Adattitkosítás az Azure Machine Tanulás
Az Azure Machine Tanulás különböző Azure-adattárolási szolgáltatásokra és számítási erőforrásokra támaszkodik a modellek betanítása és a következtetések végrehajtása során. Ebben a cikkben megismerheti az egyes szolgáltatások adattitkosítását mind a inaktív, mind az átvitel alatt álló szolgáltatások esetében.
A betanítás során éles szintű titkosításhoz javasoljuk, hogy használjon Azure Machine Tanulás számítási fürtöt. Az éles szintű titkosításhoz a következtetés során az Azure Kubernetes Service (AKS) használatát javasoljuk.
Az Azure Machine Tanulás számítási példány egy fejlesztői/tesztelési környezet. Ha használja, javasoljuk, hogy fájlmegosztásban tárolja a fájlokat, például a jegyzetfüzeteket és a szkripteket. Tárolja az adatokat egy adattárban.
Titkosítás inaktív állapotban
Az Azure Machine Tanulás végpontok közötti projektek integrálhatók olyan szolgáltatásokkal, mint az Azure Blob Storage, az Azure Cosmos DB és az Azure SQL Database. Ez a cikk az ilyen szolgáltatások titkosítási módszereit ismerteti.
Azure Blob Storage
Az Azure Machine Tanulás az Azure Machine Tanulás-munkaterülethez és az előfizetéshez kapcsolódó Azure Blob Storage-fiókban (alapértelmezett tárfiók) tárolja a pillanatképeket, a kimeneteket és a naplókat. Az Azure Blob Storage-ban tárolt összes adat titkosítva van a Microsoft által felügyelt kulcsokkal.
Az Azure Blob Storage-ban tárolt adatokhoz saját kulcsok használatával kapcsolatos információkért lásd az Azure Storage ügyfél által felügyelt kulcsokkal való titkosítását az Azure Key Vaultban.
A betanítási adatokat általában az Azure Blob Storage tárolja, hogy a betanítási számítási célok hozzáférhessenek azokhoz. Az Azure Machine Tanulás nem kezeli ezt a tárterületet. Ez a tároló távoli fájlrendszerként van csatlakoztatva a számítási célokhoz.
Ha el kell forgatnia vagy vissza kell vonnia a kulcsot, ezt bármikor megteheti. Amikor elforgat egy kulcsot, a tárfiók az új kulccsal (legújabb verzió) kezdi meg az inaktív adatok titkosítását. Egy kulcs visszavonása (letiltása) esetén a tárfiók gondoskodik a sikertelen kérelmekről. A rotáció vagy visszavonás érvénybe lépése általában egy órát vesz igénybe.
A hozzáférési kulcsok újragenerálásáról további információt a tárfiók hozzáférési kulcsainak újragenerálása című témakörben talál.
Azure Data Lake Storage
Feljegyzés
2024. február 29-én az Azure Data Lake Storage Gen1 megszűnik. További információért tekintse meg a hivatalos bejelentést. Ha az Azure Data Lake Storage Gen1-et használja, a dátum előtt mindenképpen migráljon az Azure Data Lake Storage Gen2-be. További információ: Azure Data Lake Storage migrálása Gen1-ből Gen2-be az Azure Portal használatával.
Ha még nem rendelkezik Azure Data Lake Storage Gen1-fiókkal, nem hozhat létre újakat.
Az Azure Data Lake Storage Gen2 az Azure Blob Storage-ra épül, és nagyvállalati big data-elemzésekhez készült. A Data Lake Storage Gen2 az Azure Machine Tanulás adattáraként használatos. Az Azure Blob Storage-hez hasonlóan a inaktív adatok a Microsoft által felügyelt kulcsokkal vannak titkosítva.
Az Azure Data Lake Storage-ban tárolt adatokhoz a saját kulcsok használatáról további információt az Azure Storage ügyfél által felügyelt kulcsokkal történő titkosításával az Azure Key Vaultban talál.
Azure relációs adatbázisok
Az Azure Machine Tanulás szolgáltatás az alábbi adatforrásokból származó adatokat támogatja.
