Azure AI Hizmetlerinin Güvenliği
Azure AI hizmetlerinin güvenliğini sağlamak, çözümün bir parçası olabilecek kullanıcı verilerinin veri kaybını ve gizlilik ihlallerini önlemeye yardımcı olabilir.
Varsayılan olarak Azure AI hizmetleri kaynaklarına erişim, abonelik anahtarları kullanılarak kısıtlanır. Bu anahtarlara erişimin yönetimi güvenlik açısından birincil öneme sahiptir. Anahtarların yetkisiz kullanıcılarla paylaşılması veya bu kullanıcılar tarafından erişilmesi riskine karşı koruma sağlamak için anahtarları düzenli olarak yeniden oluşturmalısınız. Azure portalını kullanarak veya az cognitiveservices account keys regenerate Azure komutunu (CLI) kullanarak anahtarları yeniden oluşturabilirsiniz. Her AI hizmeti iki anahtarla sağlanır ve anahtarları hizmet kesintisi olmadan yeniden oluşturmanıza olanak tanır. Bunu gerçekleştirmek için:
- Üretimde her iki anahtarı da kullanıyorsanız kodunuzu yalnızca bir anahtarın kullanımda olacağı şekilde değiştirin. Örneğin, tüm üretim uygulamalarını 1 anahtarını kullanacak şekilde yapılandırın.
- Anahtar 2’yi yeniden oluşturun.
- Tüm üretim uygulamalarını yeni oluşturulan anahtarı kullanacak şekilde değiştirin 2.
- Anahtar 1’i yeniden oluştur
- Son olarak, yeni anahtar 1’i kullanmak için üretim kodunuzu güncelleyin.
Azure Key Vault, gizli dizileri (şifreler ve anahtarlar gibi) güvenli bir şekilde depolayabileceğiniz bir Azure hizmetidir. Anahtar kasasına erişim, Microsoft Entra ID kullanılarak kimliği doğrulanan kullanıcı kimliklerini düşünebileceğiniz güvenlik sorumlularına verilir. Yöneticiler, uygulama için yönetilen bir kimlik tanımlamak üzere bir uygulamaya (bu durumda hizmet sorumlusu olarak bilinir) bir güvenlik sorumlusu atayabilir. Uygulama daha sonra bu kimliği anahtar kasasına erişmek ve erişimi olan bir gizli diziyi almak için kullanabilir. Gizli diziye erişimin bu şekilde kontrol edilmesi, gizli bilginin bir uygulamada sabit kodlanması veya bir yapılandırma dosyasına kaydedilmesi nedeniyle tehlikeye atılması riskini en aza indirir.
Bir AI hizmetleri kaynağının abonelik anahtarlarını Azure Key Vault’ta saklayabilir ve hizmeti kullanması gereken istemci uygulamalarına yönetilen bir kimlik atayabilirsiniz. Uygulamalar daha sonra, yetkisiz kullanıcılara ifşa etme riski olmadan, gerektiği gibi anahtarı anahtar kasasından alabilir.
REST arayüzünü kullanırken, bazı AI hizmetleri token tabanlı kimlik doğrulamayı destekler (veya hatta gerektirir). Bu durumlarda, abonelik anahtarı, 10 dakikalık geçerli bir süreye sahip olan bir kimlik doğrulama tokenının alınmasına yönelik ilk istekte sunulur. Sonraki istekler, arayanın kimliğinin doğrulandığını doğrulamak için tokanı sunmalıdır.
Azure AI hizmetleri, Microsoft Entra ID kimlik doğrulamasını destekleyerek Azure’da çalışan uygulamalar ve hizmetler için belirli hizmet sorumlularına veya yönetilen kimliklere erişim izni vermenizi sağlar.
Ağ güvenliği, yetkisiz kullanıcıların koruduğunuz hizmetlere erişememesini sağlamak için önemli bir önlemdir. Kullanıcıların görebileceklerini sınırlamak her zaman harika bir fikirdir çünkü göremedikleri şeylerden ödün veremezler. Varsayılan olarak Azure AI hizmetlerine tüm ağlardan erişilebilir. Bazı bireysel AI hizmetleri kaynakları (Azure AI Face hizmeti, Azure AI Vision ve diğerleri), genel İnternet adresleri veya sanal ağlardaki adresler gibi belirli ağ adreslerine erişimi kısıtlayacak şekilde yapılandırılabilir.