ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
في هذه المقالة، ستتعرف على ميزات الأمان والحوكمة المتوفرة للتعلم الآلي من Microsoft Azure. هذه الميزات مفيدة للمسؤولين ومهندسي DevOps ومهندسي MLOps الذين يرغبون في إنشاء تكوين آمن يتوافق مع نهج المؤسسة.
باستخدام التعلم الآلي من Azure والنظام الأساسي ل Azure، يمكنك:
- تقييد الوصول إلى الموارد والعمليات حسب حساب المستخدم أو المجموعات.
- قم بتقييد اتصالات الشبكة الواردة والصادرة.
- قم بتشفير البيانات في أثناء النقل والراحة.
- المسح بحثًا عن الثغرات الأمنية.
- قم بتطبيق وتدقيق سياسات التكوين.
تقييد الوصول إلى الموارد والعمليات
معرف Microsoft Entra هو موفر خدمة الهوية للتعلم الآلي من Microsoft Azure. يمكنك استخدامه لإنشاء وإدارة عناصر الأمان (المستخدم والمجموعة وأساس الخدمة والهوية المدارة) المستخدمة للمصادقة على موارد Azure. يتم دعم المصادقة متعددة العوامل (MFA) إذا تم تكوين معرف Microsoft Entra لاستخدامه.
فيما يلي عملية المصادقة للتعلم الآلي من Azure من خلال المصادقة متعددة العوامل في Microsoft Entra ID:
- يسجل العميل الدخول إلى معرف Microsoft Entra ويحصل على رمز Azure Resource Manager المميز.
- يقدم العميل الرمز المميز إلى Azure Resource Manager وإلى التعلم الآلي من Azure.
- يوفر التعلم الآلي من Azure رمزا مميزا لخدمة التعلم الآلي لهدف حساب المستخدم (على سبيل المثال، نظام مجموعة حساب التعلم الآلي أو حساب بلا خادم). يستخدم هدف حساب المستخدم هذا الرمز المميز للاتصال مرة أخرى بخدمة التعلم الآلي بعد اكتمال المهمة. يقتصر النطاق على مساحة العمل.
تحتوي كل مساحة عمل على هوية مدارة مرتبطة يعينها النظام لها نفس اسم مساحة العمل. يتم استخدام هذه الهوية المدارة للوصول بأمان إلى الموارد التي تستخدمها مساحة العمل. يحتوي على أذونات التحكم في الوصول المستندة إلى الدور (RBAC) التالية في Azure على الموارد المقترنة:
| مورد | اذونات |
|---|---|
| مساحة عمل | مساهم |
| حساب التخزين | المساهم في بيانات مخزن البيانات الثنائية الكبيرة |
| Key Vault | الوصول إلى جميع المفاتيح والأسرار والشهادات |
| سجل الحاوية | مساهم |
| مجموعة الموارد التي تحتوي على مساحة العمل | مساهم |
يتم استخدام الهوية المدارة المعينة من قبل النظام للمصادقة الداخلية من خدمة إلى خدمة بين التعلم الآلي من Azure وموارد Azure الأخرى. لا يمكن للمستخدمين الوصول إلى رمز الهوية المميز، ولا يمكنهم استخدامه للوصول إلى هذه الموارد. يمكن للمستخدمين الوصول إلى الموارد فقط من خلال التحكم في التعلم الآلي من Azure وواجهات برمجة تطبيقات مستوى البيانات، إذا كان لديهم أذونات RBAC كافية.
لا نوصي المسؤولين بإبطال وصول الهوية المدارة إلى الموارد المذكورة في الجدول السابق. يمكنك استعادة الوصول باستخدام عملية مفاتيح إعادة المزامنة.
