Vállalati biztonság és irányítás az Azure Machine Learninghez
Ebben a cikkben megismerheti az Azure Machine Tanulás számára elérhető biztonsági és szabályozási funkciókat. Ezek a funkciók olyan rendszergazdák, DevOps-mérnökök és MLOps-mérnökök számára hasznosak, akik olyan biztonságos konfigurációt szeretnének létrehozni, amely megfelel a szervezet szabályzatainak.
Az Azure Machine Tanulás és az Azure platform segítségével a következőket teheti:
- Erőforrásokhoz és műveletekhez való hozzáférés korlátozása felhasználói fiókok vagy csoportok szerint.
- A bejövő és kimenő hálózati kommunikáció korlátozása.
- Az átvitel alatt lévő és inaktív adatok titkosítása.
- Keresse meg a biztonsági réseket.
- Konfigurációs szabályzatok alkalmazása és naplózása.
Erőforrásokhoz és műveletekhez való hozzáférés korlátozása
A Microsoft Entra ID az Azure Machine Tanulás identitásszolgáltatója. Használatával létrehozhatja és kezelheti az Azure-erőforrások hitelesítéséhez használt biztonsági objektumokat (felhasználó, csoport, szolgáltatásnév és felügyelt identitás). A többtényezős hitelesítés (MFA) akkor támogatott, ha a Microsoft Entra ID a használatára van konfigurálva.
Az Azure Machine Tanulás hitelesítési folyamata az MFA-ban a Microsoft Entra ID-ban:
- Az ügyfél bejelentkezik a Microsoft Entra-azonosítóba, és lekéri az Azure Resource Manager-jogkivonatot.
- Az ügyfél bemutatja a jogkivonatot az Azure Resource Managernek és az Azure Machine Tanulás.
- Az Azure Machine Tanulás gépi Tanulás szolgáltatásjogkivonatot biztosít a felhasználói számítási cél számára (például gépi Tanulás számítási fürtöt vagy kiszolgáló nélküli számítást). A felhasználói számítási cél ezzel a jogkivonattal hívja vissza a Machine Tanulás szolgáltatást a feladat befejezése után. A hatókör a munkaterületre korlátozódik.
Minden munkaterülethez tartozik egy társított, rendszer által hozzárendelt felügyelt identitás , amelynek neve megegyezik a munkaterület nevével. Ez a felügyelt identitás a munkaterület által használt erőforrások biztonságos elérésére szolgál. A következő Azure-szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkezik a társított erőforrásokhoz:
| Erőforrás | Jogosultságok |
|---|---|
| Munkaterület | Közreműködő |
| Tárfiók | Storage blobadat-közreműködő |
| Key Vault | Hozzáférés az összes kulcshoz, titkos kulcshoz, tanúsítványhoz |
| Container Registry | Közreműködő |
| A munkaterületet tartalmazó erőforráscsoport | Közreműködő |
A rendszer által hozzárendelt felügyelt identitás az Azure Machine Tanulás és más Azure-erőforrások közötti belső szolgáltatásközi hitelesítéshez használatos. A felhasználók nem férhetnek hozzá az identitásjogkivonathoz, és nem használhatják arra, hogy hozzáférjenek ezekhez az erőforrásokhoz. A felhasználók csak az Azure Machine Tanulás vezérlő- és adatsík API-kkal férhetnek hozzá az erőforrásokhoz, ha megfelelő RBAC-engedélyekkel rendelkeznek.
Nem javasoljuk, hogy a rendszergazdák vonják vissza a felügyelt identitás hozzáférését az előző táblázatban említett erőforrásokhoz. A hozzáférést az újraszinkronizálási kulcsok műveletével állíthatja vissza.
