Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Pesquisa de IA do Azure oferece controles de segurança abrangentes em acesso à rede, acesso a dados e proteção de dados para atender aos requisitos corporativos. Como arquiteto de soluções, você deve entender três domínios de segurança principais:
- Padrões de tráfego de rede e segurança de rede: entrada, saída e tráfego interno.
- Mecanismos de controle de acesso: chaves de API ou Microsoft Entra ID com funções.
- Residência e proteção de dados: criptografia em trânsito, em uso com computação confidencial opcional e inativa com criptografia dupla opcional.
Um serviço de pesquisa dá suporte a várias topologias de segurança de rede, desde restrições de firewall de IP para proteção básica até pontos de extremidade privados para isolamento de rede completo. Opcionalmente, use um perímetro de segurança de rede para criar um limite lógico em torno dos seus recursos do Azure PaaS. Para cenários corporativos que exigem permissões granulares, você pode implementar controles de acesso no nível do documento. Todos os recursos de segurança se integram à estrutura de conformidade do Azure e dão suporte a padrões empresariais comuns, como autenticação multilocatário e entre serviços, usando identidades gerenciadas.
Este artigo detalha as opções de implementação para cada camada de segurança para ajudá-lo a projetar arquiteturas de segurança apropriadas para ambientes de desenvolvimento e produção.
Padrões de tráfego de rede
Um serviço de Pesquisa de IA do Azure pode ser hospedado na nuvem pública do Azure, na nuvem privada do Azure ou em uma nuvem soberana (como a Azure Governamental). Por padrão, para todos os hosts em nuvem, o serviço de pesquisa é normalmente acessado por aplicativos cliente por meio de conexões de rede pública. Embora esse padrão seja predominante, não é o único padrão de tráfego com o qual você precisa se preocupar. Entender todos os pontos de entrada e também o tráfego de saída é o conhecimento necessário para proteger seus ambientes de desenvolvimento e produção.
O Azure AI Search tem três padrões básicos de tráfego de rede:
- Solicitações de entrada feitas por um cliente para o serviço de pesquisa (o padrão predominante)
- Solicitações de saída emitidas pelo serviço de pesquisa para outros serviços no Azure e em outro lugar
- Solicitações internas de serviço a serviço na rede de backbone protegida da Microsoft
Tráfego de entrada
As solicitações de entrada que têm como alvo um ponto de extremidade do serviço de pesquisa incluem:
- Criar, ler, atualizar ou excluir índices e outros objetos no serviço de pesquisa
- Carregar um índice com documentos de pesquisa
- Consultar um índice
- Executar trabalhos do indexador ou do conjunto de habilidades
As APIs REST descrevem a gama completa de solicitações de entrada que são tratadas por um serviço de pesquisa.
No mínimo, todas as solicitações de entrada devem ser autenticadas usando uma destas opções:
- Autenticação baseada em chave (padrão). As solicitações de entrada fornecem uma chave de API válida.
- Controle de acesso baseado em função. A autorização é feita por meio de identidades do Microsoft Entra e atribuições de funções em seu serviço de pesquisa.
Além disso, é possível adicionar recursos de segurança de rede para restringir ainda mais o acesso ao ponto de extremidade. Crie regras de entrada em um firewall de IP ou crie pontos de extremidade privados que protegem totalmente o serviço de pesquisa da internet pública.
Tráfego de saída
As solicitações de saída podem ser protegidas e gerenciadas por você. As solicitações de saída são originadas de um serviço de pesquisa para outros aplicativos. Essas solicitações são normalmente feitas por indexadores para indexação multimodal e baseada em texto, enriquecimento de IA personalizado baseado em habilidades e vetorização no momento da consulta. As solicitações de saída incluem operações de leitura e gravação.
