إدارة الثغرات الأمنية للتعلم الآلي من Azure

تتضمن إدارة الثغرات الأمنية الكشف عن أي ثغرات أمنية موجودة في أنظمة المؤسسة وبرامجها وتقييمها والتخفيف منها والإبلاغ عنها. إدارة الثغرات الأمنية مسؤولية مشتركة بينك وبين Microsoft.

تتناول هذه المقالة هذه المسؤوليات وتحدد عناصر تحكم إدارة الثغرات الأمنية التي يوفرها Azure التعلم الآلي. ستتعلم كيفية إبقاء مثيل الخدمة والتطبيقات محدثة بأحدث تحديثات الأمان، وكيفية تقليل نافذة الفرصة للمهاجمين.

صور الجهاز الافتراضي التي تديرها Microsoft

يدير Azure التعلم الآلي صور الجهاز الظاهري لنظام التشغيل المضيف (VM) لمثيلات حساب Azure التعلم الآلي ومجموعات حساب Azure التعلم الآلي والأجهزة الظاهرية لعلوم البيانات. يكون تكرار التحديث شهريا ويتضمن التفاصيل التالية:

• لكل إصدار جديد لصورة الجهاز الافتراضي، يتم الحصول على آخر التحديثات من الناشر الأصلي لنظام التشغيل. يساعد استخدام آخر التحديثات على ضمان حصولك على جميع التصحيحات المتعلقة بنظام التشغيل القابلة للتطبيق. بالنسبة إلى Azure التعلم الآلي، يكون الناشر متعارفا عليه لجميع صور Ubuntu. يتم استخدام هذه الصور لمثيلات الحوسبة التعلم الآلي من Azure ومجموعات الحوسبة والأجهزة الافتراضية لعلوم البيانات.

• يتم تحديث صور الجهاز الافتراضي شهريا.

• بالإضافة إلى التصحيحات التي يطبقها الناشر الأصلي، يقوم Azure التعلم الآلي بتحديث حزم النظام عند توفر التحديثات.

• يتحقق Azure التعلم الآلي من أي حزم تعلم آلي قد تتطلب ترقية ويتحقق من صحتها. في معظم الحالات، تحتوي صور الجهاز الافتراضي الجديدة على أحدث إصدارات الحزمة.

• يتم إنشاء جميع صور الجهاز الافتراضي على اشتراكات آمنة تقوم بتشغيل فحص الثغرات الأمنية بانتظام. يقوم Azure التعلم الآلي بوضع علامة على أي ثغرات أمنية لم تتم معالجتها وإصلاحها ضمن الإصدار التالي.

• التردد هو فاصل زمني شهري لمعظم الصور. بالنسبة لمثيلات الحوسبة، تتم محاذاة إصدار الصورة مع إيقاع إصدار Azure التعلم الآلي SDK المثبت مسبقا في البيئة.

بالإضافة إلى إيقاع الإصدار العادي، يطبق Azure التعلم الآلي الإصلاحات العاجلة إذا ظهرت الثغرات الأمنية. تقوم Microsoft بطرح الإصلاحات العاجلة في غضون 72 ساعة لمجموعات حساب Azure التعلم الآلي وفي غضون أسبوع لمثيلات الحوسبة.

إشعار

نظام التشغيل المضيف ليس إصدار نظام التشغيل الذي قد تحدده لبيئة عند تدريب نموذج أو نشره. تعمل البيئات داخل Docker. يعمل Docker على نظام التشغيل المضيف.

صور الحاوية التي تديرها Microsoft

تحصل صور docker الأساسية التي يحتفظ بها Azure التعلم الآلي على تصحيحات أمان بشكل متكرر لمعالجة الثغرات الأمنية المكتشفة حديثا.

يصدر التعلم الآلي من Azure تحديثات للصور المدعومة كل أسبوعين لمعالجة الثغرات الأمنية. كتعهد، نهدف إلى عدم وجود أي ثغرات أمنية أقدم من 30 يوما في أحدث إصدار من الصور المدعومة.

يتم إصدار الصور المصححة ضمن علامة جديدة غير قابلة للتغيير وعلامة محدثة :latest . قد يكون استخدام العلامة :latest أو التثبيت في إصدار صورة معين مفاضلة بين الأمان وقابلية إعادة إنتاج البيئة لمهمة التعلم الآلي.

