Share via

منع النقل غير المصرح للبيانات في Azure التعلم الآلي

  • مقالة

يحتوي التعلم الآلي من Azure على العديد من التبعيات الواردة والصادرة. يمكن أن تعرض بعض هذه التبعيات مخاطر النقل غير المصرّح للبيانات من قبل عوامل ضارة داخل مؤسستك. يشرح هذا المستند كيفية تقليل مخاطر النقل غير المصرّح للبيانات عن طريق الحد من المتطلبات الواردة والصادرة.

  • الواردة: إذا كان مثيل الحساب أو نظام المجموعة يستخدم عنوان IP عاما، فلديك علامة خدمة واردة على azuremachinelearning (المنفذ 44224). يمكنك التحكم في حركة المرور الواردة هذه باستخدام مجموعة أمان شبكة (NSG) وعلامات الخدمة. من الصعب إخفاء عناوين IP لخدمة Azure، لذلك هناك مخاطر منخفضة للنقل غير المصرّح البيانات. يمكنك أيضًا تكوين الحساب لعدم استخدام عنوان IP عام، والذي يزيل المتطلبات الواردة.

  • الصادر: إذا لم يكن لدى العوامل الضارة حق الوصول للكتابة إلى موارد الوجهة الصادرة، فلن تتمكن من استخدامها للنقل غير المصرّح للبيانات. ينتمي معرف Microsoft Entra وAzure Resource Manager وAzure التعلم الآلي وMicrosoft Container Registry إلى هذه الفئة. من ناحية أخرى، يمكن استخدام التخزين وAzureFrontDoor.frontend للنقل غير المصرّح للبيانات.

    • التخزين الصادر: يأتي هذا المطلب من مثيل الحساب ونظام مجموعة الحساب. يمكن للعامل الضار استخدام هذه القاعدة الصادرة للنقل غير المصرّح البيانات عن طريق توفير البيانات وحفظها في حساب التخزين الخاص به. يمكنك إزالة مخاطر النقل غير المصرّح للبيانات باستخدام نهج نقطة نهاية خدمة Azure وبنية اتصال العقدة المبسطة في دُفعة Azure.

    • AzureFrontDoor.frontend الصادر: يتم استخدام Azure Front Door بواسطة واجهة مستخدم Azure التعلم الآلي studio و AutoML. بدلا من السماح بالصادرة إلى علامة الخدمة (AzureFrontDoor.frontend)، قم بالتبديل إلى أسماء المجالات المؤهلة بالكامل التالية (FQDN). يؤدي التبديل إلى FQDNs هذه إلى إزالة نسبة استخدام الشبكة الصادرة غير الضرورية المضمنة في علامة الخدمة ويسمح فقط بما هو مطلوب لواجهة مستخدم Azure التعلم الآلي studio و AutoML.

      • ml.azure.com
      • automlresources-prod.azureedge.net

تلميح

المعلومات الواردة في هذه المقالة تتعلق بشكل أساسي باستخدام شبكة Azure الظاهرية. يمكن ل Azure التعلم الآلي أيضا استخدام شبكات ظاهرية مدارة. باستخدام شبكة ظاهرية مدارة، يعالج Azure التعلم الآلي مهمة عزل الشبكة لمساحة العمل والحسابات المدارة.

لمعالجة مخاوف النقل غير المصرح للبيانات، تسمح لك الشبكات الظاهرية المدارة بتقييد الخروج إلى نسبة استخدام الشبكة الصادرة المعتمدة فقط. لمزيد من المعلومات، راجع عزل الشبكة المدارة في مساحة العمل.