A lista a seguir é uma enumeração completa das solicitações de saída para as quais você pode configurar conexões seguras. Um serviço de pesquisa faz solicitações em seu próprio nome e em nome de um indexador ou habilidade personalizada.
| Operation | Scenario |
|---|---|
| Indexers | Conectar-se a fontes de dados externas para recuperar dados (acesso de leitura). Para obter mais informações, consulte Acesso do indexador ao conteúdo protegido pela segurança da rede do Azure. |
| Indexers | Conectar-se ao Armazenamento do Azure para operações de gravação em repositórios de conhecimento, enriquecimentos em cache, sessões de depuração. |
| Habilidades personalizadas | Conectar-se a funções do Azure, aplicativos Web do Azure ou outros aplicativos que executam código externo hospedado fora do serviço. A solicitação de processamento externo é enviada durante a execução do conjunto de habilidades. |
| Indexadores e vetorização integrada | Conectam-se ao OpenAI do Azure e a um modelo de incorporação implantado, ou passam por uma habilidade personalizada para se conectar a um modelo de incorporação fornecido por você. O serviço de pesquisa envia texto para modelos de incorporação para vetorização durante a indexação. |
| Vectorizers | Conecte-se ao OpenAI do Azure ou a outros modelos de incorporação no momento da consulta para converter as cadeias de texto do usuário em vetores para pesquisa vetorial. |
| Agentes de conhecimento | Conectar-se a modelos de conclusão de chat para planejamento de consultas recuperação por meio de agentes e também para formular respostas baseadas em resultados de pesquisa. Se você estiver implementando um padrão básico RAG, sua lógica de consulta chamará um modelo de conclusão de chat externo para formular uma resposta baseada em resultados de pesquisa. Para esse padrão, a conexão com o modelo usa a identidade do cliente ou do usuário. A identidade do serviço de pesquisa não é usada para a conexão. Por outro lado, se você usar agentes de conhecimento em um padrão de recuperação RAG, a solicitação de saída será feita pela identidade gerenciada do serviço de pesquisa. |
| serviço Pesquisa | Conecte-se ao Azure Key Vault para obter chaves de criptografia gerenciadas pelo cliente, usadas para criptografar e descriptografar dados confidenciais. |
Conexões de saída podem ser feitas, em geral, usando a cadeia de conexão de acesso total do recurso, que inclui uma chave ou um logon de banco de dados, ou uma identidade gerenciada se você estiver usando o Microsoft Entra ID e o acesso baseado em função.
Para acessar recursos do Azure por trás de um firewall, crie regras de entrada em outros recursos do Azure que admitam solicitações de serviço de pesquisa.
Para acessar recursos do Azure protegidos pelo Link Privado do Azure, crie um link privado compartilhado que um indexador usa para fazer sua conexão.
Exceção para serviços de pesquisa e armazenamento na mesma região
Se o Armazenamento do Microsoft Azure e a Pesquisa de IA do Azure estiverem na mesma região, o tráfego de rede será roteado por meio de um endereço IP privado e ocorrerá na rede de backbone da Microsoft. Como endereços IP privados são usados, não é possível configurar firewalls de IP nem um ponto de extremidade privado para segurança de rede.
Configure conexões da mesma região usando uma das seguintes abordagens:
Tráfego interno
As solicitações internas são protegidas e gerenciadas pela Microsoft. Não é possível configurar ou controlar essas conexões. Se você estiver bloqueando o acesso à rede, nenhuma ação de sua parte será necessária porque o tráfego interno não é configurável pelo cliente.
O tráfego interno consiste em:
- Chamadas de serviço a serviço para tarefas como autenticação e autorização por meio do Microsoft Entra ID, registro de recursos enviado ao Azure Monitor e conexões de ponto de extremidade privado que utilizam o Link Privado do Azure.
- Solicitações de processamento de habilidades internas, com solicitações na mesma região direcionadas a um recurso multissserviço da IA do Azure hospedado internamente, usado exclusivamente para processamento de habilidades internas pela Pesquisa de IA do Azure.
- Solicitações feitas aos vários modelos que dão suporte à classificação semântica.
Segurança de rede
A segurança de rede protege os recursos contra acesso ou ataque não autorizado aplicando controles ao tráfego de rede. A Pesquisa de IA do Azure dá suporte para recursos de rede que podem ser sua linha de frente de defesa contra acesso não autorizado.
Conexão de entrada por meio de firewalls IP
Um serviço de pesquisa é provisionado com um ponto de extremidade público que permite o acesso por meio de um endereço IP público. Para restringir qual tráfego entra por meio do ponto de extremidade público, crie uma regra de firewall de entrada que admita solicitações de um endereço IP específico ou um intervalo de endereços IP. Todas as conexões de cliente devem ser feitas por meio de um endereço IP com permissão, ou a conexão é negada.