إدارة البيئات وصور الحاوية

الاستنساخ هو جانب رئيسي من تطوير البرمجيات وتجربة التعلم الآلي. يتمثل التركيز الأساسي لمكون بيئة Azure التعلم الآلي في ضمان إعادة إنتاج البيئة التي يتم فيها تنفيذ التعليمات البرمجية للمستخدم. لضمان إمكانية إعادة الإنتاج لأي مهمة تعلم آلي، يتم سحب الصور التي تم إنشاؤها مسبقا إلى عقد الحوسبة دون الحاجة إلى إعادة التطابق.

على الرغم من أن Azure التعلم الآلي يقوم بتصحيح الصور الأساسية مع كل إصدار، فقد يكون ما إذا كنت تستخدم أحدث صورة مفاضلة بين قابلية إعادة الإنتاج إدارة الثغرات الأمنية. تقع على عاتقك مسؤولية اختيار إصدار البيئة الذي تستخدمه لوظائفك أو عمليات نشر النموذج.

بشكل افتراضي، يتم وضع التبعيات فوق الصور الأساسية التي يوفرها Azure التعلم الآلي عند إنشاء بيئات. يمكنك أيضا استخدام الصور الأساسية الخاصة بك عند استخدام بيئات في Azure التعلم الآلي. بعد تثبيت المزيد من التبعيات أعلى الصور التي توفرها Microsoft، أو إحضار الصور الأساسية الخاصة بك، إدارة الثغرات الأمنية تصبح مسؤوليتك.

المقترن بمساحة عمل Azure التعلم الآلي هو مثيل Azure Container Registry الذي يعمل كذاكرة تخزين مؤقت لصور الحاوية. يتم دفع أي صورة تتحقق إلى سجل الحاوية. تستخدمها مساحة العمل إذا تم تشغيل التجريب أو النشر للبيئة المقابلة.

لا يحذف Azure التعلم الآلي أي صورة من سجل الحاوية. أنت مسؤول عن تقييم الحاجة إلى صورة بمرور الوقت. لمراقبة صحة البيئة والحفاظ عليها، يمكنك استخدام Microsoft Defender for Container Registry للمساعدة في فحص صورك بحثا عن الثغرات الأمنية. لأتمتة عملياتك استنادا إلى المشغلات من Microsoft Defender، راجع أتمتة استجابات المعالجة.

استخدام مستودع حزمة خاصة

يستخدم Azure التعلم الآلي Conda وPip لتثبيت حزم Python. بشكل افتراضي، يقوم Azure التعلم الآلي بتنزيل الحزم من المستودعات العامة. إذا كانت مؤسستك تتطلب منك مصادر الحزم فقط من المستودعات الخاصة مثل موجزات Azure DevOps، يمكنك تجاوز تكوين Conda و Pip كجزء من الصور الأساسية وتكوينات البيئة الخاصة بك لمثيلات الحساب.

يوضح تكوين المثال التالي كيفية إزالة القنوات الافتراضية وإضافة موجزات Conda و Pip الخاصة بك. ضع في اعتبارك استخدام البرامج النصية لإعداد مثيل الحساب للأتمتة.

RUN conda config --set offline false \
&& conda config --remove channels defaults || true \
&& conda config --add channels https://my.private.conda.feed/conda/feed \
&& conda config --add repodata_fns <repodata_file_on_your_server>.json

# Configure Pip private indexes and ensure that the client trusts your host
RUN pip config set global.index https://my.private.pypi.feed/repository/myfeed/pypi/ \
&&  pip config set global.index-url https://my.private.pypi.feed/repository/myfeed/simple/

# In case your feed host isn't secured through SSL
RUN  pip config set global.trusted-host http://my.private.pypi.feed/

لمعرفة كيفية تحديد الصور الأساسية الخاصة بك في Azure التعلم الآلي، راجع إنشاء بيئة من سياق بناء Docker. لمزيد من المعلومات حول تكوين بيئات Conda، راجع إنشاء ملف بيئة يدويا على موقع Conda.

