Azure 是一个受到数百万客户信赖的创新平台,目前有超过 60,000 名客户正在使用 Azure AI,通过 AI 将他们的雄心勃勃的想法变为现实。Azure AI Studio是一个值得信赖的企业级平台,可用于大规模构建、测试、部署和管理生成式 AI 应用程序。企业级就绪涵盖了企业客户对 Azure 的诸多期望,从使用虚拟网络保护资源到数据加密。
参考内容:微软Azure OpenAI免费试用
在这篇博客中,我们将回顾每个 IT 管理员、安全工程师或开发人员在 Azure AI Studio 中规划企业应用程序时应该了解的五项功能。
#1 使用中心和项目来简化安全工作区设置
在 Azure AI Studio 中,团队可以在两个层面上工作:中心和项目。通常,中心由 IT 管理员或技术主管管理。这些 IT 管理员或技术主管可以使用中心来管理基础结构(包括虚拟网络设置、客户管理密钥、托管标识和策略)并配置相关的 Azure AI 服务。
每个中心通常包含一个或多个项目。项目充当独立的开发空间,允许开发人员和数据科学家构建、测试和部署 AI 系统。每次在中心内创建新项目时,它都会自动继承该中心的安全设置。这意味着开发人员可以创建自己的项目并快速深入研究他们的想法,因为他们知道正确的安全防护措施已经到位。这也意味着 IT 管理员不会感到自己成为快速创新的瓶颈。开始使用中心和项目:使用中心进行管理、协作和组织。
#2使用私有端点保护中心、项目和聊天室
专用端点是特定资源的网络接口,为其提供从虚拟网络 (VNET) 分配的专用 IP 地址。启用后,与该资源的入站和出站通信只能通过 VNET 进行。这种设置在希望通过精细的资源级控制来改善安全状况的企业中越来越受欢迎。
为了保护对中心和项目的入站访问,请禁用所有资源的公共网络访问。禁用公共网络访问标志可确保对中心的入站访问是私密的,仅允许通过私有端点进行入站访问。为实现最安全的设置,请确保对以下资源禁用公共网络访问标志:
- 人工智能工作室
- 人工智能服务
- Azure OpenAI
- 人工智能搜索
- 默认资源-存储、Key Vault、Azure 容器注册表(可选)
要在 AI Studio 的聊天游乐场中安全地与您的企业数据聊天,请确保在您的资源上设置以下内容并参考我们的文档:
- 禁用公共网络访问标志,并确保创建从 AI Studio 管理的 VNET 到 Azure 资源的私有端点
- Microsoft Entra ID 被选为 AI Search、AI Services、Azure OpenAI 和 Storage 的服务身份验证
- 为服务权限启用了 Azure 基于角色的访问控制 (RBAC)Azure Role-based access control (RBAC) is enabled for service permissions
- 启用受信任的服务,以便在 Azure 资源之间安全地发送数据
有关更多详细信息,请参阅我们的文档:安全使用游乐场聊天 - Azure AI Studio。
在 AI Studio 中安全地使用聊天游乐场,并在 AI 中心、AI 搜索、AI 服务和存储上禁用公共访问和私有端点。
为了保护来自中心和项目的出站访问,我们建议启用托管虚拟网络隔离。借助托管虚拟网络,您可以使用单个托管网络集中管理中心内所有项目的计算出口网络隔离。这可以实现更简化的网络配置和管理。要开始使用,请阅读我们的文档:如何为 Azure AI Studio 配置托管网络。
#3 使用 Microsoft Entra ID 实现无凭证
为了在授予和限制项目用户时获得更多控制权,您可以创建以Microsoft Entra ID作为身份验证类型的连接。Entra ID 允许管理员为用户分配特定角色和访问权限。这是访问资源最安全的方式,现在已为 Azure AI Studio 中的 Azure OpenAI 服务、AI 服务和 AI 搜索连接启用了它。使用 Entra ID,您可以一致地实施访问控制和权限,从而降低未经授权访问您的资源和项目的风险。从代码示例开始或查看我们的文档:Azure AI Studio 中的基于角色的访问控制。
在 AI Studio 中将您的工作区连接身份验证类型设置为 Microsoft Entra ID。
4. 自带加密密钥(BYO 密钥)
为了支持 Azure AI Studio 中最机密的数据工作负载,您可以使用客户管理的密钥加密来保护您的数据。在 AI Studio 中使用客户管理的密钥加密可确保您完全控制数据安全,从而允许您根据组织的策略管理密钥。这些控制措施增强了对监管要求的遵守,并提供了额外的保护层。从我们关于 Azure AI 服务的客户管理密钥的文档开始 ,或按照我们的文档步骤安全地使用 Azure AI Studio 聊天游乐场。
设置自定义管理密钥来加密新的 Azure AI 中心。
#5 使用 Azure AI Studio 的 Bicep 模板开始
准备好开始,但不确定从哪里开始? Azure AI 提供了涵盖企业安全功能的Bicep模板,使您可以更轻松地立即基于最佳实践进行构建。 Bicep 为 Azure 中的基础设施即代码解决方案提供了一流的创作体验。 在 Bicep 文件中,您可以定义要部署到 Azure 的基础设施,然后在整个开发生命周期中使用该文件以一致的方式重复部署基础设施。 Bicep 提供简洁的语法、可靠的类型安全性和对代码重用的支持。 查看这些 Bicep 模板以开始使用:
- AI Studio 基础知识 - Github
- AI Studio 客户管理密钥 - Github
- AI Studio Microsoft Entra ID Passthrough - Github
- AI Studio 网络隔离允许互联网出站 - Github
- AI Studio 网络隔离仅允许批准的出站 - Github
使用 Azure AI Studio 构建安全、可投入生产的 GenAI 应用
安全是 Microsoft 的首要任务,我们扩展的安全未来计划 (SFI) 强调了全公司的承诺和我们为客户带来更多安全感的责任。SFI遵循三项原则:设计安全、默认安全和安全操作。 我们将这些原则应用于 Microsoft Copilot 等 AI 服务以及我们的工程师和客户用于构建自定义应用的 AI 开发平台,例如 Azure AI Studio。
