تشفير البيانات باستخدام نظام التعلم الآلي من Azure
يعتمد Azure التعلم الآلي على خدمات تخزين بيانات Azure المختلفة وموارد الحوسبة عند تدريب النماذج وإجراء الاستدلالات. في هذه المقالة، تعرف على تشفير البيانات لكل خدمة سواء في حالة الثبات أو أثناء النقل.
للتشفير على مستوى الإنتاج أثناء التدريب، نوصي باستخدام نظام مجموعة حساب Azure التعلم الآلي. بالنسبة للتشفير على مستوى الإنتاج أثناء الاستدلال، نوصي باستخدام خدمة Azure Kubernetes (AKS).
مثيل حساب Azure التعلم الآلي هو بيئة تطوير/اختبار. عند استخدامه، نوصي بتخزين ملفاتك، مثل دفاتر الملاحظات والبرامج النصية، في مشاركة ملف. تخزين بياناتك في مخزن بيانات.
التشفير في حالة السكون
تتكامل مشاريع Azure التعلم الآلي الشاملة مع خدمات مثل Azure Blob Storage وAzure Cosmos DB وAzure SQL Database. توضح هذه المقالة أساليب التشفير لمثل هذه الخدمات.
Azure Blob Storage
يخزن Azure التعلم الآلي اللقطات والإخراج والسجلات في حساب Azure Blob Storage (حساب التخزين الافتراضي) المرتبط بمساحة عمل Azure التعلم الآلي واشتراكك. يتم تشفير جميع البيانات المخزنة في Azure Blob Storage في حالة الراحة باستخدام مفاتيح تديرها Microsoft.
للحصول على معلومات حول كيفية استخدام المفاتيح الخاصة بك للبيانات المخزنة في Azure Blob Storage، راجع تشفير Azure Storage باستخدام المفاتيح التي يديرها العميل في Azure Key Vault.
عادة ما يتم تخزين بيانات التدريب أيضا في Azure Blob Storage بحيث يمكن لأهداف الحوسبة التدريبية الوصول إليها. لا يدير Azure التعلم الآلي هذا التخزين. يتم تحميل هذا التخزين لحساب الأهداف كنظام ملفات بعيد.
إذا كنت بحاجة إلى تدوير المفتاح أو إبطاله، يمكنك القيام بذلك في أي وقت. عند تدوير مفتاح، يبدأ حساب التخزين باستخدام المفتاح الجديد (أحدث إصدار) لتشفير البيانات الثابتة. عند إبطال (تعطيل) مفتاح، يهتم حساب التخزين بالطلبات الفاشلة. عادة ما يستغرق التدوير أو الإبطال ساعة لتطبيقه.
للحصول على معلومات حول إعادة إنشاء مفاتيح الوصول، راجع إعادة إنشاء مفاتيح الوصول إلى حساب التخزين.
Azure Data Lake Storage Gen2
إشعار
في 29 فبراير 2024، سيتم إيقاف Azure Data Lake Storage Gen1. لمزيد من المعلومات، راجع الإعلان الرسمي. إذا كنت تستخدم Azure Data Lake Storage Gen1، فتأكد من الترحيل إلى Azure Data Lake Storage Gen2 قبل ذلك التاريخ. لمعرفة كيفية إجراء ذلك، راجع ترحيل Azure Data Lake Storage من Gen1 إلى Gen2 باستخدام مدخل Microsoft Azure.
ما لم يكن لديك بالفعل حساب Azure Data Lake Storage Gen1، لا يمكنك إنشاء حساب جديد.
تم إنشاء Azure Data Lake Storage Gen2 أعلى Azure Blob Storage وهو مصمم لتحليلات البيانات الضخمة في المؤسسات. يتم استخدام Data Lake Storage Gen2 كمخزن بيانات ل Azure التعلم الآلي. مثل Azure Blob Storage، يتم تشفير البيانات الثابتة باستخدام مفاتيح تديرها Microsoft.
للحصول على معلومات حول كيفية استخدام المفاتيح الخاصة بك للبيانات المخزنة في Azure Data Lake Storage، راجع تشفير Azure Storage باستخدام المفاتيح التي يديرها العميل في Azure Key Vault.
قواعد بيانات Azure العلائقية
تدعم خدمة Azure التعلم الآلي البيانات من مصادر البيانات التالية.