المتطلبات الأساسية

  • اشتراك Azure
  • شبكة Azure الظاهرية (VNet)
  • مساحة عمل التعلم الآلي من Azure مع نقطة نهاية خاصة تتصل بالشبكة الظاهرية.
    • يتعين أن يتصل حساب التخزين المستخدم بواسطة مساحة العمل أيضًا بالشبكة الظاهرية باستخدام نقطة نهاية خاصة.
  • تحتاج إلى إعادة إنشاء مثيل حساب أو تقليص مجموعة الحوسبة إلى عقدة صفرية.
    • غير مطلوب إذا كنت قد انضممت إلى المعاينة.
    • غير مطلوب إذا كان لديك مثيل حساب جديد والمجموعة الحسابية التي تم إنشاؤها بعد ديسمبر 2022.

لماذا أحتاج إلى استخدام نهج نقطة نهاية الخدمة

تسمح لك نهج نقطة نهاية الخدمة بتصفية نسبة استخدام الشبكة الظاهرية للخروج إلى حسابات Azure Storage عبر نقطة نهاية الخدمة والسماح باختراق البيانات لحسابات Azure Storage المحددة فقط. يتطلب مثيل حساب Azure التعلم الآلي والمجموعة الحسابية الوصول إلى حسابات التخزين المدارة من Microsoft لتوفيرها. يتضمن الاسم المستعار ل Azure التعلم الآلي في نهج نقطة نهاية الخدمة حسابات التخزين التي تديرها Microsoft. نستخدم نهج نقطة نهاية الخدمة مع الاسم المستعار ل Azure التعلم الآلي لمنع تسرب البيانات أو التحكم في حسابات التخزين الوجهة. يمكنك معرفة المزيد في وثائق نهج نقطة نهاية الخدمة.

1. إنشاء نهج نقطة نهاية الخدمة

  1. من مدخل Azure، أضف نهج نقطة تقديم خدمة جديدًا. من علامة التبويب الأساسيات⁩، قدم المعلومات المطلوبة، ثم حدد التالي.

  2. من علامة التبويب تعريفات النهج، قم بتنفيذ الإجراءات التالية:

    1. حدد + إضافة مورد، ثم قم بتوفير المعلومات التالية:

      • الخدمة: Microsoft.Storage
      • النطاق: حدد النطاق كحساب واحد للحد من نسبة استخدام الشبكة إلى حساب تخزين واحد.
      • الاشتراك: اشتراك Azure الذي يحتوي على حساب التخزين.
      • مجموعة الموارد: مجموعة الموارد التي تحتوي على حساب التخزين.
      • المورد: حساب التخزين الافتراضي لمساحة العمل الخاصة بك.

      حدد إضافة لإضافة معلومات المورد.

      A screenshot showing how to create a service endpoint policy.

    2. حدد + إضافة اسم مستعار، ثم حدد /services/Azure/MachineLearning كقيمة اسم مستعار للخادم. حدد إضافة لإضافة الاسم المستعار.

      إشعار

      لا يوفر Azure CLI وAzure PowerShell الدعم لإضافة اسم مستعار إلى النهج.

  3. حدد «Review + Create»، ثم حدد «Create».

هام

إذا كان مثيل الحساب الخاص بك والمجموعة الحسابية بحاجة إلى الوصول إلى حسابات تخزين إضافية، يجب أن يتضمن نهج نقطة نهاية الخدمة حسابات التخزين الإضافية في قسم الموارد. لاحظ أنه غير مطلوب إذا كنت تستخدم نقاط النهاية الخاصة للتخزين. نهج نقطة نهاية الخدمة ونقطة النهاية الخاصة مستقلان.

2. السماح بنسبة استخدام الشبكة الواردة والصادرة

وارد

هام

تعدل المعلومات التالية الإرشادات المقدمة في مقالة كيفية تأمين بيئة التدريب.

هام

تعدل المعلومات التالية الإرشادات المقدمة في مقالة كيفية تأمين بيئة التدريب.

عند استخدام مثيل حسابAzure التعلم الآلي مع عنوان IP عام، اسمح بنسبة استخدام الشبكة الواردة من إدارة Azure Batch (علامة BatchNodeManagement.<region>الخدمة). لا يتطلب مثيل الحساب بدون عنوان IPعام هذا الاتصال الوارد.