Azure SQL Database
A transzparens adattitkosítás az inaktív adatok titkosításával segít megvédeni az Azure SQL Database-t a rosszindulatú offline tevékenységek veszélyétől. Alapértelmezés szerint a Microsoft által felügyelt kulcsokat használó összes újonnan üzembe helyezett SQL-adatbázis esetében engedélyezve van a transzparens adattitkosítás.
Az ügyfél által felügyelt kulcsok transzparens adattitkosításhoz való használatáról az Azure SQL Database transzparens adattitkosításában olvashat.
Azure Database for PostgreSQL
Alapértelmezés szerint az Azure Database for PostgreSQL Azure Storage-titkosítással titkosítja az inaktív adatokat a Microsoft által felügyelt kulcsokkal. Hasonló a transzparens adattitkosításhoz más adatbázisokban, például az SQL Serverben.
Az ügyfél által felügyelt kulcsok transzparens adattitkosításhoz való használatáról az Azure Database for PostgreSQL egykiszolgálós adattitkosítása ügyfél által felügyelt kulccsal című témakörben olvashat.
Azure Database for MySQL
Az Azure Database for MySQL egy relációsadatbázis-szolgáltatás a Microsoft Cloudban. Ez a MySQL Community Edition adatbázismotoron alapul. Az Azure Database for MySQL szolgáltatás a FIPS 140-2 hitelesített titkosítási modult használja az inaktív adatok Azure Storage-titkosításához.
Az adatok ügyfél által felügyelt kulcsokkal történő titkosításához tekintse meg az Azure Database for MySQL-adattitkosítást egy ügyfél által felügyelt kulccsal.
Azure Cosmos DB
Az Azure Machine Tanulás egy Azure Cosmos DB-példányban tárolja a metaadatokat. Ez a példány egy Microsoft-előfizetéshez van társítva, amelyet az Azure Machine Tanulás kezel. Az Azure Cosmos DB-ben tárolt összes adat titkosítva van a Microsoft által felügyelt kulcsokkal.
Ha saját (ügyfél által felügyelt) kulcsokat használ az Azure Cosmos DB-példány titkosításához, a rendszer létrehoz egy Microsoft által felügyelt Azure Cosmos DB-példányt az előfizetésében. Ez a példány egy Microsoft által felügyelt erőforráscsoportban jön létre, amely eltér a munkaterület erőforráscsoportjától. További információkért tekintse meg az Azure Machine Tanulás ügyfél által felügyelt kulcsait.
Azure Container Registry
A tárolóregisztrációs adatbázis összes tárolólemezképe (az Azure Container Registry egy példánya) inaktív állapotban titkosítva van. Az Azure automatikusan titkosítja a rendszerképet a tárolás előtt, és visszafejti azt, amikor az Azure Machine Tanulás lekéri a rendszerképet.
Ha ügyfél által felügyelt kulcsokat szeretne használni a tárolóregisztrációs adatbázis titkosításához, létre kell hoznia és csatolnia kell a tárolóregisztrációs adatbázist a munkaterület kiépítése során. A munkaterület kiépítésekor létrehozott alapértelmezett példányt titkosíthatja.
Fontos
Az Azure Machine Tanulás megköveteli, hogy engedélyezze a rendszergazdai fiókot a tárolóregisztrációs adatbázisban. Ez a beállítás alapértelmezés szerint le van tiltva tárolóregisztrációs adatbázis létrehozásakor. A rendszergazdai fiók engedélyezéséről a cikk későbbi részében Rendszergazda fiókról olvashat.
Miután létrehozott egy tárolóregisztrációs adatbázist egy munkaterülethez, ne törölje. Ez megszakítja az Azure Machine Tanulás-munkaterületet.
A munkaterület meglévő tárolóregisztrációs adatbázis használatával történő létrehozására az alábbi cikkekben talál példákat:
- Munkaterület létrehozása az Azure Machine Tanulás számára az Azure CLI használatával
- Munkaterület létrehozása a Python SDK-val
- Azure Machine Learning-munkaterület létrehozása Azure Resource Manager-sablonnal
Azure Container Instances
Fontos
Az Azure Container Instances üzembe helyezései az Azure Machine Tanulás Python SDK-ra és a CLI 1-re támaszkodnak.
Az üzembe helyezett Azure Container Instances-erőforrásokat ügyfél által felügyelt kulcsokkal titkosíthatja. A tárolópéldányokhoz használt ügyfél által kezelt kulcsok a munkaterület kulcstartójában tárolhatók.