Você pode usar o portal do Azure para configurar o acesso ao firewall.
Como alternativa, pode-se usar as APIs REST de gerenciamento. A partir da versão de API 2020-03-13 com o parâmetro IpRule, você pode restringir o acesso ao seu serviço identificando endereços IP individualmente ou em um intervalo, para os quais deseja conceder acesso ao serviço de pesquisa.
Conexão de entrada para um ponto de extremidade privado (isolamento de rede, sem tráfego de internet)
Para ter uma segurança mais rigorosa, estabeleça um ponto de extremidade privado para o Azure AI Search, que permite que um cliente em uma rede virtual, acesse os dados com segurança em um índice de pesquisa por meio de um Link Privado.
O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para conexões com seu serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e o link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública. Uma rede virtual permite a comunicação segura entre recursos, com sua rede local e com a Internet.
Embora essa solução seja a mais segura, o uso de mais serviços representa um custo adicional, ou seja, verifique se entendeu claramente os benefícios antes de optar por ela. Para mais informações sobre custos, veja a página de preços. Para obter mais informações sobre como esses componentes funcionam juntos, assista a este vídeo. A cobertura da opção pelo ponto de extremidade privado começa no minuto 5:48 do vídeo. Para obter instruções sobre como configurar o ponto de extremidade, confira Criar um Ponto de extremidade Privado para o Azure AI Search.
Perímetro de segurança da rede
Um perímetro de segurança de rede é um limite de rede lógica em torno de seus recursos paaS (plataforma como serviço) que são implantados fora de uma rede virtual. Ele estabelece um perímetro para controlar o acesso à rede pública a recursos como o Azure AI Search, o Armazenamento do Azure e o Azure OpenAI. Você pode conceder exceções por meio de regras de acesso explícitas para o tráfego de entrada e saída. Essa abordagem ajuda a evitar a exfiltração de dados, mantendo a conectividade necessária para seus aplicativos.
Conexões de cliente de entrada e conexões de serviço a serviço ocorrem dentro do limite, o que simplifica e fortalece suas defesas contra acesso não autorizado. É comum em soluções do Azure AI Search usar vários recursos do Azure. Todos os recursos a seguir podem ser unidos a um perímetro de segurança de rede existente:
- Pesquisa de IA do Azure
- OpenAI do Azure
- Azure Storage
- Azure Monitor
Para obter uma lista completa de serviços qualificados, consulte Recursos de link privado integrados.
Authentication
Depois que uma solicitação é admitida pelo serviço de pesquisa, ela ainda precisa passar pela autenticação e pela autorização que determina se a solicitação é permitida. O AI Search dá suporte a duas abordagens:
A autenticação do Microsoft Entra estabelece o chamador (e não a solicitação) como a identidade autenticada. Uma atribuição de função do Azure determina a autorização.
A autenticação baseada em chave é realizada na solicitação (não no usuário ou no aplicativo de chamada) por meio de uma chave de API, em que a chave é uma cadeia de caracteres composta por números e letras gerados aleatoriamente que provam que a solicitação é de uma fonte confiável. As chaves são necessárias em cada solicitação. O envio de uma chave válida é considerado uma prova de que a solicitação se origina de uma entidade confiável.
A dependência da autenticação baseada em chave de API significa que você deve ter um plano para regenerar a chave de administrador em intervalos regulares, de acordo com as práticas recomendadas de segurança do Azure. Pode haver no máximo duas chaves de administrador por serviço de pesquisa. Para saber mais sobre segurança e gerenciamento de chaves de API, consulte Criar e gerenciar chaves de API.
A autenticação baseada em chave é padrão para operações do plano de dados (criação e uso de objetos no serviço de pesquisa). Você pode usar ambos os métodos de autenticação ou desabilitar uma abordagem que não deseja que esteja disponível em seu serviço de pesquisa.
Authorization
O Azure AI Search fornece modelos de autorização para gerenciamento de serviços e de conteúdo.
Acesso privilegiado
Em um novo serviço de pesquisa, as atribuições de função existentes no nível da assinatura são herdadas pelo serviço de pesquisa, e somente Proprietários e Administradores de Acesso de Usuário podem conceder acesso.
