywania, co oznacza, że są uruchamiane z klastrów wyszukiwania hostowanych w poufnym przetwarzaniu.
Ważne
Zalecamy tylko poufne przetwarzanie w organizacjach, których wymagania dotyczące zgodności lub przepisów wymagają ochrony danych w użyciu. W przypadku dziennego użycia domyślny typ obliczeniowy jest wystarczający.
Dane w stanie spoczynku
W przypadku danych obsługiwanych wewnętrznie przez usługę wyszukiwania w poniższej tabeli opisano modele szyfrowania danych. Niektóre funkcje, takie jak magazyn wiedzy, przyrostowe wzbogacanie i indeksowanie oparte na indeksatorze, odczytują lub zapisują do struktur danych w innych usługach Azure. Usługi, które mają zależność od usługi Azure Storage, mogą korzystać z funkcji szyfrowania tej technologii.
| Model | Keys | Requirements | Restrictions | Odnosi się do |
|---|---|---|---|---|
| Szyfrowanie po stronie serwera | Klucze zarządzane przez firmę Microsoft | Brak (wbudowane) | Brak, dostępny we wszystkich warstwach, we wszystkich regionach, dla zawartości utworzonej po 24 stycznia 2018 r. | Zawartość (indeksy i mapy synonimów) i definicje (indeksatory, źródła danych, zestawy umiejętności) na dyskach danych i dyskach tymczasowych |
| Szyfrowanie po stronie serwera | klucze zarządzane przez klienta | Azure Key Vault | Dostępne na płatnych poziomach w określonych regionach dla treści utworzonych po 1 sierpnia 2020 r. | Zawartość (indeksy i mapy synonimów) i definicje (indeksatory, źródła danych, zestawy umiejętności) na dyskach danych |
| Pełne szyfrowanie po stronie serwera | klucze zarządzane przez klienta | Azure Key Vault | Dostępne w płatnych planach we wszystkich regionach w usługach przeszukiwania od 13 maja 2021 r. | Zawartość (indeksy i mapy synonimów) i definicje (indeksatory, źródła danych, zestawy umiejętności) na dyskach danych i dyskach tymczasowych |
Wprowadzenie szyfrowania CMK powoduje dwukrotne szyfrowanie zawartości. W przypadku obiektów i pól wspomnianych w poprzedniej sekcji, zawartość jest najpierw szyfrowana przy użyciu twojego klucza głównego klienta (CMK), a następnie przy użyciu klucza zarządzanego przez firmę Microsoft. Zawartość jest podwójnie szyfrowana na dyskach danych na potrzeby długoterminowego przechowywania i na dyskach tymczasowych używanych do przechowywania krótkoterminowego.
Klucze zarządzane przez usługę
Szyfrowanie zarządzane przez usługę to wewnętrzna operacja firmy Microsoft, która używa 256-bitowego szyfrowania AES. Odbywa się to automatycznie we wszystkich indeksowaniach, w tym w przypadku aktualizacji przyrostowych indeksów, które nie są w pełni zaszyfrowane (utworzone przed styczniem 2018 r.).
Szyfrowanie zarządzane przez usługę ma zastosowanie do całej zawartości w magazynie długoterminowym i krótkoterminowym.
Klucze zarządzane przez klienta (CMK)
Klienci korzystają z klucza CMK z dwóch powodów: dodatkowej ochrony i możliwości odwoływania kluczy, co uniemożliwia dostęp do zawartości.
Klucze zarządzane przez klienta wymagają innej rozliczanej usługi Azure Key Vault, która może znajdować się w innym regionie, ale w ramach tej samej dzierżawy platformy Azure, co usługa Azure AI Search.
Obsługa CMK została wdrożona w dwóch etapach. Jeśli swoją usługę wyszukiwania utworzyłeś w trakcie pierwszej fazy, szyfrowanie z użyciem klucza zarządzanego przez klienta (CMK) było ograniczone wyłącznie do długoterminowego przechowywania i określonych regionów. Usługi utworzone w drugiej fazie mogą używać szyfrowania CMK w dowolnym regionie. W ramach drugiej fali wdrożeniowej zawartość jest szyfrowana za pomocą klucza CMK zarówno w przechowywaniu długoterminowym, jak i krótkoterminowym.
Pierwsze wdrożenie miało miejsce 1 sierpnia 2020 r. i obejmowało pięć następujących regionów. Usługi wyszukiwania utworzone w następujących regionach obsługiwały CMK dla dysków z danymi, ale nie dla dysków tymczasowych.
- Zachodnie stany USA 2
- Wschodnie stany USA
- Południowo-środkowe stany USA
- US Gov Wirginia
- US Gov Arizona
Drugie wdrożenie 13 maja 2021 r. dodało szyfrowanie dysków tymczasowych i rozszerzone szyfrowanie cmK we wszystkich obsługiwanych regionach.