ÉRVÉNYES:
Python SDK azureml v1
Ha a kulcsot a modell tárolópéldányokban való üzembe helyezésekor szeretné használni, hozzon létre egy új üzembehelyezési konfigurációt a használatával AciWebservice.deploy_configuration(). Adja meg a legfontosabb információkat a következő paraméterekkel:
cmk_vault_base_url: A kulcsot tartalmazó kulcstartó URL-címe.cmk_key_name: A kulcs neve.cmk_key_version: A kulcs verziója.
Az üzembehelyezési konfiguráció létrehozásával és használatával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Az ügyfél által felügyelt kulcs tárolópéldányokkal való használatáról további információt az üzembehelyezési adatok titkosítása című témakörben talál.
Azure Kubernetes Service
Az üzembe helyezett Azure Kubernetes Service-erőforrást bármikor titkosíthatja ügyfél által felügyelt kulcsokkal. További információ: Saját kulcsok használata az Azure Kubernetes Service-ben.
Ez a folyamat lehetővé teszi a Kubernetes-fürtben üzembe helyezett virtuális gépek adatainak és operációsrendszer-lemezének titkosítását.
Fontos
Ez a folyamat csak az AKS 1.17-es vagy újabb verziójával működik. Az Azure Machine Tanulás 2020. január 13-án hozzáadta az AKS 1.17 támogatását.
Gépi Tanulás számítás
Számítási fürt
Az Azure Storage-ban tárolt összes számítási csomópont operációsrendszer-lemeze Microsoft által felügyelt kulcsokkal van titkosítva az Azure Machine Tanulás tárfiókokban. Ez a számítási cél rövid élettartamú, és a fürtök általában le vannak skálázva, ha nincsenek várólistán lévő feladatok. A mögöttes virtuális gép le lesz bontva, és az operációsrendszer-lemez törlődik.
Az Azure Disk Encryption alapértelmezés szerint nincs engedélyezve a munkaterületeken. Ha a munkaterületet a hbi_workspace megadott TRUEparaméterrel hozza létre, a rendszer titkosítja az operációsrendszer-lemezt.
Minden virtuális gép helyi ideiglenes lemezzel is rendelkezik az operációs rendszer műveleteihez. Ha szeretné, a lemez használatával szakaszosítheti a betanítási adatokat. Ha a munkaterületet a hbi_workspace megadott TRUEparaméterrel hozza létre, az ideiglenes lemez titkosítva lesz. Ez a környezet rövid élettartamú (csak a feladat során), és a titkosítási támogatás csak a rendszer által felügyelt kulcsra korlátozódik.
A felügyelt online végpontok és kötegvégpontok az Azure Machine Tanulás számítási feladatokat használják a háttérrendszerben, és ugyanazt a titkosítási mechanizmust követik.
Számítási példány
A számítási példány operációsrendszer-lemeze Microsoft által felügyelt kulcsokkal van titkosítva az Azure Machine Tanulás tárfiókokban. Ha a munkaterületet a hbi_workspace megadott TRUEparaméterrel hozza létre, a számítási példány helyi operációs rendszere és ideiglenes lemezei Microsoft által felügyelt kulcsokkal vannak titkosítva. Az ügyfél által felügyelt kulcstitkosítás operációs rendszer és ideiglenes lemezek esetében nem támogatott.
További információkért tekintse meg az Azure Machine Tanulás ügyfél által felügyelt kulcsait.
Azure Data Factory
Az Azure Data Factory-folyamat betölti az Adatokat az Azure Machine Tanulás való használatra. Az Azure Data Factory titkosítja az inaktív adatokat, beleértve az entitásdefiníciókat és a futtatás közben gyorsítótárazott összes adatot. Alapértelmezés szerint az adatok titkosítva vannak egy véletlenszerűen létrehozott Microsoft által felügyelt kulccsal, amely egyedileg van hozzárendelve az adat-előállítóhoz.
Az ügyfél által felügyelt kulcsok titkosításhoz való használatáról további információt az Azure Data Factory titkosítása ügyfél által felügyelt kulcsokkal című témakörben talál.