قاعدة بيانات Azure SQL
يساعد تشفير البيانات الشفاف على حماية قاعدة بيانات Azure SQL من خطر النشاط الضار دون اتصال عن طريق تشفير البيانات الثابتة. بشكل افتراضي، يتم تمكين تشفير البيانات الشفاف لجميع قواعد بيانات SQL المنشورة حديثا التي تستخدم مفاتيح مدارة من Microsoft.
للحصول على معلومات حول كيفية استخدام المفاتيح التي يديرها العميل لتشفير البيانات الشفاف، راجع تشفير البيانات الشفاف لقاعدة بيانات Azure SQL.
قاعدة بيانات Azure لـ PostgreSQL
بشكل افتراضي، تستخدم قاعدة بيانات Azure ل PostgreSQL تشفير تخزين Azure لتشفير البيانات الثابتة باستخدام مفاتيح تديرها Microsoft. إنه مشابه لتشفير البيانات الشفاف في قواعد البيانات الأخرى، مثل SQL Server.
للحصول على معلومات حول كيفية استخدام المفاتيح التي يديرها العميل لتشفير البيانات الشفاف، راجع قاعدة بيانات Azure لتشفير بيانات PostgreSQL Single Server باستخدام مفتاح مدار من قبل العميل.
قاعدة بيانات Azure لـ MySQL
Azure Database for MySQL هي خدمة قاعدة بيانات ارتباطية في Microsoft Cloud. وهو يستند إلى محرك قاعدة بيانات MySQL Community Edition. تستخدم خدمة Azure Database for MySQL وحدة التشفير التي تم التحقق من صحتها FIPS 140-2 لتشفير تخزين Azure للبيانات الثابتة.
لتشفير البيانات باستخدام مفاتيح يديرها العميل، راجع تشفير بيانات Azure Database for MySQL باستخدام مفتاح يديره العميل.
Azure Cosmos DB
يخزن التعليم الآلي من Azure بيانات التعريف في مثيل قاعدة بيانات Cosmos من Azure. يقترن هذا المثيل باشتراك Microsoft الذي يديره Azure التعلم الآلي. يتم تشفير جميع البيانات الثابتة المخزنة في Azure Cosmos DB باستخدام مفاتيح تديرها Microsoft.
عند استخدام المفاتيح الخاصة بك (التي يديرها العميل) لتشفير مثيل Azure Cosmos DB، يتم إنشاء مثيل Azure Cosmos DB المدار من قبل Microsoft في اشتراكك. يتم إنشاء هذا المثيل في مجموعة موارد تديرها Microsoft، والتي تختلف عن مجموعة الموارد لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل ل Azure التعلم الآلي.
Azure Container Registry
يتم تشفير جميع صور الحاوية في سجل الحاوية (مثيل Azure Container Registry) في حالة الثبات. يقوم Azure تلقائياً بتشفير صورة قبل تخزينها وفك تشفيرها عندما يسحب التعلم الآلي من Azure الصورة.
لاستخدام المفاتيح التي يديرها العميل لتشفير سجل الحاوية، تحتاج إلى إنشاء سجل الحاوية وإرفاقه أثناء توفير مساحة العمل. يمكنك تشفير المثيل الافتراضي الذي تم إنشاؤه في وقت توفير مساحة العمل.
هام
يتطلب منك Azure التعلم الآلي تمكين حساب المسؤول على سجل الحاوية. بشكل افتراضي، يتم تعطيل هذا الإعداد عند إنشاء سجل حاوية. للحصول على معلومات حول تمكين حساب المسؤول، راجع مسؤول الحساب لاحقا في هذه المقالة.
بعد إنشاء سجل حاوية لمساحة عمل، لا تحذفه. سيؤدي ذلك إلى مقاطعة مساحة عمل التعلم الآلي في Azure.
للحصول على أمثلة لإنشاء مساحة عمل باستخدام سجل حاوية موجود، راجع المقالات التالية:
- إنشاء مساحة عمل ل Azure التعلم الآلي باستخدام Azure CLI
- إنشاء مساحة عمل باستخدام Python SDK
- استخدام قالب Azure Resource Manager لإنشاء مساحة عمل لنظام التعلم الآلي من Azure
مثيلات حاوية Azure
هام
تعتمد عمليات التوزيع إلى مثيلات حاوية Azure على Azure التعلم الآلي Python SDK وCLI v1.
يمكنك تشفير مورد Azure Container Instances المنشور باستخدام مفاتيح يديرها العميل. يمكن تخزين المفاتيح المدارة من قبل العميل التي تستخدمها لمثيلات الحاوية في مخزن المفاتيح لمساحة العمل الخاصة بك.
