Azure Translator 是一项功能强大的基于云的服务,旨在为各种方案(包括应用程序、网站和业务工作流)提供实时翻译功能。 当组织集成此服务时,他们可以跨多种语言和方言增强全球通信和用户参与度。
Azure 中的安全性以协作模式为基础,其中保护资源和数据的责任在Microsoft和我们的客户之间共享。
Microsoft致力于保护支撑所有 Azure 服务的核心基础设施,提供可靠且坚固的云服务运行基础。
我们的客户还可以通过确保正确配置和管理 Azure Translator,从而保护敏感信息并遵守所有相关的法规要求,从而在此安全合作关系中扮演重要角色。
通过清楚地了解和履行各自的职责,Microsoft和我们的客户共同努力,在 Azure 环境中实现全面且弹性的安全态势。
有关详细信息, 请参阅云中的共享责任
本文档提供了有关在使用 Azure Translator 时建立和维护安全环境的详细指南和实用建议。 任何服务的用户必须优先保护敏感数据、保护用户隐私并确保部署可靠性。 通过遵循这些最佳做法,有助于降低风险并保证翻译解决方案在所有平台上保持安全且有效。
特定于服务的安全性
Azure Translator 需要仔细考虑特定的安全挑战和要求,以保持翻译工作流的机密性和完整性。 通过采取主动方法来应对这些安全问题,可以在翻译期间保护敏感信息,并降低未经授权的访问或数据泄露的风险。
文本翻译:对于面向公众的翻译服务,必须根据需要应用内容筛选。 此外,请考虑实施额外的筛选措施,以防止翻译有害或不当的内容。
有关详细信息,请参阅“使用翻译工具防止翻译”。文档翻译:翻译文档时,请确保建立安全工作流。 利用具有适当访问控制和加密的安全存储容器来保护原始文档和翻译的输出。
有关详细信息, 请参阅什么是文档翻译?。
标识和访问管理
有效监视标识和访问权限对于保护 Azure Translator 部署免受未经授权的使用和可能的凭据泄露至关重要。 通过强制实施安全访问管理,可以保证只有已批准的用户和设备能够与 Translator 资源交互。 以下列表标识了支持安全访问管理的方法:
访问。 若要有效管理用户标识并安全地控制 Azure Translator 资源的访问权限,请启用 Microsoft Entra ID。 通过集成 Microsoft Entra ID,可以简化用户帐户的管理,并确保只有授权的个人有权访问 Azure Translator 服务。
授权。 仅使用基于角色的访问控制(RBAC)授予每个角色所需的权限。 通过使用 RBAC 托管标识,可以坚持最低特权原则,确保用户仅获得执行其特定任务所需的访问权限。 此方法极大地降低了对 API 中敏感信息或关键功能未经授权的访问的可能性。
有关详细信息, 请参阅托管标识:基于角色的访问控制身份验证。 对翻译器数据的访问权限应仅限于成功完成身份验证的实体。 此限制要求用户成功完成验证并接收授权,然后才能查看或修改翻译器数据。 只有经过适当审批的用户才能获得访问权限或编辑权限。 此方法通过确保未经授权的用户无法访问敏感信息或进行更改,从而提供一层安全性,这些更改可能会影响数据的完整性。
有关详细信息, 请参阅身份验证和授权Azure Key Vault。 Azure Key Vault 为应用程序机密(如数据库连接字符串、API 密钥、客户托管密钥(CMK)、密码和加密密钥等应用程序机密提供了安全的集中式存储库。 使用密钥保管库无需直接将敏感信息硬编码到应用程序代码或配置文件中,从而减少意外泄露的风险。
有关详细信息, 请参阅关于 Azure Key Vault。
网络安全
Azure Translator 处理来自应用程序的敏感数据。 因此,必须建立强大的网络隔离措施,以防止未经授权的访问,并确保翻译的内容保持安全。 以下列表概述了有助于有效管理安全访问的关键做法:
配置专用终结点:通过为 API 请求配置专用终结点来提高防护力度。 此方法增强了安全性,并为 Azure Translator 资源提供增强的网络隔离。