Azure Databricks
Az Azure Databricks az Azure Machine Tanulás folyamatokban is használható. Alapértelmezés szerint az Azure Databricks által használt Databricks fájlrendszer (DBFS) egy Microsoft által felügyelt kulccsal van titkosítva. Az Azure Databricks ügyfél által felügyelt kulcsok használatára való konfigurálásához tekintse meg az ügyfél által felügyelt kulcsok alapértelmezett (gyökér)DBFS-ben való konfigurálását.
Microsoft által létrehozott adatok
Ha olyan szolgáltatásokat használ, mint az Azure Machine Tanulás, a Microsoft átmeneti, előre feldolgozott adatokat hozhat létre több modell betanításához. Ezeket az adatokat a munkaterület egy adattárában tárolja, így a hozzáférés-vezérlést és a titkosítást megfelelően kényszerítheti ki.
Az üzembe helyezett végpontról az Application Elemzések-be naplózott diagnosztikai adatokat is érdemes titkosítani.
Titkosítás az átvitel során
Az Azure Machine Tanulás Transport Layer Security (TLS) használatával biztosítja a különböző Azure Machine-Tanulás mikroszolgáltatások közötti belső kommunikációt. Minden Azure Storage-hozzáférés egy biztonságos csatornán keresztül is megtörténik.
A pontozó végpontra irányuló külső hívások biztonságossá tételéhez az Azure Machine Tanulás TLS-t használ. További információért lásd: TLS használata webszolgáltatás védelméhez az Azure Machine Learning szolgáltatás segítségével.
Adatgyűjtés és -kezelés
Diagnosztikai célokból a Microsoft olyan adatokat gyűjthet, amelyek nem azonosítják a felhasználókat. Előfordulhat például, hogy a Microsoft erőforrásneveket (például az adathalmaz nevét vagy a gépi tanulási kísérlet nevét) vagy feladatkörnyezeti változókat gyűjt. Minden ilyen adatot a Microsoft által felügyelt kulcsok tárolnak a Microsoft által birtokolt előfizetésekben üzemeltetett tárolóban. A tárolás a Microsoft szabványos adatvédelmi szabályzatát és adatkezelési szabványait követi. Ezek az adatok a munkaterületével azonos régióban maradnak.
Javasoljuk, hogy ne tároljunk bizalmas információkat (például fiókkulcskulcsokat) a környezeti változókban. A Microsoft naplózza, titkosítja és tárolja a környezeti változókat. Hasonlóképpen, amikor elnevezi a feladatokat, kerülje a bizalmas adatok, például a felhasználónevek vagy a titkos projektnevek beiktatását. Ezek az információk megjelenhetnek a Microsoft támogatási mérnökei által elérhető telemetriai naplókban.
A diagnosztikai adatok gyűjtését úgy tilthatja le, ha TRUE a paramétert a hbi_workspace munkaterület kiépítésekor állítja be. Ez a funkció akkor támogatott, ha az Azure Machine Tanulás Python SDK-t, az Azure CLI-t, a REST API-kat vagy az Azure Resource Manager-sablonokat használja.
Hitelesítő adatok tárolása az Azure Key Vaultban
Az Azure Machine Tanulás a munkaterülethez társított Azure Key Vault-példányt használja a különböző típusú hitelesítő adatok tárolására:
- A tárfiók társított kapcsolati sztring
- Jelszavak az Azure Container Registry-példányokhoz
- Csatlakozás adattárakra vonatkozó sztringek
A Secure Shell (SSH) jelszavai és kulcsai a számítási célokhoz, például az Azure HDInsighthoz és a virtuális gépekhez egy külön kulcstartóban vannak tárolva, amely a Microsoft-előfizetéshez van társítva. Az Azure Machine Tanulás nem tárolja a felhasználók által megadott jelszavakat vagy kulcsokat. Ehelyett létrehozza, engedélyezi és tárolja a saját SSH-kulcsait, hogy csatlakozzanak a virtuális gépekhez és a HDInsighthoz a kísérletek futtatásához.
Minden munkaterülethez tartozik egy társított, rendszer által hozzárendelt felügyelt identitás, amelynek neve megegyezik a munkaterület nevével. Ez a felügyelt identitás hozzáféréssel rendelkezik a kulcstartó összes kulcsához, titkos kulcsához és tanúsítványához.