As tarefas de operações do plano de controle (criação e gerenciamento de serviços ou recursos) são autorizadas exclusivamente por meio de atribuições de função, sem a possibilidade de usar autenticação baseada em chave para administração de serviços.
As operações do plano de controle incluem criar, configurar ou excluir o serviço e gerenciar a segurança. Dessa forma, as atribuições de função do Azure determinarão quem pode executar essas tarefas, independentemente de estarem usando o portal, o PowerShell ou as APIs REST de gerenciamento.
Três funções básicas (Proprietário, Colaborador, Leitor) se aplicam à administração do serviço de pesquisa.
Note
Usando mecanismos do Azure, você pode bloquear uma assinatura ou um recurso para impedir a exclusão acidental ou não autorizada do seu serviço de pesquisa por usuários com direitos de administrador. Para obter mais informações, confira Bloquear recursos para impedir exclusão inesperada.
Autorizar o acesso ao conteúdo
As operações do plano de dados referem-se aos objetos criados e usados em um serviço de pesquisa.
Para autorização baseada em função, use as atribuições de função do Azure para estabelecer o acesso de leitura e gravação às operações.
Em caso de autorização baseada em chave, uma chave de API e um ponto de extremidade qualificado determinam o acesso. Um ponto de extremidade pode ser o próprio serviço, a coleção de índices, um índice específico, uma coleção de documentos ou um documento específico. Quando encadeados, o ponto de extremidade, a operação (por exemplo, uma solicitação de criação) e o tipo de chave (administrador ou consulta) autorizam o acesso ao conteúdo e às operações.
Restringindo o acesso a índices
Com o uso de funções do Azure, você poderá definir permissões em índices individuais, desde que isso seja feito programaticamente.
Com o uso de chaves, qualquer pessoa com uma chave de administrador para seu serviço pode ler, modificar ou excluir um índice no mesmo serviço. Para proteção contra exclusão de índices acidental ou mal-intencionada, o controle do código-fonte interno para ativos de código é a solução para reverter uma modificação ou exclusão de índice indesejada. O Azure AI Search tem failover dentro do cluster para garantir a disponibilidade, mas ele não armazena nem executa seu código proprietário usado para criar ou carregar índices.
Em soluções multilocatário que exigem limites de segurança no nível do índice, é comum lidar com o isolamento de índice na camada intermediária no código do aplicativo. Para saber mais sobre o caso de uso de vários locatários, confira Criar padrões para aplicativos SaaS multilocatários e para o Azure AI Search.
Restringindo o acesso a documentos
As permissões de usuário no nível do documento, também conhecidas como segurança em nível de linha, estão disponíveis como um recurso de visualização e dependem da fonte de dados. Se o conteúdo se originar do Azure Data Lake Storage (ADLS) Gen2 ou blobs do Azure, os metadados de permissão do usuário que se originam no Armazenamento do Azure serão preservados em índices gerados pelo indexador e aplicados no momento da consulta para que apenas o conteúdo autorizado seja incluído nos resultados da pesquisa.
Para outras fontes de dados, você pode enviar um payload de documento que inclua metadados de permissões de usuário ou grupo, e essas permissões são mantidas no conteúdo indexado e também aplicadas no momento da consulta. Essa funcionalidade também está em versão prévia.
Se você não puder usar recursos de visualização e precisar de acesso autorizado por conteúdo nos resultados da pesquisa, haverá uma técnica para aplicar filtros que incluem ou excluem documentos com base na identidade do usuário. Essa solução alternativa adiciona um campo de cadeia de caracteres à fonte de dados que representa um grupo ou uma identidade de usuário, que você pode tornar filtrável no índice. Para obter mais informações sobre esse padrão, consulte o Corte de segurança com base em filtros de identidade. Para obter mais informações sobre o acesso a documentos, consulte o controle de acesso no nível do documento.
Residência de dadosResidência de dados
Ao configurar um serviço de pesquisa, você escolhe uma região que determina onde os dados do cliente são armazenados e processados. Cada região existe dentro de uma área geográfica (Geo) que geralmente inclui várias regiões (por exemplo, Suíça é uma área geográfica que contém o Norte da Suíça e o Oeste da Suíça). A Pesquisa de IA do Azure pode replicar seus dados para outra região na mesma área geográfica para durabilidade e alta disponibilidade. O serviço não armazenará nem processará dados do cliente fora da área geográfica especificada, a menos que você configure um recurso que tenha uma dependência em outro recurso do Azure e esse recurso seja provisionado em uma região diferente.