Feljegyzés
Ha az Azure Machine Tanulás-munkaterületen 2021. május 14. előtt létrehozott számítási célok (például számítási fürt, számítási példány vagy Azure Kubernetes Service [AKS] példány) vannak létrehozva, előfordulhat, hogy további Microsoft Entra-fiókkal rendelkezik. A fiók neve minden Microsoft-AzureML-Support-App- munkaterületi régióhoz hozzá van állítva, és közreműködői szintű hozzáféréssel rendelkezik az előfizetéshez.
Ha a munkaterületen nincs AKS-példány csatolva, nyugodtan törölheti ezt a Microsoft Entra-fiókot.
Ha a munkaterület rendelkezik csatolt AKS-fürtel, és 2021. május 14. előtt jött létre, ne törölje ezt a Microsoft Entra-fiókot. Ebben a forgatókönyvben a Microsoft Entra-fiók törlése előtt törölnie és újra létre kell hoznia az AKS-fürtöt.
Kiépítheti a munkaterületet egy felhasználó által hozzárendelt felügyelt identitás használatára, majd további szerepköröket adhat a felügyelt identitásnak. Megadhat például egy szerepkört a saját Azure Container Registry-példány eléréséhez az alap Docker-rendszerképekhez.
A felügyelt identitásokat az Azure Machine Tanulás számítási fürttel való használatra is konfigurálhatja. Ez a felügyelt identitás független a munkaterület felügyelt identitásától. Számítási fürt esetén a felügyelt identitás olyan erőforrásokhoz, például biztonságos adattárakhoz való hozzáférésre szolgál, amelyekhez a betanítási feladatot futtató felhasználó nem fér hozzá. További információ: Felügyelt identitások használata hozzáférés-vezérléshez.
Tipp.
Vannak kivételek a Microsoft Entra ID és az Azure RBAC Azure Machine-Tanulás való használatára:
- Opcionálisan engedélyezheti a Secure Shell (SSH) elérését olyan számítási erőforrásokhoz, mint az Azure Machine Tanulás számítási példány és egy számítási fürt. Az SSH-hozzáférés nyilvános/privát kulcspárokon alapul, nem Microsoft Entra-azonosítón. Az Azure RBAC nem szabályozza az SSH-hozzáférést.
- Az online végpontként üzembe helyezett modellek hitelesítése kulcsalapú vagy jogkivonatalapú hitelesítéssel történik. A kulcsok statikus sztringek, míg a jogkivonatok egy Microsoft Entra biztonsági objektumhoz lesznek lekérve. További információ: Ügyfelek hitelesítése online végpontokhoz.
További információért tekintse át az alábbi cikkeket:
- Hitelesítés beállítása az Azure Machine Learning-erőforrásokhoz és -munkafolyamatokhoz
- Azure Machine Learning-munkaterülethez való hozzáférés kezelése
- Adattárak használata
- Hitelesítési hitelesítő adatok titkos kulcsának használata az Azure Machine Tanulás-feladatokban
- Hitelesítés beállítása az Azure Machine Tanulás és más szolgáltatások között
Hálózati biztonság és elkülönítés biztosítása
Az Azure Machine Tanulás-erőforrásokhoz való hálózati hozzáférés korlátozásához használhat Azure Machine-Tanulás felügyelt virtuális hálózatot vagy Azure Virtual Network-példányt. A virtuális hálózat használata csökkenti a megoldás támadási felületét és az adatkiszivárgás esélyét.
Nem kell egyiket vagy a másikat választania. Egy Azure Machine Tanulás felügyelt virtuális hálózat használatával például biztonságossá teheti a felügyelt számítási erőforrásokat és egy Azure Virtual Network-példányt a nem felügyelt erőforrásokhoz, vagy biztonságossá teheti a munkaterülethez való ügyfélhozzáférést.