يجب عدم منح المستخدمين الإذن على حساب تخزين مساحة العمل للمستخدمين الذين لا تريد أن يكونوا قادرين على الوصول إلى حسابات مساحة العمل أو الهويات. يحتوي حساب التخزين الخاص بمساحة العمل على تعليمات برمجية وملفات تنفيذية سيتم تشغيلها على حسابات مساحة العمل الخاصة بك. يمكن للمستخدمين الذين لديهم حق الوصول إلى حساب التخزين هذا تحرير التعليمات البرمجية التي سيتم تنفيذها في سياق مساحة العمل أو تغييرها، ما يسمح بالوصول إلى بيانات مساحة العمل وبيانات الاعتماد.
ملاحظة
إذا كانت مساحة عمل التعلم الآلي من Azure تحتوي على أهداف حساب (على سبيل المثال، نظام مجموعة الحوسبة أو مثيل الحساب أو مثيل خدمة Azure Kubernetes [AKS] التي تم إنشاؤها قبل 14 مايو 2021، فقد يكون لديك حساب Microsoft Entra إضافي. يبدأ اسم الحساب ب Microsoft-AzureML-Support-App- ولديه حق الوصول على مستوى المساهم إلى اشتراكك لكل منطقة مساحة عمل.
إذا لم يكن لمساحة العمل الخاصة بك مثيل AKS مرفق، يمكنك حذف حساب Microsoft Entra هذا بأمان.
إذا كانت مساحة العمل الخاصة بك تحتوي على مجموعة AKS مرفقة، وتم إنشاؤها قبل 14 مايو 2021، فلا تحذف حساب Microsoft Entra هذا. في هذا السيناريو، يجب حذف وإعادة إنشاء نظام مجموعة AKS قبل أن تتمكن من حذف حساب Microsoft Entra.
يمكنك توفير مساحة العمل لاستخدام هوية مدارة معينة من قبل المستخدم، ثم منح الهوية المدارة أدوارا أخرى. على سبيل المثال، قد تمنح دورا للوصول إلى مثيل Azure Container Registry الخاص بك لصور Docker الأساسية.
يمكنك أيضا تكوين الهويات المدارة للاستخدام مع نظام مجموعة حساب التعلم الآلي من Azure. هذه الهوية المدارة مستقلة عن الهوية المدارة لمساحة العمل. باستخدام نظام مجموعة الحوسبة، يتم استخدام الهوية المدارة للوصول إلى الموارد مثل مخازن البيانات الآمنة التي قد لا يتمكن المستخدم الذي يقوم بتشغيل مهمة التدريب من الوصول إليها. لمزيد من المعلومات، راجع استخدام الهويات المدارة للتحكم في الوصول.
تلميح
هناك استثناءات لاستخدام معرف Microsoft Entra وAzure RBAC في التعلم الآلي من Azure:
- يمكنك تمكين وصول Secure Shell (SSH) اختياريا إلى موارد الحوسبة مثل مثيل حساب التعلم الآلي من Microsoft Azure وكتلة الحوسبة. يستند الوصول إلى SSH إلى أزواج المفاتيح العامة/الخاصة، وليس معرف Microsoft Entra. لا تحكم Azure RBAC الوصول إلى SSH.
- يمكنك المصادقة على النماذج المنشورة كنقاط نهاية عبر الإنترنت باستخدام المصادقة المستندة إلى المفتاح أو المستندة إلى الرمز المميز. المفاتيح هي سلاسل ثابتة، بينما يتم استرداد الرموز المميزة عبر كائن أمان Microsoft Entra. لمزيد من المعلومات، راجع مصادقة العملاء لنقاط النهاية عبر الإنترنت.
لمزيد من المعلومات، راجع المقالات التالية:
- إعداد المصادقة لموارد التعلم الآلي من Azure ومهام سير العمل
- إدارة الوصول إلى مساحة عمل التعلم الآلي من Azure
- استخدام مخازن البيانات
- استخدام بيانات اعتماد المصادقة السرية في وظائف التعلم الآلي من Microsoft Azure
- إعداد المصادقة بين التعلم الآلي من Microsoft Azure والخدمات الأخرى
توفير أمان الشبكة وعزلها
لتقييد الوصول إلى الشبكة إلى موارد التعلم الآلي من Azure، يمكنك استخدام شبكة ظاهرية مدارة من Azure Machine Learning أو مثيل شبكة Azure الظاهرية. يؤدي استخدام شبكة ظاهرية إلى تقليل سطح الهجوم للحل الخاص بك وفرص النقل غير المصرح للبيانات.