Atualmente, o único recurso externo no qual um serviço de pesquisa grava é o Armazenamento do Microsoft Azure. A conta de armazenamento é uma que você fornece e pode estar em qualquer região. Um serviço de pesquisa gravará no Armazenamento do Azure se você usar qualquer um dos seguintes recursos:
Para obter mais informações sobre residência de dados, confira residência de dados no Azure.
Exceções aos compromissos de residência de dados
Os nomes de objetos aparecem nos logs de telemetria usados pela Microsoft para fornecer suporte para o serviço. Os nomes de objetos são armazenados e processados fora da sua região ou localização selecionada. Os nomes de objetos incluem nomes de índices e campos de índice, aliases, indexadores, fontes de dados, conjuntos de habilidades, mapas de sinônimos, recursos, contêineres e repositório de cofre de chaves. Os clientes não devem colocar dados pessoais em campos de nomes nem criar aplicativos projetados para armazenar dados confidenciais nesses campos.
Os logs de telemetria são retidos por um ano e meio. Durante esse período, a Microsoft poderá acessar e referenciar nomes de objetos nas seguintes condições:
Diagnosticar um problema, aprimorar um recurso ou corrigir um bug. Nesse cenário, o acesso a dados é somente interno, sem acesso de terceiros.
Durante o suporte, essas informações podem ser usadas para fornecer uma solução rápida para os problemas e escalar a equipe do produto, se necessário
Proteção de dados
Na camada de armazenamento, a criptografia de dados é interna para todo o conteúdo gerenciado pelo serviço salvo em disco, incluindo índices, mapas de sinônimos e as definições de indexadores, fontes de dados e conjunto de habilidades. A criptografia gerenciada pelo serviço se aplica ao armazenamento de dados de longo prazo e ao armazenamento de dados temporário.
Opcionalmente, é possível adicionar as CMKs (chaves gerenciadas pelo cliente) para criptografia complementar de conteúdo indexado para criptografia dupla de dados inativos. Para serviços criados após 1º de agosto de 2020, a criptografia de CMK se estende aos dados de curto prazo em discos temporários.
Dados em trânsito
Para conexões de serviço de pesquisa pela Internet pública, a Pesquisa de IA do Azure escuta a porta HTTPS 443.
A Pesquisa de IA do Azure dá suporte ao protocolo TLS 1.2 e 1.3 para criptografia de canal cliente a serviço:
- O TLS 1.3 é o padrão em sistemas operacionais cliente e versões mais recentes do .NET.
- O TLS 1.2 é o padrão em sistemas mais antigos, mas você pode definir explicitamente o TLS 1.3 em uma solicitação de cliente.
Não há suporte para versões anteriores do TLS (1.0 ou 1.1).
Para obter mais informações, confira o suporte ao TLS no .NET Framework.
Dados em uso
Por padrão, o Azure AI Search implanta seu serviço de pesquisa na infraestrutura padrão do Azure. Essa infraestrutura criptografa dados em repouso e em trânsito, mas não protege os dados enquanto eles estão sendo processados ativamente na memória.
Opcionalmente, você pode usar o portal do Azure ou serviços – Criar ou atualizar (API REST) para configurar a computação confidencial durante a criação do serviço. A computação confidencial protege os dados em uso contra acesso não autorizado, inclusive da Microsoft, por meio de atestado de hardware e criptografia. Para obter mais informações, consulte casos de uso de computação confidencial.