إدارة الثغرات الأمنية على مضيفي الحساب

تستخدم عقد الحوسبة المدارة في Azure التعلم الآلي صور الجهاز الظاهري لنظام التشغيل المدارة من Microsoft. عند توفير عقدة، فإنه يسحب أحدث صورة VM محدثة. ينطبق هذا السلوك على مثيل الحساب، والمجموعة الحسابية، والحوسبة بلا خادم (معاينة)، وخيارات حوسبة الاستدلال المدارة.

على الرغم من تصحيح صور الجهاز الظاهري لنظام التشغيل بانتظام، لا يقوم Azure التعلم الآلي بمسح عقد الحوسبة ضوئيا بشكل نشط بحثا عن الثغرات الأمنية أثناء استخدامها. للحصول على طبقة إضافية من الحماية، ضع في اعتبارك عزل الشبكة للحساب الخاص بك.

التأكد من أن بيئتك محدثة وأن عقد الحوسبة تستخدم أحدث إصدار من نظام التشغيل هي مسؤولية مشتركة بينك وبين Microsoft. لا يمكن تحديث العقد غير الخاملة إلى أحدث صورة للجهاز الظاهري. تختلف الاعتبارات قليلا لكل نوع حساب، كما هو موضح في الأقسام التالية.

مثيل الحساب

تحصل مثيلات الحساب على أحدث صور الجهاز الظاهري في وقت التزويد. تصدر Microsoft صور جهاز ظاهري جديدة على أساس شهري. بعد نشر مثيل حساب، لا يتم تحديثه بنشاط. يمكنك الاستعلام عن إصدار نظام تشغيل المثيل. لمواكبة آخر تحديثات البرامج وتصحيحات الأمان، يمكنك استخدام إحدى هذه الطرق:

• أعد إنشاء مثيل حساب للحصول على أحدث صورة لنظام التشغيل (مستحسن).

  إذا كنت تستخدم هذا الأسلوب، فستفقد البيانات والتخصيصات (مثل الحزم المثبتة) المخزنة على نظام التشغيل الخاص بالمثيل والأقراص المؤقتة.

  عند إعادة إنشاء المثيل الخاص بك:

  • تخزين دفاتر الملاحظات في دليل ملفات المستخدم لاستمرارها.
  • تحميل البيانات لاستمرار الملفات.

  لمزيد من المعلومات حول إصدارات الصور، راجع ملاحظات إصدار صورة مثيل حساب Azure التعلم الآلي.

• تحديث نظام التشغيل وحزم Python بانتظام.

  • استخدم أدوات إدارة حزم Linux لتحديث قائمة الحزم بأحدث الإصدارات:

    sudo apt-get update
    

  • استخدم أدوات إدارة حزم Linux لترقية الحزم إلى أحدث الإصدارات. قد تحدث تعارضات في الحزمة عند استخدام هذا الأسلوب.

    sudo apt-get upgrade
    

  • استخدم أدوات إدارة حزمة Python لترقية الحزم والتحقق من وجود تحديثات:

    pip list --outdated
    

يمكنك تثبيت وتشغيل برنامج فحص إضافي على مثيل الحساب للفحص بحثا عن مشكلات الأمان:

• استخدم Trivy لاكتشاف الثغرات الأمنية على مستوى حزمة نظام التشغيل وPython.
• استخدم ClamAV لاكتشاف البرامج الضارة. يأتي مثبتا مسبقا على مثيلات الحساب.

تثبيت عامل Microsoft Defender for Servers غير مدعوم حاليا.

ضع في اعتبارك استخدام البرامج النصية للتخصيص للأتمتة. للحصول على مثال برنامج نصي للإعداد يجمع بين Trivy و ClamAV، راجع Compute instance sample setup scripts.

حساب المجموعات

تقوم أنظمة مجموعات الحوسبة تلقائيا بترقية العقد إلى أحدث صورة للجهاز الظاهري. إذا قمت بتكوين نظام المجموعة باستخدام min nodes = 0، فإنه يقوم تلقائيا بترقية العقد إلى أحدث إصدار من صورة الجهاز الظاهري عند اكتمال جميع المهام وتقليل نظام المجموعة إلى صفر عقد.