لست مضطرا لاختيار واحد أو آخر. على سبيل المثال، يمكنك استخدام شبكة ظاهرية مدارة من Azure Machine Learning للمساعدة في تأمين موارد الحوسبة المدارة ومثيل شبكة Azure الظاهرية للموارد غير المدارة أو للمساعدة في تأمين وصول العميل إلى مساحة العمل.
الشبكة الظاهرية المدارة من Azure Machine Learning: توفر حلا مدارا بالكامل يتيح عزل الشبكة لمساحة العمل وموارد الحوسبة المدارة. يمكنك استخدام نقاط النهاية الخاصة للمساعدة في تأمين الاتصال بخدمات Azure الأخرى، ويمكنك تقييد الاتصال الصادر. استخدم شبكة ظاهرية مدارة للمساعدة في تأمين موارد الحوسبة المدارة التالية:
- حساب بلا خادم (بما في ذلك Spark بلا خادم)
- نظام مجموعة الحساب
- مثيل الحساب
- نقطة نهاية مدارة عبر الإنترنت
- نقطة نهاية الدفعة عبر الإنترنت
مثيل شبكة Azure الظاهرية: يوفر عرض شبكة ظاهرية أكثر قابلية للتخصيص. ومع ذلك، فأنت مسؤول عن التكوين والإدارة. قد تحتاج إلى استخدام مجموعات أمان الشبكة أو المسارات المعرفة من قبل المستخدم أو جدار حماية لتقييد الاتصال الصادر.
لمزيد من المعلومات، تفضل بزيارة مقالة مقارنة تكوينات عزل الشبكة .
تشفير البيانات
يستخدم التعلم الآلي من Azure موارد الحوسبة المختلفة ومخازن البيانات على النظام الأساسي ل Azure. لمعرفة المزيد حول كيفية دعم كل مورد من هذه الموارد لتشفير البيانات الثابتة والمتنقلة، راجع تشفير البيانات باستخدام التعلم الآلي من Microsoft Azure.
منع النقل غير المصرح للبيانات
يحتوي التعلم الآلي من Azure على العديد من تبعيات الشبكة الواردة والصادرة. يمكن أن تعرض بعض هذه التبعيات مخاطر النقل غير المصرّح للبيانات من قبل عوامل ضارة داخل مؤسستك. ترتبط هذه المخاطر بالمتطلبات الصادرة إلى Azure Storage وAzure Front Door وAzure Monitor. للحصول على توصيات حول التخفيف من هذه المخاطر، راجع منع تسرب بيانات التعلم الآلي من Azure.
مسح ضوئي بحثاً عن الثغرات الأمنية
يوفر Microsoft Defender for Cloud إدارة أمان موحدة وحماية متقدمة ضد التهديدات عبر أحمال عمل المجموعة المختلطة. بالنسبة إلى التعلم الآلي من Azure، يجب تمكين فحص مورد Azure Container Registry وموارد AKS. لمزيد من المعلومات، راجع مقدمة إلى Microsoft Defender لسجلات الحاوياتومقدمة إلى Microsoft Defender ل Kubernetes.
تدقيق التوافق وإدارته
Azure Policy هي أداة حوكمة تساعدك على التأكد من أن موارد Azure تتوافق مع نهجك. يمكنك تعيين نهج للسماح بتكوينات معينة أو فرضها، مثل ما إذا كانت مساحة عمل التعلم الآلي من Azure تستخدم نقطة نهاية خاصة.
لمزيد من المعلومات حول نهج Azure، راجع وثائق نهج Azure. لمزيد من المعلومات حول النهج الخاصة ب Azure Machine Learning، راجع تدقيق وإدارة التعلم الآلي من Azure.