إدارة الثغرات الأمنية ل Azure الذكاء الاصطناعي Studio

مقالة
05/21/2024

هام

قد تتوفر بعض الميزات الموضحة في هذه المقالة فقط في المعاينة. يتم توفير هذه المعاينة دون اتفاقية على مستوى الخدمة، ولا نوصي بها لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

تتضمن إدارة الثغرات الأمنية الكشف عن أي ثغرات أمنية موجودة في أنظمة المؤسسة وبرامجها وتقييمها والتخفيف منها والإبلاغ عنها. إدارة الثغرات الأمنية مسؤولية مشتركة بينك وبين Microsoft.

تتناول هذه المقالة هذه المسؤوليات وتحدد عناصر تحكم إدارة الثغرات الأمنية التي يوفرها Azure الذكاء الاصطناعي Studio. ستتعلم كيفية إبقاء مثيل الخدمة والتطبيقات محدثة بأحدث تحديثات الأمان، وكيفية تقليل نافذة الفرصة للمهاجمين.

صور الجهاز الافتراضي التي تديرها Microsoft

تدير Microsoft صور الجهاز الظاهري لنظام التشغيل المضيف (VM) لمثيلات الحوسبة ومجموعات الحوسبة بلا خادم. يكون تكرار التحديث شهريا ويتضمن التفاصيل التالية:

لكل إصدار جديد لصورة الجهاز الافتراضي، يتم الحصول على آخر التحديثات من الناشر الأصلي لنظام التشغيل. يساعد استخدام آخر التحديثات على ضمان حصولك على جميع التصحيحات المتعلقة بنظام التشغيل القابلة للتطبيق. بالنسبة إلى Azure الذكاء الاصطناعي Studio، يكون الناشر متعارفا عليه لجميع صور Ubuntu.
يتم تحديث صور الجهاز الافتراضي شهريا.
بالإضافة إلى التصحيحات التي يطبقها الناشر الأصلي، تقوم Microsoft بتحديث حزم النظام عند توفر التحديثات.
تتحقق Microsoft من أي حزم تعلم آلي قد تتطلب ترقية وتتحقق من صحتها. في معظم الحالات، تحتوي صور الجهاز الافتراضي الجديدة على أحدث إصدارات الحزمة.
يتم إنشاء جميع صور الجهاز الافتراضي على اشتراكات آمنة تقوم بتشغيل فحص الثغرات الأمنية بانتظام. تقوم Microsoft بوضع علامة على أي ثغرات أمنية لم تتم معالجتها وإصلاحها ضمن الإصدار التالي.
التردد هو فاصل زمني شهري لمعظم الصور. بالنسبة لمثيلات الحوسبة، تتم محاذاة إصدار الصورة مع إيقاع إصدار Azure التعلم الآلي SDK المثبت مسبقا في البيئة.

بالإضافة إلى إيقاع الإصدار العادي، تطبق Microsoft الإصلاحات العاجلة إذا ظهرت الثغرات الأمنية. تقوم Microsoft بطرح الإصلاحات العاجلة في غضون 72 ساعة لمجموعات الحوسبة بلا خادم وفي غضون أسبوع لمثيلات الحوسبة.

إشعار

نظام التشغيل المضيف ليس إصدار نظام التشغيل الذي قد تحدده لبيئة عند تدريب نموذج أو نشره. تعمل البيئات داخل Docker. يعمل Docker على نظام التشغيل المضيف.

صور الحاوية التي تديرها Microsoft

تحصل صور docker الأساسية التي تحتفظ بها Microsoft ل Azure الذكاء الاصطناعي Studio على تصحيحات أمان بشكل متكرر لمعالجة الثغرات الأمنية المكتشفة حديثا.

تصدر Microsoft تحديثات للصور المدعومة كل أسبوعين لمعالجة الثغرات الأمنية. كتعهد، نهدف إلى عدم وجود أي ثغرات أمنية أقدم من 30 يوما في أحدث إصدار من الصور المدعومة.

يتم إصدار الصور المصححة ضمن علامة جديدة غير قابلة للتغيير وعلامة محدثة :latest . قد يكون استخدام العلامة :latest أو التثبيت في إصدار صورة معين مفاضلة بين الأمان وقابلية إعادة إنتاج البيئة لمهمة التعلم الآلي.

إدارة البيئات وصور الحاوية

في Azure الذكاء الاصطناعي Studio، يتم استخدام صور Docker لتوفير بيئة وقت التشغيل لنشر تدفق المطالبة. تم إنشاء الصور من صورة أساسية يوفرها Azure الذكاء الاصطناعي Studio.

على الرغم من أن Microsoft تقوم بتصحيح الصور الأساسية مع كل إصدار، إلا أن ما إذا كنت تستخدم أحدث صورة قد يكون مفاضلة بين إمكانية إعادة الإنتاج إدارة الثغرات الأمنية. تقع على عاتقك مسؤولية اختيار إصدار البيئة الذي تستخدمه لوظائفك أو عمليات نشر النموذج.