في الحالات التالية، لا يتم تقليص عقد نظام المجموعة، لذلك لا يمكنها الحصول على أحدث صورة للجهاز الظاهري:

• يتم تعيين الحد الأدنى لعدد العقد الخاصة بالمجموعة إلى قيمة أكبر من الصفر.
• تتم جدولة المهام بشكل مستمر على نظام المجموعة الخاص بك.

أنت مسؤول عن تقليل حجم عقد نظام المجموعة غير الخاملة للحصول على آخر تحديثات صورة الجهاز الظاهري لنظام التشغيل. لا يوقف Azure التعلم الآلي أي أحمال عمل قيد التشغيل على عقد الحوسبة لإصدار تحديثات الجهاز الظاهري. قم بتغيير الحد الأدنى للعقد مؤقتا إلى صفر والسماح للمجموعة بالتقليل إلى صفر عقد.

نقاط النهاية عبر الإنترنت المدارة

تتلقى نقاط النهاية المدارة عبر الإنترنت تلقائيا تحديثات صورة مضيف نظام التشغيل التي تتضمن إصلاحات الثغرات الأمنية. تكرار تحديث الصور مرة واحدة على الأقل في الشهر.

تتم ترقية عقد الحوسبة تلقائيا إلى أحدث إصدار من صورة الجهاز الظاهري عند إصدار هذا الإصدار. لستَ بحاجة إلى اتخاذ أي إجراء.

مجموعات Kubernetes التي يديرها العميل

يتيح لك حساب Kubernetes تكوين مجموعات Kubernetes لتدريب النماذج وتنفيذ الاستدلال وإدارتها في Azure التعلم الآلي.

نظرا لأنك تدير البيئة باستخدام Kubernetes، فإن إدارة كل من ثغرات OS VM وثغرات صورة الحاوية هي مسؤوليتك.

ينشر Azure التعلم الآلي بشكل متكرر إصدارات جديدة من صور حاوية ملحق Azure التعلم الآلي في Microsoft Artifact Registry. تتحمل Microsoft مسؤولية التأكد من أن إصدارات الصور الجديدة خالية من الثغرات الأمنية. يعمل كل إصدار على إصلاح الثغرات الأمنية.

عندما تقوم المجموعات بتشغيل المهام دون انقطاع، قد تعمل مهام التشغيل على إصدارات صورة حاوية قديمة. بعد ترقية الملحق amlarc إلى نظام مجموعة قيد التشغيل، تبدأ المهام المرسلة حديثا في استخدام أحدث إصدار صورة. عند ترقية الملحق amlarc إلى أحدث إصدار له، قم بتنظيف إصدارات صورة الحاوية القديمة من المجموعات كما هو مطلوب.

لمراقبة ما إذا كان نظام مجموعة Azure Arc الخاص بك يقوم بتشغيل أحدث إصدار من amlarc، استخدم مدخل Microsoft Azure. ضمن مورد Azure Arc الخاص بك من نوع Kubernetes - Azure Arc، انتقل إلى Extensions للعثور على إصدار الملحق amlarc .

بيئات AutoML وبيئات المصمم

بالنسبة لتجارب التدريب المستندة إلى التعليمات البرمجية، يمكنك التحكم في بيئة Azure التعلم الآلي لاستخدامها. باستخدام AutoML والمصمم، يتم تغليف البيئة كجزء من الخدمة. يمكن تشغيل هذه الأنواع من المهام على الحسابات التي تقوم بتكوينها، للسماح بعناصر تحكم إضافية مثل عزل الشبكة.

تعمل مهام AutoML على البيئات التي طبقة أعلى Azure التعلم الآلي صور Docker الأساسية.

يتم تقسيم الوظائف المصمم إلى مكونات. يحتوي كل مكون على بيئته الخاصة التي تعلو صور Docker الأساسية ل Azure التعلم الآلي. لمزيد من المعلومات حول المكونات، راجع مرجع المكون.

الخطوات التالية

• مستودع Azure التعلم الآلي للصور الأساسية
• ملاحظات إصدار الجهاز الافتراضي لعلوم البيانات
• ملاحظات إصدار Azure التعلم الآلي Python SDK
• أفضل ممارسات التعلم الآلي من Microsoft Azure لأمان المؤسسة