Vállalati biztonság és irányítás az Azure Machine Learninghez

Ebben a cikkben megismerheti az Azure Machine Learninghez elérhető biztonsági és szabályozási funkciókat. Ezek a funkciók olyan rendszergazdák, DevOps-mérnökök és MLOps-mérnökök számára hasznosak, akik olyan biztonságos konfigurációt szeretnének létrehozni, amely megfelel a szervezet szabályzatainak.

Az Azure Machine Learning és az Azure platform segítségével a következőket teheti:

• Erőforrásokhoz és műveletekhez való hozzáférés korlátozása felhasználói fiókok vagy csoportok szerint.
• A bejövő és kimenő hálózati kommunikáció korlátozása.
• Az átvitel alatt lévő és inaktív adatok titkosítása.
• Keresse meg a biztonsági réseket.
• Konfigurációs szabályzatok alkalmazása és naplózása.

Erőforrásokhoz és műveletekhez való hozzáférés korlátozása

A Microsoft Entra ID az Azure Machine Learning identitásszolgáltatója. Használatával létrehozhatja és kezelheti az Azure-erőforrások hitelesítéséhez használt biztonsági objektumokat (felhasználó, csoport, szolgáltatásnév és felügyelt identitás). A többtényezős hitelesítés (MFA) akkor támogatott, ha a Microsoft Entra ID a használatára van konfigurálva.

Az Azure Machine Learning MFA-on keresztüli hitelesítési folyamata a Microsoft Entra ID-ban:

1. Az ügyfél bejelentkezik a Microsoft Entra-azonosítóba, és lekéri az Azure Resource Manager-jogkivonatot.
2. Az ügyfél bemutatja a jogkivonatot az Azure Resource Managernek és az Azure Machine Learningnek.
3. Az Azure Machine Learning egy Machine Learning-szolgáltatásjogkivonatot biztosít a felhasználói számítási cél számára (például Machine Learning számítási fürt vagy kiszolgáló nélküli számítás). A felhasználói számítási cél ezzel a jogkivonattal hívja vissza a Machine Learning szolgáltatást a feladat befejezése után. A hatókör a munkaterületre korlátozódik.

Minden munkaterülethez tartozik egy társított, rendszer által hozzárendelt felügyelt identitás , amelynek neve megegyezik a munkaterület nevével. Ez a felügyelt identitás a munkaterület által használt erőforrások biztonságos elérésére szolgál. A következő Azure-szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkezik a társított erőforrásokhoz:

Erőforrás	Engedélyek
Munkaterület	Közreműködő
Tárfiók	Storage blobadat-közreműködő
Key Vault	Hozzáférés az összes kulcshoz, titkos kulcshoz, tanúsítványhoz
Container Registry	Közreműködő
A munkaterületet tartalmazó erőforráscsoport	Közreműködő

A rendszer által hozzárendelt felügyelt identitás az Azure Machine Learning és más Azure-erőforrások közötti belső szolgáltatásközi hitelesítéshez használatos. A felhasználók nem férhetnek hozzá az identitásjogkivonathoz, és nem használhatják arra, hogy hozzáférjenek ezekhez az erőforrásokhoz. A felhasználók csak az Azure Machine Learning vezérlő- és adatsík API-kkal férhetnek hozzá az erőforrásokhoz, ha megfelelő RBAC-engedélyekkel rendelkeznek.

Nem javasoljuk, hogy a rendszergazdák vonják vissza a felügyelt identitás hozzáférését az előző táblázatban említett erőforrásokhoz. A hozzáférést az újraszinkronizálási kulcsok műveletével állíthatja vissza.

Feljegyzés

Ha az Azure Machine Learning-munkaterület 2021. május 14. előtt létrehozott számítási célokkal (például számítási fürt, számítási példány vagy Azure Kubernetes Service [AKS] példány) rendelkezik, előfordulhat, hogy további Microsoft Entra-fiókkal rendelkezik. A fiók neve minden Microsoft-AzureML-Support-App- munkaterületi régióhoz hozzá van állítva, és közreműködői szintű hozzáféréssel rendelkezik az előfizetéshez.

Ha a munkaterületen nincs AKS-példány csatolva, nyugodtan törölheti ezt a Microsoft Entra-fiókot.

Ha a munkaterület rendelkezik csatolt AKS-fürtel, és 2021. május 14. előtt jött létre, ne törölje ezt a Microsoft Entra-fiókot. Ebben a forgatókönyvben a Microsoft Entra-fiók törlése előtt törölnie és újra létre kell hoznia az AKS-fürtöt.

A munkaterületet felhasználó által hozzárendelt felügyelt identitás használatára építheti ki, majd más szerepköröket adhat a felügyelt identitásnak. Megadhat például egy szerepkört a saját Azure Container Registry-példány eléréséhez az alap Docker-rendszerképekhez.

Felügyelt identitásokat is konfigurálhat az Azure Machine Learning számítási fürttel való használatra. Ez a felügyelt identitás független a munkaterület felügyelt identitásától. Számítási fürt esetén a felügyelt identitás olyan erőforrásokhoz, például biztonságos adattárakhoz való hozzáférésre szolgál, amelyekhez a betanítási feladatot futtató felhasználó nem fér hozzá. További információ: Felügyelt identitások használata hozzáférés-vezérléshez.

Tipp.