Azure Machine Tanulás felügyelt virtuális hálózat: Teljes körűen felügyelt megoldást kínál, amely lehetővé teszi a munkaterület és a felügyelt számítási erőforrások hálózatelkülönítését. Privát végpontokkal biztonságossá teheti a kommunikációt más Azure-szolgáltatásokkal, és korlátozhatja a kimenő kommunikációt. Felügyelt virtuális hálózat használata a következő felügyelt számítási erőforrások biztonságossá tételéhez:
- Kiszolgáló nélküli számítás (beleértve a Kiszolgáló nélküli Sparkot is)
- Számítási fürt
- Számítási példány
- Felügyelt online végpont
- Batch online végpont
További információ: Munkaterület által felügyelt virtuális hálózatok elkülönítése.
Azure Virtual Network-példány: Testre szabhatóbb virtuális hálózati ajánlatot biztosít. Azonban ön a felelős a konfigurációért és a felügyeletért. Előfordulhat, hogy hálózati biztonsági csoportokat, felhasználó által megadott útvonalakat vagy tűzfalat kell használnia a kimenő kommunikáció korlátozásához.
További információért tekintse át az alábbi cikkeket:
- Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával
- Azure Machine Learning-munkaterület biztonságossá tétele virtuális hálózatokkal
- Azure Machine Learning-beli betanítási környezet biztonságossá tétele virtuális hálózatokkal
- Dedukciós Azure Machine Learning-környezet biztonságossá tétele virtuális hálózatokkal
- Az Azure Machine Learning stúdió használata Azure-beli virtuális hálózaton
- A munkaterület használata egyéni DNS-kiszolgálóval
- Bejövő és kimenő hálózati forgalom konfigurálása
Adatok titkosítása
Az Azure Machine Tanulás különböző számítási erőforrásokat és adattárakat használ az Azure platformon. Ha többet szeretne megtudni arról, hogy ezek az erőforrások hogyan támogatják az inaktív és az átvitel alatt lévő adattitkosítást, tekintse meg az Azure Machine Tanulás adattitkosítását.
Adatkiszivárgás megakadályozása
Az Azure Machine Tanulás több bejövő és kimenő hálózati függőséget is használ. Ezen függőségek némelyike a szervezeten belüli rosszindulatú ügynökök adatkiszivárgási kockázatát teheti elérhetővé. Ezek a kockázatok az Azure Storage, az Azure Front Door és az Azure Monitor kimenő követelményeihez kapcsolódnak. A kockázat csökkentésére vonatkozó javaslatokért tekintse meg az Azure Machine Tanulás adatszűrés megelőzését.
Biztonsági rések keresése
Felhőhöz készült Microsoft Defender egységes biztonságkezelést és fejlett fenyegetésvédelmet biztosít a hibrid felhőbeli számítási feladatokhoz. Az Azure Machine Tanulás esetében engedélyeznie kell az Azure Container Registry-erőforrás és az AKS-erőforrások vizsgálatát. További információ: A Tárolóregisztrációs adatbázisokhoz készült Microsoft Defender bemutatása és a Kubernetes-hez készült Microsoft Defender bemutatása.
Naplózás és megfelelőség kezelése
Az Azure Policy egy szabályozási eszköz, amely segít biztosítani, hogy az Azure-erőforrások megfeleljenek a szabályzatoknak. Szabályzatokat állíthat be bizonyos konfigurációk engedélyezéséhez vagy kikényszerítéséhez, például azt, hogy az Azure Machine Tanulás-munkaterület magánvégpontot használ-e.
Az Azure Policyval kapcsolatos további információkért tekintse meg az Azure Policy dokumentációját. Az Azure Machine Tanulás vonatkozó szabályzatokról további információt az Azure Machine Tanulás naplózása és kezelése című témakörben talál.
Következő lépések
- Azure Machine Tanulás ajánlott eljárások a vállalati biztonsághoz
- Az Azure Machine Tanulás használata az Azure Firewall használatával
- Az Azure Machine Tanulás használata az Azure Virtual Network használatával
- Inaktív és átvitel alatt lévő adatok titkosítása
- Valós idejű javaslati API létrehozása az Azure-ban