Šifrování dat pomocí služby Azure Machine Učení
Azure Machine Učení spoléhá při trénování modelů a odvozování na různé služby úložiště dat Azure a výpočetní prostředky. V tomto článku se dozvíte o šifrování dat pro každou službu v klidovém stavu i při přenosu.
Pro šifrování na úrovni produkčního prostředí během trénování doporučujeme použít výpočetní cluster Azure Machine Učení. Pro šifrování na úrovni produkčního prostředí během odvozování doporučujeme používat službu Azure Kubernetes Service (AKS).
Výpočetní instance azure machine Učení je vývojové/testovací prostředí. Když ho použijete, doporučujeme ukládat soubory, jako jsou poznámkové bloky a skripty, do sdílené složky. Uložte data do úložiště dat.
Šifrování neaktivních uložených dat
Azure Machine Učení kompletní projekty se integrují se službami, jako jsou Azure Blob Storage, Azure Cosmos DB a Azure SQL Database. Tento článek popisuje metody šifrování těchto služeb.
Azure Blob Storage
Azure Machine Učení ukládá snímky, výstup a protokoly v účtu služby Azure Blob Storage (výchozí účet úložiště), který je svázaný s pracovním prostorem azure machine Učení a vaším předplatným. Všechna data uložená ve službě Azure Blob Storage se šifrují v klidovém stavu pomocí klíčů spravovaných Microsoftem.
Informace o tom, jak používat vlastní klíče pro data uložená ve službě Azure Blob Storage, najdete v tématu Šifrování služby Azure Storage pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault.
Trénovací data se obvykle ukládají také ve službě Azure Blob Storage, aby k ní mohly přistupovat trénovací výpočetní cíle. Azure Machine Učení toto úložiště nespravuje. Toto úložiště je připojené k cílovým výpočetním objektům jako vzdálený systém souborů.
Pokud potřebujete klíč otočit nebo odvolat , můžete to kdykoli udělat. Při obměně klíče začne účet úložiště k šifrování neaktivních uložených dat používat nový klíč (nejnovější verze). Když klíč odvoláte (zakážete), účet úložiště se postará o neúspěšné požadavky. Obměně nebo odvolání obvykle trvá hodinu.
Informace o opětovném vygenerování přístupových klíčů najdete v tématu Opětovné vygenerování přístupových klíčů účtu úložiště.
Azure Data Lake Storage
Poznámka:
29. února 2024 bude Azure Data Lake Storage Gen1 vyřazena. Další informace najdete v oficiálním oznámení. Pokud používáte Azure Data Lake Storage Gen1, nezapomeňte před tímto datem migrovat do Azure Data Lake Storage Gen2. Postup najdete v tématu Migrace Azure Data Lake Storage z Gen1 na Gen2 pomocí webu Azure Portal.
Pokud ještě nemáte účet Azure Data Lake Storage Gen1, nemůžete vytvořit nové.
Azure Data Lake Storage Gen2 je založená na službě Azure Blob Storage a je navržená pro analýzy velkých objemů dat v podnicích. Data Lake Storage Gen2 se používá jako úložiště dat pro azure machine Učení. Podobně jako Azure Blob Storage se neaktivní uložená data šifrují pomocí klíčů spravovaných Microsoftem.
Informace o tom, jak používat vlastní klíče pro data uložená ve službě Azure Data Lake Storage, najdete v tématu Šifrování služby Azure Storage pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault.
Relační databáze Azure
Služba Azure Machine Učení podporuje data z následujících zdrojů dat.
Azure SQL Database
Transparentní šifrování dat pomáhá chránit službu Azure SQL Database před hrozbou škodlivé offline aktivity šifrováním neaktivních uložených dat. Ve výchozím nastavení je transparentní šifrování dat povolené pro všechny nově nasazené databáze SQL, které používají klíče spravované Microsoftem.
Informace o použití klíčů spravovaných zákazníkem k transparentnímu šifrování dat najdete v tématu Transparentní šifrování dat ve službě Azure SQL Database.
Azure Database for PostgreSQL
Azure Database for PostgreSQL ve výchozím nastavení používá šifrování služby Azure Storage k šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem. Podobá se transparentnímu šifrování dat v jiných databázích, jako je SQL Server.
Informace o použití klíčů spravovaných zákazníkem k transparentnímu šifrování dat najdete v tématu Šifrování dat jednoúčelového serveru Azure Database for PostgreSQL s klíčem spravovaným zákazníkem.
Azure Database for MySQL
Azure Database for MySQL je relační databázová služba v Cloudu Microsoftu. Je založená na databázovém stroji MySQL Community Edition. Služba Azure Database for MySQL používá kryptografický modul ověřený standardem FIPS 140-2 pro šifrování neaktivních uložených dat ve službě Azure Storage.
Šifrování dat pomocí klíčů spravovaných zákazníkem najdete v tématu Šifrování dat Azure Database for MySQL pomocí klíče spravovaného zákazníkem.
