Saya lanjutkan catatan dari training Azure AI102, kali ini tentang cognitive service security. Akses ke cognitive sevice resource dibatasi dengan subscription keys. Pengamanan akses ke keys (kunci) ini adalah isu keamanan yang utama. Azure menyarankan untuk melakukan generate ulang kunci secara teratur, untuk mencegah penyalahgunaan akses. Generate ulang kunci bisa dilakukan di portal azure, atau bisa menggunakan perintah di cli:

azcognitiveservices account keys regenerate

Setiap cognitive service memiliki 2 kunci. Sehingga proses generate kunci tidak akan mengganggu layanan. Azure menyarankan proses generate ulang kunci dengan tahapan berikut: a) ubah semua aplikasi untuk menggunakan kunci 2; b) generate ulang kunci 1; c) ubah semua aplikasi untuk menggunakan kunci 1; d) generate ulang kunci 2

Pengamanan lainnya adalah dengan menggunakan Azure key vault, ini adalah layanan untuk menyimpan password dan kunci. Akses ke keyvault diberikan ke security principals, maksusnya user yang mendapat otentikasi menggunakan azure active directory (azure AD). Admin bisa menetapkan security principal pada sebuah aplikasi, yang kemudian disebut service principal, untuk mengatar managed identity untuk aplikasi. Aplikasi dapat menggunakan identitasi ini untuk mengakses key vault dan mendapatkan kunci yang disimpan disana. Cara ini dapat meminimalkan resiko peretasan pada password yang di hard-coded pada aplikasi atau disimpan pada file konfig.

Subscription keys dapat disimpan pada azure key vault ini dan dapat mengatur managed identity ke aplikasi klien yang perlu menggunakan layanan. Apikasi dapat mengakses kunci dari key vault tanpa resiko peretasan.

Sampai disini dulu, semoga bermanfaat!