有关详细信息, 请参阅将专用终结点与 Azure AI 服务配合使用。实现虚拟网络服务终结点:通过限制网络访问以仅允许源自 Azure 虚拟网络的流量来增强安全措施。 同时,确保通过使用 Microsoft 主干网络来保持所有通信的最佳路由。
配置防火墙规则:通过指定允许访问 Translator 资源的特定 IP 地址或范围来提高安全性。 以这种方式限制访问可最大程度地减少来自不熟悉网络未经授权的连接的可能性。
有关详细信息,请参阅防火墙后的 Azure Translator。使用特定于区域的终结点:利用地理终结点增强安全性和合规性。 此方法可确保流量保留在指定区域内,并支持遵守数据驻留法规。 有关详细信息,请参阅防火墙后的 Azure Translator。
数据保护
Azure 翻译器处理敏感文本和文档内容。 由于此信息的机密性质,实施可靠的数据保护措施至关重要。 这些安全措施不仅对维护所处理数据的隐私和机密性至关重要,而且要确保遵守相关法规和行业标准。
启用静态数据加密:确保在服务存储时使用符合联邦信息处理标准(FIPS)140-2 的 256 位高级加密标准(AES)自动加密数据。
有关详细信息,请参阅Microsoft 符合性。实现客户管理的密钥(CMK):若要实现对加密密钥管理的增强控制,请集成 Azure Key Vault 为翻译资源配置客户管理的密钥。 选择包含对客户管理的密钥功能的支持的定价层时,可以访问此功能。
查看 No-Trace 策略的详细信息:翻译器不会保留提交用于文本翻译的客户数据;它处理数据而不存储数据。 对于文档翻译,数据仅在处理过程中暂时存储,之后不会保留。
遵循数据驻留要求:为了确保部署遵守区域数据驻留法规,请选择翻译器指定的地理终结点。 使用这些端点以保持符合本地要求。
有关详细信息,请参阅防火墙后的 Azure Translator。
日志记录和监控
建立可靠的日志记录和监视对于识别潜在安全威胁和解决 Azure Translator 部署中的问题至关重要。 通过确保全面跟踪所有相关活动和异常,可以增强整体安全状况,并在整个基于云的翻译环境中简化故障排除过程。
启用诊断日志记录:配置 Azure Monitor 以从 Translator 收集和分析日志,以识别潜在的安全问题、跟踪使用模式以及解决问题。
有关详细信息, 请参阅适用于 Azure AI 服务的 Azure Monitor。为异常活动设置警报:创建 Azure Monitor 警报,以通知异常使用模式、潜在的安全漏洞或服务中断,从而影响翻译器资源。
有关详细信息, 请参阅使用 Azure Monitor 创建、查看和管理指标警报。配置审核日志:启用和查看审核日志,以监视翻译器资源的访问和更改。 审核日志可确保您了解谁正在使用您的服务以及正在执行哪些操作。
有关详细信息, 请参阅Azure Monitor 中的资源日志。实现请求速率监视:监视 API 请求速率,以检测潜在的拒绝服务攻击或未经授权的使用,确保服务仍可供合法使用。
有关详细信息, 请参阅Azure Translator 的服务和请求限制。
合规性和治理
若要确保 Azure Translator 服务的安全作,需要制定可靠的治理框架,并一致地遵守所有相关标准。 通过建立全面的策略和程序,可以有效地保护系统、维护法规遵从性,并最大程度地降低潜在风险,最终提供可靠且安全的服务。
查看适用于 AI 服务的 Azure Policy:实施 Azure Policy 以强制实施适用于 AI 服务的组织范围的安全标准,包括网络隔离要求。
有关详细信息, 请参阅Azure AI 服务的 Azure Policy 法规符合性控制措施。定期进行安全评估:持续评估翻译器部署的安全状态,并确保它们符合行业标准和组织策略。 及时检测并解决出现的任何潜在漏洞。
有关详细信息, 请参阅Azure 云安全基准。维护法规合规性:配置翻译器,以遵守适用于你的行业和地理区域的所有相关法律和法规。 请务必特别注意与数据隐私和保护相关的任何要求。
实现人工监督:对于敏感的翻译方案,请实现人工评审工作流来验证翻译准确性。 此过程可确保在广泛分发之前,所有内容都符合组织标准。