Azure Cosmos DB
Azure Machine Učení ukládá metadata v instanci služby Azure Cosmos DB. Tato instance je přidružená k předplatnému Microsoftu, které spravuje počítač Azure Učení. Všechna data uložená ve službě Azure Cosmos DB jsou neaktivní uložená šifrována pomocí klíčů spravovaných Microsoftem.
Pokud k šifrování instance Služby Azure Cosmos DB používáte vlastní klíče (spravované zákazníkem), vytvoří se ve vašem předplatném instance Azure Cosmos DB spravovaná Microsoftem. Tato instance se vytvoří ve skupině prostředků spravované Microsoftem, která se liší od skupiny prostředků pro váš pracovní prostor. Další informace najdete v tématu Klíče spravované zákazníkem pro službu Azure Machine Učení.
Azure Container Registry
Všechny image kontejnerů v registru kontejneru (instance služby Azure Container Registry) jsou neaktivní neaktivní zašifrované. Azure před uložením automaticky šifruje image a dešifruje ji, když Učení Azure načítá image.
Pokud chcete k šifrování registru kontejneru použít klíče spravované zákazníkem, musíte při zřizování pracovního prostoru vytvořit a připojit registr kontejneru. Výchozí instanci vytvořenou v době zřizování pracovního prostoru můžete zašifrovat.
Důležité
Služba Azure Machine Učení vyžaduje, abyste v registru kontejneru povolili účet správce. Ve výchozím nastavení je toto nastavení při vytváření registru kontejneru zakázané. Informace o povolení účtu správce najdete v části Správa účet dále v tomto článku.
Po vytvoření registru kontejneru pro pracovní prostor ho neodstraňovat. Tím dojde k přerušení pracovního prostoru Azure Machine Učení.
Příklady vytvoření pracovního prostoru pomocí existujícího registru kontejneru najdete v následujících článcích:
- Vytvoření pracovního prostoru pro službu Azure Machine Učení pomocí Azure CLI
- Vytvoření pracovního prostoru pomocí sady Python SDK
- Použití šablony Azure Resource Manager k vytvoření pracovního prostoru pro Azure Machine Learning
Azure Container Instances
Důležité
Nasazení do služby Azure Container Instances závisí na sadě Azure Machine Učení Python SDK a rozhraní příkazového řádku verze 1.
Nasazený prostředek služby Azure Container Instances můžete zašifrovat pomocí klíčů spravovaných zákazníkem. Klíče spravované zákazníkem, které používáte pro Container Instances, se dají uložit do trezoru klíčů pro váš pracovní prostor.
PLATÍ PRO:
Python SDK azureml v1
Pokud chcete použít klíč při nasazování modelu do služby Container Instances, vytvořte novou konfiguraci nasazení pomocí AciWebservice.deploy_configuration(). Zadejte klíčové informace pomocí následujících parametrů:
cmk_vault_base_url: Adresa URL trezoru klíčů, který tento klíč obsahuje.cmk_key_name: Název klíče.cmk_key_version: Verze klíče.
Další informace o vytváření a používání konfigurace nasazení najdete v následujících článcích:
Další informace o použití klíče spravovaného zákazníkem se službou Container Instances najdete v tématu Šifrování dat nasazení.
Azure Kubernetes Service
Nasazený prostředek služby Azure Kubernetes Service můžete kdykoli zašifrovat pomocí klíčů spravovaných zákazníkem. Další informace najdete v tématu Používání vlastních klíčů se službou Azure Kubernetes Service.
Tento proces umožňuje šifrovat data i disk s operačním systémem nasazených virtuálních počítačů v clusteru Kubernetes.
Důležité
Tento proces funguje jenom s AKS verze 1.17 nebo novější. Azure Machine Učení přidali podporu pro AKS 1.17 13. ledna 2020.
Výpočetní Učení počítače
Výpočtový cluster
Disk s operačním systémem pro každý výpočetní uzel uložený ve službě Azure Storage je šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště azure Učení. Tento cílový výpočetní objekt je dočasný a clustery se obvykle škálují dolů, když se nezařadí do fronty žádné úlohy. Základní virtuální počítač se zruší a disk s operačním systémem se odstraní.
Služba Azure Disk Encryption není ve výchozím nastavení povolená pro pracovní prostory. Pokud vytvoříte pracovní prostor s parametrem hbi_workspace nastaveným na TRUE, disk s operačním systémem se zašifruje.
Každý virtuální počítač má také místní dočasný disk pro operace operačního systému. Pokud chcete, můžete disk použít k přípravě trénovacích dat. Pokud vytvoříte pracovní prostor s parametrem nastaveným hbi_workspace na TRUE, dočasný disk se zašifruje. Toto prostředí je krátkodobé (pouze během vaší úlohy) a podpora šifrování je omezená pouze na klíče spravované systémem.
Spravované online koncové body a dávkové koncové body používají službu Azure Machine Učení výpočetních prostředků v back-endu a používají stejný mechanismus šifrování.
