Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure AI 搜索包括由 Microsoft 自动管理的安全保护功能,无需客户采取任何操作。 了解Microsoft处理的内容有助于将安全工作集中在你负责的控件和配置上。
本文介绍Microsoft的内置保护,包括网络体系结构、加密(传输中、使用和静态)、数据驻留、隐私保证和合规性认证。 有关应配置的安全最佳做法,请参阅 保护 Azure AI 搜索服务。
Microsoft自动管理的内容
Azure AI 搜索在网络、数据和服务操作方面提供全面的内置安全保护。 这些功能默认处于活动状态,不需要配置:
传输层安全性(TLS):所有连接都使用 TLS 1.2 或 1.3 进行传输中加密。
服务托管加密:使用 256 位高级加密标准 (AES) 加密对静态数据进行加密。
内部网络安全:服务到服务调用通过安全Microsoft主干网络进行。
合规性认证:Azure AI 搜索维护全球、区域和行业特定标准的认证。
操作安全:Microsoft管理基础结构安全性、修补和服务更新。
网络安全体系结构
Azure AI 搜索使用 Microsoft 的安全网络基础结构来保护搜索服务的传入、传出和内部流量。
内部流量保护
Microsoft保护和管理内部请求。 你无法配置或控制这些连接。 内部流量与公用网络隔离,受Microsoft安全基础结构的保护。
内部流量包括:
服务到服务身份验证和授权:通过Microsoft Entra ID、发送到 Azure Monitor 的资源日志记录以及使用 Azure 专用链接的 专用终结点连接 进行调用。
内置技能处理:同一区域的请求被定向到内部托管的 Microsoft Foundry 资源,该资源专用于 Azure AI 搜索的 内置技能处理。
语义排名:向支持 语义排名的模型发出的请求。
传输层安全性 (TLS)
Azure AI 搜索对所有连接强制实施 TLS 1.2 或 1.3。 TLS 1.3 是较新的系统的默认值。 不支持早期 TLS 版本(1.0 和 1.1)。
端口 443 上的所有终结点都需要使用 HTTPS。 客户端系统必须支持 TLS 1.2 或更高版本。 有关实现指南,请参阅:
同区域 Azure 存储和 Azure AI 搜索
如果 Azure 存储和 Azure AI 搜索位于同一区域,则网络流量通过专用 IP 地址路由并出现在 Microsoft 主干网络上。 由于使用了专用 IP 地址,因此无法为这些连接的存储帐户上的网络安全配置 IP 防火墙或专用终结点。
此同区域优化可确保高性能和低延迟,同时通过网络隔离保持安全性。 流量永远不会离开Microsoft网络基础结构。
数据加密
Azure AI 搜索会自动加密多层的所有客户数据。
传输中的数据
传入和传出 Azure AI 搜索的所有数据都使用 TLS 1.2 或更高版本进行加密。 此数据包括:
- 客户端应用程序对搜索服务终结点的请求
- 从搜索服务到客户端应用程序的响应
- 用于索引管理、查询作和索引的 API 请求
传输中的数据在客户端和搜索服务之间受到端到端保护。 对于内部服务到服务通信,加密通过Microsoft主干网络进行。
正在使用的数据
默认情况下,Azure AI 搜索在标准 Azure 基础结构上部署搜索服务。 此基础结构对静态和传输中的数据进行加密,但在内存中主动处理数据时不会保护数据。
对于需要使用基于硬件的数据保护的方案,Azure AI 搜索提供机密计算。 此计算类型具有有限的区域可用性、禁用或限制某些功能,并增加了运行搜索服务的成本。 有关详细信息,请参阅 (可选)启用机密计算。
静止的数据
Azure AI 搜索使用 Microsoft 管理的密钥,以 256 位 AES 加密 自动加密所有静态数据。 这适用于数据磁盘和临时磁盘上的索引、同义词映射和对象定义(索引器、数据源和技能集)。 有关详细信息,请参阅 Azure 静态加密。
服务管理的加密:
- 内置且自动(无需配置)
- 在所有区域中的所有定价层上都可用
- 使用符合 FIPS 140-2 的加密
您可以配置客户管理的密钥 (CMK) 来管理自己的加密密钥。 CMK 在服务托管加密的基础上添加了第二个加密层。 有关详细信息,请参阅 (可选)添加客户管理的密钥加密。
数据驻留地
创建搜索服务时,请选择 Azure 地理位置中的区域。 Azure AI 搜索在该地理位置存储并处理数据,但Microsoft可能会将数据复制到同一地理位置中的其他区域以实现高可用性。 例外情况是巴西南部,其中数据保留在该区域内。
除非您将某些功能(如扩充缓存、调试会话、知识存储)配置到其他区域的 Azure 存储中,否则数据将保留在您的地理区域内。
对象名称(索引、字段、索引器)也可能在所选区域之外进行处理。 这些名称显示在Microsoft用于服务支持的遥测日志中。 避免将敏感数据置于对象名称中。
有关详细信息,请参见:
隐私和数据处理
使用 Azure AI 搜索时,Microsoft致力于保护数据并尊重隐私。
没有用于模型训练的客户数据
Microsoft不使用 Azure AI 搜索中的客户数据来训练或改进任何模型,包括内置技能、语义排名或其他 AI 功能。 您的文档、查询和其他数据仅用于提供和运行已配置的搜索服务。
数据日志记录
Azure AI 搜索不会记录用户标识,因此无法引用日志以获取有关特定用户的信息。 但是,该服务会记录创建、读取、更新和删除(CRUD)操作,你可以将这些操作与其他日志关联,以确定谁执行了特定操作。
资源日志捕获:
- 管理操作(服务创建、配置更改)
- 查询操作(带有查询文本但没有用户身份)
- 索引作(文档添加、更新、删除)
资源日志不记录:
- 单个用户标识
- 有关用户的个人信息
- 详细文档内容(仅有关正在编制索引的文档的元数据)
有关配置日志的信息,请参阅 监控 Azure AI 搜索 和 监控查询请求。
共同责任模型
Azure AI 搜索在 共同责任模型中运行。 Microsoft保护本文中所述的基础结构和内置平台功能。 你负责为特定部署配置安全控制。
Microsoft管理 物理安全、网络基础结构、平台安全性、默认加密(在传输中、正在使用和静态)、合规性认证和基础结构更新。
配置 网络访问控制、身份验证和授权、出站连接、文档级权限、监视和警报以及可选的 CMK 和机密计算。