Jeśli używasz klucza cmK z usługi utworzonej podczas pierwszego wdrożenia, a także chcesz szyfrować kluczami cmK na dyskach tymczasowych, musisz utworzyć nową usługę wyszukiwania w wybranym regionie i ponownie wdrożyć zawartość. Aby określić datę utworzenia usługi, zobacz Sprawdzanie daty utworzenia usługi lub uaktualnienia.
Włączenie szyfrowania CMK zwiększy rozmiar indeksu i obniży wydajność zapytań. Na podstawie obserwacji do tej pory można spodziewać się wzrostu o 30–60 procent w czasie zapytań, chociaż rzeczywista wydajność będzie się różnić w zależności od definicji indeksu i typów zapytań. Ze względu na negatywny wpływ na wydajność zalecamy włączenie tej funkcji tylko dla indeksów, które naprawdę tego wymagają. Aby uzyskać więcej informacji, zobacz Konfigurowanie kluczy szyfrowania zarządzanych przez klienta w usłudze Azure AI Search.
Rejestrowanie i monitorowanie
Usługa Azure AI Search nie rejestruje tożsamości użytkowników, więc nie można odwoływać się do dzienników w celu uzyskania informacji o określonym użytkowniku. Jednak usługa rejestruje operacje create-read-update-delete, które mogą być skorelowane z innymi dziennikami, aby zrozumieć agencję określonych akcji.
Korzystając z alertów i infrastruktury rejestrowania na platformie Azure, możesz odebrać skoki woluminów zapytań lub inne akcje, które odbiegają od oczekiwanych obciążeń. Aby uzyskać więcej informacji na temat konfigurowania dzienników, zobacz Zbieranie i analizowanie danych dziennika oraz Monitorowanie żądań zapytań.
Zgodność i ład
Usługa Azure AI Search uczestniczy w regularnych inspekcjach i jest certyfikowana pod kątem wielu globalnych, regionalnych i branżowych standardów zarówno dla chmury publicznej, jak i platformy Azure Government. Aby uzyskać pełną listę, pobierz oficjalny dokument dotyczący ofert zgodności platformy Microsoft Azure ze strony oficjalnych raportów inspekcji.
Zalecamy regularne przeglądanie certyfikatów zgodności usługi Azure AI Search i dokumentacji w celu zapewnienia zgodności z wymaganiami prawnymi.
Korzystanie z usługi Azure Policy
Aby zapewnić zgodność, możesz użyć Azure Policy, aby wdrożyć najlepsze praktyki bezpieczeństwa według Microsoft Cloud Security Benchmark. Test porównawczy zabezpieczeń w chmurze firmy Microsoft to zbiór zaleceń dotyczących zabezpieczeń, skodyfikowanych do mechanizmów kontroli zabezpieczeń, które są mapujące na kluczowe działania, które należy podjąć, aby ograniczyć zagrożenia dla usług i danych. Obecnie istnieje 12 mechanizmów kontroli zabezpieczeń, w tym zabezpieczeń sieci, rejestrowania i monitorowania oraz ochrony danych.
Usługa Azure Policy to funkcja wbudowana w platformę Azure, która ułatwia zarządzanie zgodnością dla wielu standardów, w tym testów porównawczych zabezpieczeń w chmurze firmy Microsoft. W przypadku dobrze znanych testów porównawczych usługa Azure Policy udostępnia wbudowane definicje, które zapewniają zarówno kryteria, jak i odpowiedź umożliwiającą podejmowanie działań, które dotyczą niezgodności.
W przypadku usługi Azure AI Search istnieje obecnie jedna wbudowana definicja. Jest to przeznaczone do rejestrowania zasobów. Możesz przypisać zasady identyfikujące usługi wyszukiwania, które nie mają rejestrowania zasobów, a następnie włączyć je. Aby uzyskać więcej informacji, zobacz Azure Policy Regulatory Compliance controls for Azure AI Search (Mechanizmy kontroli zgodności z przepisami usługi Azure Policy dla usługi Azure AI Search).
Korzystanie z tagów
Zastosuj tagi metadanych, aby kategoryzować usługi wyszukiwania na podstawie wymagań dotyczących poufności danych i zgodności. Ułatwia to właściwe mechanizmy kontroli ładu i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Organizowanie zasobów platformy Azure przy użyciu tagów i ogólne wskazówki — organizowanie zasobów platformy Azure przy użyciu tagów.
Treści powiązane
Zalecamy również następujące wideo dotyczące funkcji zabezpieczeń. Ma kilka lat i nie obejmuje nowszych funkcji, ale obejmuje następujące funkcje: CMK, zapory IP i link prywatny. Jeśli używasz tych funkcji, może się okazać, że ten film będzie przydatny.