Výpočetní instance
Disk s operačním systémem pro výpočetní instanci je šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště Azure Machine Učení. Pokud vytvoříte pracovní prostor s parametrem hbi_workspace nastaveným na TRUE, místní operační systém a dočasné disky ve výpočetní instanci se šifrují pomocí klíčů spravovaných Microsoftem. Šifrování klíče spravovaného zákazníkem není podporováno pro operační systém a dočasné disky.
Další informace najdete v tématu Klíče spravované zákazníkem pro službu Azure Machine Učení.
Azure Data Factory
Kanál Azure Data Factory ingestuje data pro použití se službou Azure Machine Učení. Azure Data Factory šifruje neaktivní uložená data, včetně definic entit a všech dat uložených v mezipaměti během spuštění. Ve výchozím nastavení se data šifrují náhodně vygenerovaným klíčem spravovaným Microsoftem, který je jednoznačně přiřazený k vaší datové továrně.
Informace o tom, jak používat klíče spravované zákazníkem k šifrování, najdete v tématu Šifrování služby Azure Data Factory pomocí klíčů spravovaných zákazníkem.
Azure Databricks
Azure Databricks můžete použít v kanálech Azure Machine Učení. Ve výchozím nastavení je systém souborů Databricks (DBFS), který Azure Databricks používá, šifrovaný prostřednictvím klíče spravovaného Microsoftem. Pokud chcete nakonfigurovat Službu Azure Databricks tak, aby používala klíče spravované zákazníkem, přečtěte si téma Konfigurace klíčů spravovaných zákazníkem ve výchozím (kořenovém) systému souborů DBFS.
Data generovaná Microsoftem
Když používáte služby, jako je Azure Machine Učení, může Microsoft generovat přechodná předem zpracovaná data pro trénování více modelů. Tato data jsou uložená v úložišti dat ve vašem pracovním prostoru, takže můžete vynutit řízení přístupu a šifrování odpovídajícím způsobem.
Můžete také chtít zašifrovat diagnostické informace, které se protokolují z nasazeného koncového bodu do služby Application Přehledy.
Šifrování během přenosu
Azure Machine Učení používá protokol TLS (Transport Layer Security) k zabezpečení interní komunikace mezi různými mikroslužbami Učení azure machine. Veškerý přístup ke službě Azure Storage také probíhá přes zabezpečený kanál.
K zabezpečení externích volání provedených v bodovacím koncovém bodu používá Azure Machine Učení protokol TLS. Další informace najdete v tématu Zabezpečení webové služby prostřednictvím služby Azure Machine Learning s využitím protokolu TLS.
Shromažďování a zpracování dat
Pro účely diagnostiky může Microsoft shromažďovat informace, které neidentifikují uživatele. Microsoft může například shromažďovat názvy prostředků (například název datové sady nebo název experimentu strojového učení) nebo proměnné prostředí úloh. Všechna taková data se ukládají prostřednictvím klíčů spravovaných Microsoftem v úložišti hostovaných v předplatných vlastněných Microsoftem. Úložiště se řídí standardními zásadami ochrany osobních údajů a standardy pro zpracování dat od Microsoftu. Tato data zůstanou ve stejné oblasti jako váš pracovní prostor.
Doporučujeme neukládat citlivé informace (například tajné kódy klíče účtu) do proměnných prostředí. Protokoly Microsoftu, šifruje a ukládá proměnné prostředí. Podobně se při pojmenování úloh vyhněte zahrnutí citlivých informací, jako jsou uživatelská jména nebo názvy tajných projektů. Tyto informace se můžou objevit v protokolech telemetrie, ke kterým mají přístup technici podpory Microsoftu.
Ze shromažďování diagnostických dat se můžete odhlásit nastavením hbi_workspace parametru na TRUE při zřizování pracovního prostoru. Tato funkce se podporuje při použití sady Azure Machine Učení Python SDK, Azure CLI, rozhraní REST API nebo šablon Azure Resource Manageru.
Úložiště přihlašovacích údajů ve službě Azure Key Vault
Azure Machine Učení používá instanci služby Azure Key Vault přidruženou k pracovnímu prostoru k ukládání přihlašovacích údajů různých typů:
- Přidružená připojovací řetězec pro účet úložiště
- Hesla k instancím služby Azure Container Registry
- Připojení ionové řetězce do úložišť dat
Hesla a klíče Secure Shellu (SSH) k cílovým výpočetním objektům, jako je Azure HDInsight a virtuální počítače, se ukládají do samostatného trezoru klíčů, který je přidružený k předplatnému Microsoftu. Azure Machine Učení neukládá žádná hesla ani klíče, které uživatelé poskytují. Místo toho generuje, autorizuje a ukládá vlastní klíče SSH pro připojení k virtuálním počítačům a HDInsight ke spuštění experimentů.
Každý pracovní prostor má přidruženou spravovanou identitu přiřazenou systémem, která má stejný název jako pracovní prostor. Tato spravovaná identita má přístup ke všem klíčům, tajným klíčům a certifikátům v trezoru klíčů.