Aspectos de Seguridad OpenaAI y Azure OpenAI
- Leonardo Vazquez Conde
Con el objetivo de ofrecer máxima flexibilidad y seguridad en el uso de OpenAI, Captika está integrado con las dos principales plataformas de OpenAI actualmente disponibles en el mercado:
Plataforma OpenAI Cloud: La empresa creadora de la tecnología OpenAI ofrece una plataforma segura que permite el consumo de sus APIs.
Platafforma Microsoft Azure OpenAI: Plataforma Microsoft Azure OpenAI: Dentro de la plataforma Azure, Microsoft ofrece el servicio Azure OpenAI, que proporciona niveles superiores de seguridad y simplifica la infraestructura para empresas que ya utilizan productos de Microsoft en Azure. Este servicio está disponible en modo de vista previa y requiere completar el siguiente formulario para acceder: https://customervoice.microsoft.com/Pages/ResponsePage.aspx?id=v4j5cvGGr0GRqy180BHbR7en2Ais5pxKtso_Pz4b1_xUOFA5Qk1UWDRBMjg0WFhPMkIzTzhKQ1dWNyQlQCN0PWcu&culture=en-us&country=us
Aspecto de seguridad | OpenAI API | Microsoft Azure OpenAI |
|---|---|---|
Pivacidad de datos No utiliza datos provistos para entrenar modelos | OpenAI no procesa los datos enviados a su API para entrenar sus modelos o mejorar sus servicios. | El Servicio Azure OpenAI no procesa los datos enviados a través de su API para entrenar modelos o mejorar sus ofertas |
Pivacidad de datos Permite activar o desactivar el almacenamiento de los datos para analizar y controlar abusos en el uso de la plataforma | OpenAI almacena los datos recibidos a través de la API con fines de monitoreo para prevenir abusos durante un máximo de 30 días. No obstante, OpenAI permite optar por no participar en este monitoreo, asegurando que tus datos no se almacenen ni procesen en ningún lugar. Esto implica que el ciclo de vida de tus datos comienza y termina con cada llamada a la API. Los datos se envían a través de la API, y la salida se devuelve como respuesta a la llamada a la API. No se recuerda ni almacena ningún dato enviado entre cada solicitud a la API.
Link para optar no almacenar datos de monitoreo: https://docs.google.com/forms/d/e/1FAIpQLScrnC-_A7JFs4LbIuzevQ_78hVERlNqqCPCt3d8XqnKOfdRdQ/viewform?pli=1&fbzx=-8542825855662744033 | Al igual que OpenAI, Microsoft Azure OpenAI almacena los datos enviados a través de la API con fines de monitoreo para prevenir abusos durante un máximo de 30 días. Microsoft también permite optar por no participar en este monitoreo para garantizar que los datos procesados no se almacenan ni procesan en ningún lugar de la nube de Azure.:
 Link para no almacenar datos de monitoreo: https://customervoice.microsoft.com/Pages/ResponsePage.aspx?id=v4j5cvGGr0GRqy180BHbR7en2Ais5pxKtso_Pz4b1_xURE01NDY1OUhBRzQ3MkQxMUhZSE1ZUlJKTiQlQCN0PWcu |
Residencia de datos Permite elegir entre diferentes regiones | OpenAI tiene servidores ubicados en los Estados Unidos. | Microsoft Azure OpenAI permite seleccionar entre diferentes regiones para alojar la aplicación: 
|
Encripción de datos | OpenAI ofrece encriptación de datos para las llamadas REST (AES-256) y para la información en tránsito (TLS 1.2+).