ينطبق على:
Python SDK azureml v1
لاستخدام المفتاح عند نشر نموذج إلى مثيلات الحاوية، قم بإنشاء تكوين نشر جديد باستخدام AciWebservice.deploy_configuration(). توفير المعلومات الرئيسية باستخدام المعلمات التالية:
cmk_vault_base_url: عنوان URL لمخزن المفاتيح الذي يحتوي على المفتاح.cmk_key_name: اسم المفتاح.cmk_key_version: إصدار المفتاح.
لمزيد من المعلومات حول إنشاء تكوين توزيع واستخدامه، راجع المقالات التالية:
لمزيد من المعلومات حول استخدام مفتاح مدار من قبل العميل مع مثيلات الحاوية، راجع تشفير بيانات النشر.
Azure Kubernetes Service
يمكنك تشفير مورد خدمة Azure Kubernetes المنشور باستخدام مفاتيح يديرها العميل في أي وقت. لمزيد من المعلومات، راجع إحضار المفاتيح الخاصة بك باستخدام Azure Kubernetes Service.
تسمح لك هذه العملية بتشفير كل من البيانات وقرص نظام التشغيل للأجهزة الظاهرية المنشورة في مجموعة Kubernetes.
هام
تعمل هذه العملية مع AKS الإصدار 1.17 أو أحدث فقط. أضاف التعلم الآلي من Azure دعمًا لـ AKS 1.17 في 13 يناير 2020.
حساب التعلم الآلي
نظام مجموعة الحساب
يتم تشفير قرص نظام التشغيل لكل عقدة حساب مخزنة في Azure Storage باستخدام مفاتيح تديرها Microsoft في حسابات تخزين Azure التعلم الآلي. يتسم هدف الحساب هذا بأنه سريع الزوال، وعادة ما يتم تقليل حجم المجموعات عندما لا يتم وضع أي وظائف تشغيل في قائمة الانتظار. تم إلغاء توفير الجهاز الظاهري الأساسي، ويتم حذف قرص نظام التشغيل.
لا يتم تمكين تشفير قرص Azure لمساحات العمل بشكل افتراضي. إذا قمت بإنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير قرص نظام التشغيل.
يحتوي كل جهاز ظاهري أيضاً على قرص مؤقت محلي لعمليات نظام التشغيل. إذا أردت، يمكنك استخدام القرص لتنظيم بيانات التدريب. إذا قمت بإنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت. هذه البيئة قصيرة الأجل (فقط أثناء عملك)، ويقتصر دعم التشفير على المفاتيح المدارة من قبل النظام فقط.
تستخدم نقاط النهاية المدارة عبر الإنترنت ونقاط النهاية الدفعية حساب Azure التعلم الآلي في النهاية الخلفية، وهي تتبع نفس آلية التشفير.
مثيل الحساب
يتم تشفير قرص نظام التشغيل لمثيل حساب باستخدام مفاتيح تديرها Microsoft في حسابات تخزين Azure التعلم الآلي. إذا قمت بإنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير نظام التشغيل المحلي والأقراص المؤقتة على مثيل حساب باستخدام مفاتيح تديرها Microsoft. تشفير المفتاح الذي يديره العميل غير مدعوم لنظام التشغيل والأقراص المؤقتة.
لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل ل Azure التعلم الآلي.
Azure Data Factory
ي استيعاب البنية الأساسية لبرنامج ربط العمليات التجارية Azure Data Factory البيانات للاستخدام مع Azure التعلم الآلي. يقوم Azure Data Factory بتشفير البيانات الثابتة، بما في ذلك تعريفات الكيان وأي بيانات مخزنة مؤقتا أثناء التشغيل قيد التقدم. بشكل افتراضي، يتم تشفير البيانات باستخدام مفتاح مدار بواسطة Microsoft تم إنشاؤه عشوائيا ويتم تعيينه بشكل فريد إلى مصنع البيانات الخاص بك.
للحصول على معلومات حول كيفية استخدام المفاتيح التي يديرها العميل للتشفير، راجع تشفير Azure Data Factory باستخدام المفاتيح التي يديرها العميل.