Vannak kivételek a Microsoft Entra ID és az Azure RBAC Azure Machine Learningben való használatára:

• Opcionálisan engedélyezheti a Secure Shell (SSH) hozzáférését olyan számítási erőforrásokhoz, mint az Azure Machine Learning számítási példánya és egy számítási fürt. Az SSH-hozzáférés nyilvános/privát kulcspárokon alapul, nem Microsoft Entra-azonosítón. Az Azure RBAC nem szabályozza az SSH-hozzáférést.
• Az online végpontként üzembe helyezett modellek hitelesítése kulcsalapú vagy jogkivonatalapú hitelesítéssel történik. A kulcsok statikus sztringek, míg a jogkivonatok egy Microsoft Entra biztonsági objektumhoz lesznek lekérve. További információ: Ügyfelek hitelesítése online végpontokhoz.

További információért tekintse át az alábbi cikkeket:

• Hitelesítés beállítása az Azure Machine Learning-erőforrásokhoz és -munkafolyamatokhoz
• Azure Machine Learning-munkaterülethez való hozzáférés kezelése
• Adattárak használata
• Hitelesítési hitelesítő adatok titkos kulcsának használata az Azure Machine Learning-feladatokban
• Hitelesítés beállítása az Azure Machine Learning és más szolgáltatások között

Hálózati biztonság és elkülönítés biztosítása

Az Azure Machine Learning-erőforrásokhoz való hálózati hozzáférés korlátozásához használhat azure Machine Learning által felügyelt virtuális hálózatot vagy Azure Virtual Network-példányt. A virtuális hálózat használata csökkenti a megoldás támadási felületét és az adatkiszivárgás esélyét.

Nem kell egyiket vagy a másikat választania. Az Azure Machine Learning által felügyelt virtuális hálózatokkal például biztonságossá teheti a felügyelt számítási erőforrásokat és egy Azure Virtual Network-példányt a nem felügyelt erőforrásokhoz, vagy biztonságossá teheti a munkaterülethez való ügyfélhozzáférést.

• Felügyelt Azure Machine Learning virtuális hálózat: Teljes körűen felügyelt megoldást kínál, amely lehetővé teszi a munkaterület és a felügyelt számítási erőforrások hálózati elkülönítését. Privát végpontokkal biztonságossá teheti a kommunikációt más Azure-szolgáltatásokkal, és korlátozhatja a kimenő kommunikációt. Felügyelt virtuális hálózat használata a következő felügyelt számítási erőforrások biztonságossá tételéhez:

  • Kiszolgáló nélküli számítás (beleértve a Kiszolgáló nélküli Sparkot is)
  • Számítási fürt
  • Számítási példány
  • Felügyelt online végpont
  • Batch online végpont

• Azure Virtual Network-példány: Testre szabhatóbb virtuális hálózati ajánlatot biztosít. Azonban ön a felelős a konfigurációért és a felügyeletért. Előfordulhat, hogy hálózati biztonsági csoportokat, felhasználó által megadott útvonalakat vagy tűzfalat kell használnia a kimenő kommunikáció korlátozásához.

További információkért tekintse meg a hálózatelkülönítési konfigurációk összehasonlítása című cikket.

Adatok titkosítása

Az Azure Machine Learning különböző számítási erőforrásokat és adattárakat használ az Azure-platformon. Ha többet szeretne megtudni arról, hogy ezek az erőforrások hogyan támogatják az adattitkosítást inaktív és átvitel közben, tekintse meg az Azure Machine Learning adattitkosítását.

Adatkiszivárgás megakadályozása

Az Azure Machine Learning számos bejövő és kimenő hálózati függőséggel rendelkezik. Ezen függőségek némelyike a szervezeten belüli rosszindulatú ügynökök adatkiszivárgási kockázatát teheti elérhetővé. Ezek a kockázatok az Azure Storage, az Azure Front Door és az Azure Monitor kimenő követelményeihez kapcsolódnak. A kockázat csökkentésére vonatkozó javaslatokért tekintse meg az Azure Machine Learning adatkiszivárgásának megelőzését.

Biztonsági rések keresése

Felhőhöz készült Microsoft Defender egységes biztonságkezelést és fejlett fenyegetésvédelmet biztosít a hibrid felhőbeli számítási feladatokhoz. Az Azure Machine Learning esetében engedélyeznie kell az Azure Container Registry-erőforrás és az AKS-erőforrások vizsgálatát. További információ: A Tárolóregisztrációs adatbázisokhoz készült Microsoft Defender bemutatása és a Kubernetes-hez készült Microsoft Defender bemutatása.

Naplózás és megfelelőség kezelése

Az Azure Policy egy szabályozási eszköz, amely segít biztosítani, hogy az Azure-erőforrások megfeleljenek a szabályzatoknak. Szabályzatokat állíthat be adott konfigurációk engedélyezésére vagy kikényszerítésére, például arra, hogy az Azure Machine Learning-munkaterület magánvégpontot használ-e.

Az Azure Policyval kapcsolatos további információkért tekintse meg az Azure Policy dokumentációját. Az Azure Machine Learningre vonatkozó szabályzatokról további információt az Azure Machine Learning naplózása és kezelése című témakörben talál.

Kapcsolódó tartalom

• Az Azure Machine Learning ajánlott eljárásai a nagyvállalati biztonsághoz
• Az Azure Machine Learning használata az Azure Virtual Network használatával
• Valós idejű javaslati API létrehozása az Azure-ban