A tabela a seguir compara os dois tipos de computação.
| Tipo de computação | Description | Limitações | Custo | Disponibilidade |
|---|---|---|---|---|
| Padrão | Processa dados em VMs padrão com criptografia interna para dados em repouso e em trânsito. Não há isolamento de hardware para os dados em uso. | Sem limitações. | Nenhuma alteração no custo base dos níveis gratuitos ou faturáveis. | Disponível em todas as regiões. |
| Confidencial | Processa dados em VMs confidenciais (DCasv5 ou DCesv5) em um ambiente de execução confiável baseado em hardware. Isola os cálculos e a memória do sistema operacional host e de outras VMs. | Desabilita ou restringe a recuperação agêntica, o classificador semântico, a reescrita de consulta, a execução do conjunto de competências e os indexadores executados no ambiente multilocatário1. | Adiciona uma sobretaxa de 10% ao custo base das camadas faturáveis. Para saber mais, confira a página de preço. | Disponível em algumas regiões. Para obter mais informações, consulte a lista de regiões com suporte. |
1 Quando você habilita esse tipo de computação, os indexadores só podem ser executados no ambiente de execução privada, o que significa que eles são executados nos clusters de pesquisa hospedados na computação confidencial.
Importante
Recomendamos apenas a computação confidencial para organizações cujos requisitos de conformidade ou regulamentação exigem proteção de dados em uso. Para uso diário, o tipo de computação padrão é suficiente.
Dados em repouso
Para dados manipulados internamente pelo serviço de pesquisa, a tabela a seguir descreve os modelos de criptografia de dados. Alguns recursos, como armazenamento de conhecimento, enriquecimento incremental e indexação baseada em indexador, leem ou gravam em estruturas de dados em outros serviços do Azure. Os serviços que têm uma dependência no Armazenamento do Microsoft Azure podem usar os recursos de criptografia dessa tecnologia.
| Model | Keys | Requirements | Restrictions | Aplica-se a |
|---|---|---|---|---|
| Criptografia no servidor | Chaves gerenciadas pela Microsoft | Nenhum (interno) | Nenhum, disponível em todas as camadas, em todas as regiões, para conteúdos criados após 24 de janeiro de 2018. | Conteúdo (índices e mapas de sinônimos) e definições (indexadores, fontes de dados, conjuntos de habilidades) em discos de dados e discos temporários |
| Criptografia no servidor | Chaves gerenciadas pelo cliente | Azure Key Vault | Disponível em todas as camadas de serviços faturáveis, em regiões específicas, para conteúdos criados após 1º de agosto de 2020. | Conteúdo (índices e mapas de sinônimos) e definições (indexadores, fontes de dados, conjuntos de habilidades) em discos de dados |
| criptografia completa do lado do servidor | Chaves gerenciadas pelo cliente | Azure Key Vault | Disponível em camadas de serviços faturáveis, em todas as regiões, para serviços de pesquisa criados após 13 de maio de 2021. | Conteúdo (índices e mapas de sinônimos) e definições (indexadores, fontes de dados, conjuntos de habilidades) em discos de dados e discos temporários |
Ao introduzir a criptografia da CMK, você está criptografando o conteúdo duas vezes. Para os objetos e campos anotados na seção anterior, o conteúdo é criptografado primeiro com sua CMK e, em segundo lugar, com a chave gerenciada pela Microsoft. O conteúdo é criptografado duplamente em discos de dados para armazenamento de longo prazo e em discos temporários usados para armazenamento de curto prazo.
Chaves gerenciadas pelo serviço
A criptografia gerenciada pelo serviço é uma operação interna da Microsoft que usa criptografia AES de 256 bits. Isso ocorre automaticamente em todas as indexações, incluindo em atualizações incrementais para índices que não estão totalmente criptografados (criados antes de janeiro de 2018).
A criptografia gerenciada pelo serviço aplica-se a todo o conteúdo no armazenamento de longo e curto prazo.
Chaves gerenciadas pelo cliente (CMK)
Os clientes usam o CMK por dois motivos: proteção extra e a capacidade de revogar chaves, impedindo o acesso ao conteúdo.
As chaves gerenciadas pelo cliente exigem outro serviço faturável, o Azure Key Vault, que pode estar em uma região diferente, mas no mesmo locatário do Azure, como o Azure AI Search.
O suporte à CMK foi implantado em duas fases. Se você criou o serviço de pesquisa durante a primeira fase, a criptografia da CMK foi restrita ao armazenamento de longo prazo e a regiões específicas. Os serviços criados na segunda fase podem usar a criptografia CMK em qualquer região. Como parte do lançamento da segunda distribuição, o conteúdo é criptografado pela CMK no armazenamento de longo e curto prazo.