خدمة Azure Databricks
يمكنك استخدام Azure Databricks في البنية الأساسية لبرنامج ربط العمليات التجارية التعلم الآلي Azure. بشكل افتراضي، يتم تشفير نظام ملفات Databricks (DBFS) الذي يستخدمه Azure Databricks من خلال مفتاح تديره Microsoft. لتكوين Azure Databricks لاستخدام المفاتيح التي يديرها العميل، راجع تكوين المفاتيح المدارة من قبل العميل على DBFS الافتراضي (الجذر).
البيانات التي تم إنشاؤها من قبل Microsoft
عند استخدام خدمات مثل Azure التعلم الآلي، قد تنشئ Microsoft بيانات عابرة تمت معالجتها مسبقا لتدريب نماذج متعددة. يتم تخزين هذه البيانات في مخزن بيانات في مساحة العمل الخاصة بك، بحيث يمكنك فرض عناصر التحكم في الوصول والتشفير بشكل مناسب.
قد تحتاج أيضا إلى تشفير معلومات التشخيص التي تم تسجيلها من نقطة النهاية المنشورة في Application Insights.
التشفير أثناء النقل
يستخدم Azure التعلم الآلي بروتوكول أمان طبقة النقل (TLS) للمساعدة في تأمين الاتصال الداخلي بين الخدمات المصغرة المختلفة التعلم الآلي Azure. يحدث جميع الوصول إلى Azure Storage أيضا عبر قناة آمنة.
للمساعدة في تأمين المكالمات الخارجية التي تم إجراؤها إلى نقطة نهاية تسجيل النقاط، يستخدم Azure التعلم الآلي TLS. لمزيد من المعلومات، راجع استخدام TLS لتأمين خدمة ويب من خلال التعلم الآلي من Azure.
جمع البيانات ومعالجتها
لأغراض التشخيص، قد تجمع Microsoft معلومات لا تحدد هوية المستخدمين. على سبيل المثال، قد تجمع Microsoft أسماء الموارد (على سبيل المثال، اسم مجموعة البيانات أو اسم تجربة التعلم الآلي) أو متغيرات بيئة الوظيفة. يتم تخزين جميع هذه البيانات من خلال مفاتيح تديرها Microsoft في التخزين المستضاف في الاشتراكات المملوكة ل Microsoft. يتبع التخزين نهج الخصوصية القياسي ومعايير معالجة البيانات من Microsoft. تظل هذه البيانات داخل نفس المنطقة مثل مساحة العمل الخاصة بك.
نوصي بعدم تخزين المعلومات الحساسة (مثل أسرار مفتاح الحساب) في متغيرات البيئة. تقوم Microsoft بتسجيل متغيرات البيئة وتشفيرها وتخزينها. وبالمثل، عند تسمية مهامك، تجنب تضمين معلومات حساسة مثل أسماء المستخدمين أو أسماء المشاريع السرية. قد تظهر هذه المعلومات في سجلات بيانات تتبع الاستخدام التي يمكن لمهندسي دعم Microsoft الوصول إليها.
يمكنك إلغاء الاشتراك من جمع البيانات التشخيصية عن طريق تعيين المعلمة hbi_workspace إلى TRUE أثناء توفير مساحة العمل. يتم دعم هذه الوظيفة عند استخدام Azure التعلم الآلي Python SDK أو Azure CLI أو واجهات برمجة تطبيقات REST أو قوالب Azure Resource Manager.
تخزين بيانات الاعتماد في Azure Key Vault
يستخدم Azure التعلم الآلي مثيل Azure Key Vault المقترن بمساحة العمل لتخزين بيانات الاعتماد من أنواع مختلفة:
- سلسلة الاتصال المقترن لحساب التخزين
- كلمات المرور إلى مثيلات Azure Container Registry
- سلاسل الاتصال إلى مخازن البيانات
يتم تخزين كلمات مرور ومفاتيح Secure Shell (SSH) لحساب أهداف مثل Azure HDInsight والأجهزة الظاهرية في مخزن مفاتيح منفصل مرتبط باشتراك Microsoft. لا يقوم Azure التعلم الآلي بتخزين أي كلمات مرور أو مفاتيح يوفرها المستخدمون. بدلا من ذلك، يقوم بإنشاء مفاتيح SSH الخاصة به وتخويلها وتخزينها للاتصال بالأجهزة الظاهرية وHDInsight لتشغيل التجارب.
تحتوي كل مساحة عمل على هوية مُدارة مخصصة من قبل النظام تمتلك نفس اسم مساحة العمل. تتمتع هذه الهوية المدارة بحق الوصول إلى جميع المفاتيح والبيانات السرية والشهادات في مخزن المفاتيح.