بشكل افتراضي، يتم وضع التبعيات فوق الصور الأساسية عند إنشاء صورة. بعد تثبيت المزيد من التبعيات أعلى الصور التي توفرها Microsoft، يصبح إدارة الثغرات الأمنية مسؤوليتك.

المقترن بمركز الذكاء الاصطناعي Studio الخاص بك هو مثيل Azure Container Registry الذي يعمل كذاكرة تخزين مؤقت لصور الحاوية. يتم دفع أي صورة تتحقق إلى سجل الحاوية. تستخدمها مساحة العمل عند تشغيل النشر للبيئة المقابلة.

لا يحذف المركز أي صورة من سجل الحاوية. أنت مسؤول عن تقييم الحاجة إلى صورة بمرور الوقت. لمراقبة صحة البيئة والحفاظ عليها، يمكنك استخدام Microsoft Defender for Container Registry للمساعدة في فحص صورك بحثا عن الثغرات الأمنية. لأتمتة عملياتك استنادا إلى المشغلات من Microsoft Defender، راجع أتمتة استجابات المعالجة.

إدارة الثغرات الأمنية على مضيفي الحساب

تستخدم عقد الحوسبة المدارة في Azure الذكاء الاصطناعي Studio صور الجهاز الظاهري لنظام التشغيل التي تديرها Microsoft. عند توفير عقدة، فإنه يسحب أحدث صورة VM محدثة. ينطبق هذا السلوك على مثيل الحساب، نظام مجموعة الحوسبة بلا خادم، وخيارات حساب الاستدلال المدارة.

على الرغم من أن صور OS VM يتم تصحيحها بانتظام، إلا أن Microsoft لا تفحص عقد الحوسبة بنشاط بحثا عن الثغرات الأمنية أثناء استخدامها. للحصول على طبقة إضافية من الحماية، ضع في اعتبارك عزل الشبكة لحساباتك.

التأكد من أن بيئتك محدثة وأن عقد الحوسبة تستخدم أحدث إصدار من نظام التشغيل هي مسؤولية مشتركة بينك وبين Microsoft. لا يمكن تحديث العقد غير الخاملة إلى أحدث صورة للجهاز الظاهري. تختلف الاعتبارات قليلا لكل نوع حساب، كما هو موضح في الأقسام التالية.

مثيل الحساب

تحصل مثيلات الحساب على أحدث صور الجهاز الظاهري في وقت التزويد. تصدر Microsoft صور جهاز ظاهري جديدة على أساس شهري. بعد نشر مثيل حساب، لا يتم تحديثه بنشاط. لمواكبة آخر تحديثات البرامج وتصحيحات الأمان، يمكنك استخدام إحدى هذه الطرق:

أعد إنشاء مثيل حساب للحصول على أحدث صورة لنظام التشغيل (مستحسن).

إذا كنت تستخدم هذا الأسلوب، فستفقد البيانات والتخصيصات (مثل الحزم المثبتة) المخزنة على نظام التشغيل الخاص بالمثيل والأقراص المؤقتة.

لمزيد من المعلومات حول إصدارات الصور، راجع ملاحظات إصدار صورة مثيل حساب Azure التعلم الآلي.
تحديث نظام التشغيل وحزم Python بانتظام.
- استخدم أدوات إدارة حزم Linux لتحديث قائمة الحزم بأحدث الإصدارات:
```
sudo apt-get update
```
- استخدم أدوات إدارة حزم Linux لترقية الحزم إلى أحدث الإصدارات. قد تحدث تعارضات في الحزمة عند استخدام هذا الأسلوب.
```
sudo apt-get upgrade
```
- استخدم أدوات إدارة حزمة Python لترقية الحزم والتحقق من وجود تحديثات:
```
pip list --outdated
```

يمكنك تثبيت وتشغيل برنامج فحص إضافي على مثيل الحساب للفحص بحثا عن مشكلات الأمان:

استخدم Trivy لاكتشاف الثغرات الأمنية على مستوى حزمة نظام التشغيل وPython.
استخدم ClamAV لاكتشاف البرامج الضارة. يأتي مثبتا مسبقا على مثيلات الحساب.

تثبيت عامل Microsoft Defender for Servers غير مدعوم حاليا.

نقاط النهاية

تتلقى نقاط النهاية تلقائيا تحديثات صورة مضيف نظام التشغيل التي تتضمن إصلاحات الثغرات الأمنية. تكرار تحديث الصور مرة واحدة على الأقل في الشهر.

تتم ترقية عقد الحوسبة تلقائيا إلى أحدث إصدار من صورة الجهاز الظاهري عند إصدار هذا الإصدار. لستَ بحاجة إلى اتخاذ أي إجراء.

مشاركة عبر