A primeira distribuição foi em 1º de agosto de 2020 e incluiu as cinco regiões a seguir. Os serviços de pesquisa criados nas seguintes regiões dão suporte à CMK para discos de dados, mas não discos temporários:
- Oeste dos EUA 2
- Leste dos EUA
- Centro-Sul dos EUA
- US Gov - Virgínia
- US Gov - Arizona
A segunda distribuição em 13 de maio de 2021 adicionou criptografia para discos temporários e criptografia da CMK estendida para todas as regiões com suporte.
Se você estiver usando a CMK de um serviço criado durante a primeira distribuição e também quiser a criptografia da CMK em discos temporários, precisará criar um novo serviço de pesquisa em sua região de escolha e implantar novamente seu conteúdo. Para determinar a data de criação do serviço, confira Verificar a data de criação ou atualização do serviço.
A habilitação da criptografia CMK aumenta o tamanho do índice e reduz o desempenho da consulta. Com base nas observações até o momento, espera-se um aumento de 30 a 60% nos tempos de consulta, embora o desempenho real varie dependendo da definição de índice e dos tipos de consultas. Devido ao impacto negativo no desempenho, recomendamos que você habilite esse recurso somente em índices que realmente o exijam. Para saber mais, confira Configurar chaves de criptografia gerenciadas pelo cliente no Azure AI Search.
Log e monitoramento
O Azure AI Search não registra as identidades de usuário, ou seja, você não consegue ver os logs para obter informações sobre um usuário específico. No entanto, o serviço registra o log de operações de criação-leitura-atualização-exclusão que você pode correlacionar com outros logs para entender a autoridade de ações específicas.
Usando alertas e a infraestrutura de log no Azure, você pode escolher as consultas com picos de volume ou outras ações que se desviam das cargas de trabalho esperadas. Para obter mais informações sobre como configurar logs, consulte Coletar e analisar dados de log e Monitorar solicitações de consulta.
Conformidade e governança
O Azure AI Search participa de auditorias regulares e foi certificado em relação a vários padrões globais, regionais e específicos de setores, tanto para a nuvem pública quanto para o Azure Governamental. Para obter a lista completa, baixe o whitepaper das Oferta de Conformidade do Microsoft Azure na página de Relatórios oficiais de auditoria.
Recomendamos que você revise regularmente as certificações e a documentação de conformidade da Pesquisa de IA do Azure para garantir a conformidade com suas exigências regulatórias.
Usar o Azure Policy
Para fins de conformidade, use o Azure Policy para implementar as melhores práticas de alta segurança do parâmetro de comparação de segurança da nuvem da Microsoft. O parâmetro de comparação de segurança da nuvem da Microsoft é uma coleção de recomendações de segurança, codificadas em controles de segurança que são mapeadas para as principais ações que você deve executar para reduzir as ameaças a serviços e dados. Atualmente, há 12 controles de segurança, incluindo Segurança de rede, Log e monitoramento e Proteção de dados.
O Azure Policy é uma funcionalidade interna do Azure que ajuda você a gerenciar a conformidade de vários padrões, incluindo o parâmetro de comparação de segurança da nuvem da Microsoft. Para parâmetros de comparação conhecidos, o Azure Policy oferece definições internas que fornecem critérios e uma resposta de qual ação deve ser tomada para resolver a não conformidade.
No Azure AI Search, atualmente, há uma definição interna. Destina-se ao log de recurso. Você pode atribuir uma política que identifica os serviços de pesquisa sem um log de recursos e depois ativá-la. Para sabe mais, confira Controles de Conformidade Regulatória do Azure Policy para o Azure AI Search.
Usar marcações
Aplique rótulos de metadados para categorizar serviços de pesquisa com base na confidencialidade dos dados e nas exigências regulatórias. Isso facilita a governança e os controles de segurança adequados. Para obter mais informações, confira Usar rótulos para organizar seus recursos do Azure e Diretrizes gerais – Organizar recursos do Azure usando rótulos.
Conteúdo relacionado
Também recomendamos o vídeo a seguir sobre os recursos de segurança. Ele tem vários anos e não abrange recursos mais recentes, mas aborda esses recursos: CMK, firewalls de IP e link privado. Se você usar esses recursos, poderá achar esse vídeo útil.