Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a implementar redes seguras para cargas de trabajo de inteligencia artificial en Azure servicios de plataforma. Necesita redes seguras para proteger los modelos de inteligencia artificial confidencial, garantizar la privacidad de los datos y mantener los requisitos de cumplimiento. La configuración de red adecuada controla el acceso a Foundry y a las herramientas de Foundry, a la vez que optimiza el rendimiento para el entrenamiento y la implementación de modelos.
Uso de redes virtuales
Las redes virtuales establecen límites de comunicación seguros para los servicios de inteligencia artificial y evitan el acceso no autorizado desde redes públicas. Los puntos de conexión privados eliminan la exposición pública a Internet al tiempo que mantienen la funcionalidad y el rendimiento completos del servicio. Debe usar redes virtuales con puntos de conexión privados para proteger los modelos, los datos y los servicios de inteligencia artificial frente a amenazas externas. A continuación se muestra cómo hacerlo:
Cree puntos de conexión privados para todos los servicios de la plataforma de IA. Los puntos de conexión privados proporcionan interfaces de red dedicadas dentro de la red virtual que se conectan directamente a los servicios de Azure. Esta configuración elimina la exposición pública a Internet al tiempo que mantiene la funcionalidad completa y el rendimiento de las cargas de trabajo de IA. Utilice el enlace privado para Foundry y aplique las mismas restricciones a Foundry Tools.
Implemente servicios auxiliares dentro del límite de red. Los servicios auxiliares como Azure Storage, Azure Key Vault y Azure Container Registry deben funcionar dentro del mismo límite de red seguro que los servicios de INTELIGENCIA ARTIFICIAL. Esta configuración garantiza una posición de seguridad coherente en todos los componentes, a la vez que mantiene los controles de acceso adecuados para las dependencias de carga de trabajo de IA. Use puntos de conexión privados para conectar estos servicios auxiliares a las redes virtuales administradas, como se muestra en la arquitectura de referencia de chat de Baseline Foundry.
control del tráfico de red
El control de tráfico de red define cómo fluyen los datos entre los servicios de IA y los sistemas externos. Las restricciones de tráfico adecuadas protegen los datos confidenciales de la inteligencia artificial y garantizan operaciones seguras. Debe implementar controles de tráfico para proteger las cargas de trabajo de inteligencia artificial y mantener la seguridad operativa. A continuación se muestra cómo hacerlo:
Implemente el acceso seguro mediante la infraestructura de jumpbox. El acceso de Jumpbox proporciona un punto de entrada centralizado en el entorno de red de IA, a la vez que mantiene límites de seguridad estrictos. Esta configuración evita la exposición directa de los recursos de inteligencia artificial a redes externas al tiempo que habilita el acceso seguro. Use un jumpbox dentro de la red virtual de carga de trabajo de IA o una red virtual del centro de conectividad y configure Azure Bastion para proteger la conectividad RDP/SSH sin exponer máquinas virtuales a la red pública de Internet.
Restringir el tráfico saliente a destinos aprobados. Las restricciones de tráfico saliente impiden la filtración de datos no autorizadas, al tiempo que permiten la comunicación necesaria para el entrenamiento e inferencia del modelo de IA. Este enfoque protege los modelos de inteligencia artificial y los datos de entrenamiento al tiempo que mantiene la conectividad para las operaciones legítimas. Limite el tráfico saliente a servicios aprobados y nombres de dominio completos (FQDN) como se documenta para Foundry Tools y Foundry.
Prepare los servicios de resolución de nombres de dominio. Implemente la infraestructura de Azure DNS como parte de su zona de aterrizaje Azure y configure reenviadores condicionales para las zonas adecuadas. Esta configuración garantiza una resolución de nombres confiable para una comunicación segura entre cargas de trabajo de IA y sistemas externos.
Configure los controles de acceso a la red. Use grupos de seguridad de red (NSG) para definir y aplicar directivas de acceso para el tráfico entrante y saliente. Estos controles implementan el principio de privilegios mínimos, lo que garantiza que solo se permite la comunicación esencial.
Use los servicios de supervisión de red. Supervise el rendimiento y el estado de la red mediante herramientas como Azure Monitor Network Insights y Azure Network Watcher. Para la detección y respuesta avanzadas de amenazas, integre Microsoft Sentinel en la estrategia de supervisión de red de Azure.
Deploy Azure Firewall para proteger el tráfico saliente. Azure Firewall aplica directivas de seguridad para el tráfico saliente antes de llegar a Internet. Úselo para controlar y supervisar el tráfico saliente, habilite SNAT para la traducción ip privada y garantice la comunicación saliente segura e identificable.
Use Azure Web Application Firewall (WAF) para cargas de trabajo accesibles desde Internet. Azure WAF protege las cargas de trabajo de inteligencia artificial frente a vulnerabilidades web comunes, como las inyecciones de SQL y los ataques de scripting entre sitios. Configure Azure WAF en Application Gateway para mejorar la seguridad de las cargas de trabajo expuestas al tráfico web malintencionado.
recursos de Azure
| Categoría | Herramienta | Descripción |
|---|---|---|
| Aislamiento de red | Azure Virtual Network | Crea límites de red seguros y habilita la comunicación privada entre los recursos de Azure |
| Conectividad privada | Azure Private Link | Proporciona acceso privado a los servicios de Azure a través de la red troncal de Microsoft |
| Acceso seguro | Azure Bastion | Ofrece conectividad RDP/SSH segura sin exposición de IP pública |
| Administración de DNS | Azure DNS privado | Administra zonas DNS privadas para la resolución de nombres segura dentro de las redes virtuales. |
| Puerta de enlace de API | Azure API Management | Centraliza la administración de API y la seguridad para los puntos de conexión de servicio de IA. |
| Seguridad web | Azure Application Gateway | Proporciona funcionalidades seguras de terminación HTTPS y firewall de aplicaciones web |
| Entrega global | Azure Front Door | Ofrece equilibrio de carga global y conectividad perimetral segura para aplicaciones de inteligencia artificial |