OpenAI - Konfiguracja bezpieczeństwa - Pozostałe
🔶 Jak poprawnie skonfigurować Azure OpenAI podczas wdrożenia?
W poprzednich dwóch wpisach omówiłem ustawienia sieciowe oraz ochronę danych.
Pozostało nam kilka istotnych elementów z pozostałych kategorii, o których należy pamiętać:
🔶 IM-1: Użycie EntraID na potrzeby uwierzytelniania
Domyślnie zalecam Ci używanie EntraID na potrzeby uwierzytelniania użytkowników i aplikacji. Uwierzytelnianie za pomocą kluczy powinno być domyślnie wyłączone i blokowane przez politykę.
Może się jednak zdarzyć, że biblioteki lub rozwiązania integrujące się z OpenAI nie potrafią posłużyć się logowaniem z EntraID. Wykonujemy wtedy analizę ryzyka i docelowo włączamy klucze jako odstępstwo od polityki.
🔶 IM-3: Użycie tożsamości zarządzanej (MSI) dla OpenAI
W tym obszarze sprawa jest prosta. Używamy MSI (Managed Identity) gdzie i kiedy się da, a jego włączenie powinno być wymuszane polityką.
🔶 PA-7: Zapewnienie dostępu administracyjnego do usługi
Dostęp konfigurujemy przy pomocy RBAC (role-based access control). Zwróć szczególną uwagę na te dwie wbudowane role: Cognitive Services OpenAI User – odczyt i użycie modeli dostarczanych w ramach usługi, w tym dostęp do kluczy i adresów usługi. Cognitive Services OpenAI Contributor – modyfikacja modeli, tworzenie własnych modeli i dostarczanie źródeł danych do trenowania modeli.
🔶 PA-8: Dostęp dla działów wsparcia Microsoft
Jeśli wymagają tego względy regulacyjne, włącz Customer Lockbox.
🔶 LT-3/4: Zbieranie logów
Skonfiguruj zbieranie logów poprzez Diagnostic Settings usługi i wysyłaj je do odpowiednich instancji Log Analytics. Warto pomyśleć o równoległym wysyłaniu logów do LA zespołu utrzymaniowego i LA działu bezpieczeństwa. Jakie logi wysyłać – zarówno logi audytowe, jak też logi request response. Niemal zapomniałem, do tego też przyda się polityka, by nic nie uciekło, kiedy zaczniemy te logi przeszukiwać.
PS. Zapraszam do obserwowania mojego profilu 👨💻. Już niedługo opublikuję serię wpisów na temat zarządzania API oraz jak do tego podejść w kontekście usług AI z Microsoftu.
Oryginalnie opublikowane na LinkedIn
Comments