| Azure OpenAI es parte de los servicios de Azure AI. Los datos de los servicios de Azure AI se cifran y descifran utilizando cifrado AES de 256 bits conforme a FIPS 140-2. La encriptación y el desciframiento son transparentes, lo que significa que la encriptación y el acceso se gestionan automáticamente. También existe la opción de administrar su suscripción con sus propias claves, llamadas claves administradas por el cliente (CMK). Las CMK ofrecen una mayor flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También puede auditar las claves de encriptación utilizadas para proteger sus datos. |
Seguridad de los endpoints mediante API Keys | OpenAI proporciona API Keys seguras que deben incluirse como un encabezado de autenticación del tipo Bearer, especificando la clave generada por OpenAI para autenticar y procesar la solicitud. | Azure OpenAI proporciona API Keys para asegurar el consumo de los servicios de OpenAI a través de la API. Este API Key debe ser informado en el header con el siguiente nombre Ocp-Apim-Subscription-Key |
Permite configurar Virtual Networking y Private Link | No disponible. | Azure proporciona herramientas de seguridad de red como VNets y Private Link, que se pueden usar para añadir capas adicionales de seguridad, como el aislamiento de la red, el enrutamiento del tráfico a través de una infraestructura privada en lugar de la Internet pública, y el uso de firewalls para restringir el tráfico entrante a direcciones IP específicas. Estas herramientas pueden utilizarse con el servicio Azure OpenAI. El siguiente gráfico muestra la arquitectura de una propuesta de despliegue utilizando una Virtual Network con monitoreo de actividad y múltiples servicios de OpenAI. Implement Logging and Monitoring for Azure OpenAI Language Models - Azure Architecture Center |
Control de accesos | El acceso a los datos comerciales de la API almacenados en los sistemas OpenAI está restringido a (1) empleados autorizados que necesitan acceso para brindar soporte técnico, investigar posibles abusos de la plataforma y cumplir con obligaciones legales, y (2) contratistas externos especializados que están sujetos a acuerdos de confidencialidad y seguridad, exclusivamente para revisar posibles abusos y mal uso. | Además de la seguridad de red, el control de acceso es una parte crucial de la seguridad de la infraestructura, asegurando que solo las personas autorizadas puedan acceder a los recursos en la nube. Azure ofrece herramientas como Azure AD y Azure RBAC para gestionar esto. |
Certificación y enlaces de seguridadseguridad | Service Trust Portal: https://trust.openai.com/  | Service Trust Portal : Service Trust Portal  |
Seguridad de Captika Software en gestion de APIs
1. Gestión de Claves y Credenciales
Tanto OpenAI como Azure OpenAI requieren una autenticación segura mediante la inclusión de las API keys en los encabezados de las solicitudes HTTPS. Captika permite la encriptación segura de estas API keys utilizando algoritmos Advanced Encryption Standard (AES) en .NET Core/.NET 8.
Estas API keys se almacenan en archivos de contraseñas en la carpeta SecFiles dentro del directorio CaptikaBatches donde se ejecuta la aplicación. Al implementar la solución, el cliente debe controlar el acceso a estos archivos y considerar la rotación de claves.:
Acceso Controlado: Los clientes deben proporcionar acceso restringido a los directorios que contienen estas API keys, limitado al personal autorizado y siguiendo el principio de privilegios mínimos.
Política de Rotación: Se sugiere al cliente final establecer una politica de rotación regular de las API keys para mitigar el riesgo de acceso no autorizado.
2. Comunicación Segura
Uso de HTTPS: Todas las comunicaciones desde Captika hacia las APIs de OpenAI y Azure OpenAI se realizan a través de HTTPS, garantizando la encriptación de datos en tránsito..
Verificación de Certificados: Captika valida la autenticidad de los certificados SSL/TLS en las conexiones para prevenir ataques de intermediario.
3. Protección de Datos Sensibles
Captika, a través de las reglas de extracción de datos, controla el texto que se enviará a las APIs de OpenAI. Al diseñar estas reglas, el cliente, siempre debe considerar minimizar el texto enviado a las APIs. Permitiendo, según sea posible de acuerdo al caso de uso, minimizar los datos y anonimizar los mismos antes de ser enviados a OpenAI:
Anonimanizar los datos: Antes de enviar datos a la API de OpenAI, debe considerarse la eliminación de cualquier información de identificación personal (PII) que no sea necesaria para el propósito de la solicitud.
Datos Mínimos: Antes de enviar datos a la API se debe tratar enviar la menor cantidad de información necesarias para cumplir con la tarea específica, minimizando la cantidad de información sensible compartida.
4. Manejo de Errores
Captika implementa un manejo de errores que permite registrar los errores de la API de OpenAI de manera adecuada, facilitando la recuperación de fallos, registrando los logs y permitiendo continuar con el procesamiento de los ítems.
5. Validación de Entrada
Antes de enviar datos a la API de OpenAI, Captika valida la cantidad de tokens diarios que pueden ser consumidos. Permitiendo ajustar el costo del servicio, prevenir ataques de inyección y evitar reprocesamientos continuos por errores de la configuración de los trabajos de Captika.