صادر

هام

المعلومات التالية بالإضافة إلى الإرشادات المقدمة في مقالتي بيئة التدريب الآمنة مع الشبكات الظاهرية وتكوين نسبة استخدام الشبكة الواردة والصادرة.

هام

المعلومات التالية بالإضافة إلى الإرشادات المقدمة في مقالتي بيئة التدريب الآمنة مع الشبكات الظاهرية وتكوين نسبة استخدام الشبكة الواردة والصادرة.

حدد التكوين الذي تستخدمه:

السماح بنسبة استخدام الشبكة الصادرة إلى علامات الخدمة التالية. استبدل <region> بمنطقة Azure التي تحتوي على نظام مجموعة الحساب أو المثيل:

علامة الخدمة البروتوكول المنفذ
BatchNodeManagement.<region> ANY 443
AzureMachineLearning TCP 443
Storage.<region> TCP 443

إشعار

بالنسبة إلى التخزين الصادر، سيتم تطبيق نهج نقطة نهاية الخدمة في خطوة لاحقة للحد من نسبة استخدام الشبكة الصادرة.

لمزيد من المعلومات، راجع كيفية تأمين بيئات التدريب وتكوين نسبة استخدام الشبكة الواردة والصادرة.

لمزيد من المعلومات، راجع كيفية تأمين بيئات التدريب وتكوين نسبة استخدام الشبكة الواردة والصادرة.

3. تمكين نقطة نهاية التخزين للشبكة الفرعية

استخدم الخطوات التالية لتمكين نقطة نهاية تخزين للشبكة الفرعية التي تحتوي على مجموعات حساب Azure التعلم الآلي ومثيلات الحساب:

  1. من مدخل Microsoft Azure، حدد شبكة Azure الظاهرية لمساحة عمل Azure التعلم الآلي.
  2. من يسار الصفحة، حدد الشبكات الفرعية ثم حدد الشبكة الفرعية التي تحتوي على نظام مجموعة الحوسبة ومثيل الحساب.
  3. في النموذج الذي يظهر، قم بتوسيع القائمة المنسدلة الخدمات ثم قم بتمكين Microsoft.Storage. حدد حفظ، لحفظ هذه التغييرات.
  4. تطبيق نهج نقطة نهاية الخدمة على الشبكة الفرعية لمساحة العمل.

A screenshot of the Azure portal showing how to enable storage endpoint for the subnet.

4. البيئات المنسقة

عند استخدام بيئات Azure التعلم الآلي المنسقة، تأكد من استخدام أحدث إصدار من البيئة. يتعين أن يكون سجل الحاوية للبيئة أيضًا mcr.microsoft.com. للتحقق من سجل الحاوية، استخدم الخطوات التالية:

  1. من Azure التعلم الآلي studio، حدد مساحة العمل الخاصة بك ثم حدد البيئات.

  2. تحقق من أن سجل حاوية Azure يبدأ بقيمة mcr.microsoft.com.

    هام

    إذا كان سجل الحاوية لا viennaglobal.azurecr.io يمكنك استخدام البيئة المنسقة مع النقل غير المصرح للبيانات. حاول الترقية إلى أحدث إصدار من البيئة المنسقة.

  3. عند استخدام mcr.microsoft.com، يتعين أيضًا السماح بالتكوين الصادر إلى الموارد التالية. حدد خيار التكوين الذي تستخدمه:

    السماح بنسبة استخدام الشبكة الصادرة عبر منفذ TCP 443 إلى علامات الخدمة التالية. استبدل <region> بمنطقة Azure التي تحتوي على نظام مجموعة الحساب أو المثيل.

    • MicrosoftContainerRegistry.<region>
    • AzureFrontDoor.FirstParty

الخطوات التالية

لمزيد من المعلومات، راجع المقالات التالية: