Ajánlott eljárások a biztonságos kódhoz
Az Azure Machine Tanulás bármilyen forrásból feltölthet fájlokat és tartalmakat az Azure-ba. A Jupyter-jegyzetfüzetekben vagy -szkriptekben betöltött tartalmak potenciálisan adatokat olvashatnak a munkamenetekből, hozzáférhetnek a szervezeten belüli bizalmas adatokhoz az Azure-ban, vagy rosszindulatú folyamatokat futtathatnak az Ön nevében.
Fontos
Csak megbízható forrásokból származó jegyzetfüzeteket vagy parancsfájlokat futtathat. Például ahol Ön vagy a biztonsági csapat áttekintette a jegyzetfüzetet vagy a szkriptet.
Lehetséges fenyegetések
Az Azure Machine-Tanulás való fejlesztés gyakran webes fejlesztési környezeteket, például jegyzetfüzeteket vagy az Azure Machine Tanulás studiót is magában foglal. Webes fejlesztési környezetek használata esetén a lehetséges fenyegetések a következők:
Helyek közötti szkriptelés (XSS)
- DOM-injektálás: Ez a támadástípus módosíthatja a böngészőben megjelenő felhasználói felületet. Például a Futtatás gomb viselkedésének módosításával egy Jupyter Notebookban.
- Hozzáférési jogkivonat vagy cookie-k: Az XSS-támadások a helyi tároló- és böngésző cookie-khoz is hozzáférhetnek. A Microsoft Entra hitelesítési jogkivonata helyi tárolóban van tárolva. Egy XSS-támadás ezzel a jogkivonattal API-hívásokat indíthat az Ön nevében, majd elküldheti az adatokat egy külső rendszernek vagy API-nak.
Helyek közötti hamisítás (CSRF):Ez a támadás lecserélheti egy kép VAGY hivatkozás URL-címét egy rosszindulatú szkript vagy API URL-címére. Amikor a rendszerkép be van töltve, vagy a hivatkozásra kattint, a rendszer hívást indít az URL-címre.
Azure Machine Tanulás studio-jegyzetfüzetek
Az Azure Machine Tanulás Studio üzemeltetett jegyzetfüzetet biztosít a böngészőben. A jegyzetfüzet cellái olyan HTML-dokumentumokat vagy töredékeket hozhatnak létre, amelyek kártékony kódot tartalmaznak. A kimenet megjelenítésekor a kód végrehajtható.
Lehetséges fenyegetések:
- Helyek közötti szkriptelés (XSS)
- Helyek közötti hamisítás (CSRF)
Az Azure Machine Tanulás által biztosított kockázatcsökkentések:
- A kódcella kimenete egy iframe-ben van tesztkörnyezetben. Az iframe megakadályozza, hogy a szkript hozzáférjen a szülő DOM-hez, a cookie-khoz vagy a munkamenet-tárolóhoz.
- A Markdown-cella tartalma a dompurify kódtár használatával lesz megtisztítva. Ez megakadályozza, hogy a rosszindulatú szkriptek markdown-cellákkal legyenek végrehajtva.
- A rendszer elküldi a kép URL-címét és markdown-hivatkozásait egy Microsoft által birtokolt végpontra, amely rosszindulatú értékeket keres. Ha rosszindulatú értéket észlel, a végpont elutasítja a kérést.
Javasolt műveletek:
- A stúdióba való feltöltés előtt ellenőrizze, hogy megbízik-e a fájlok tartalmában. Tudomásul kell vennie, hogy megbízható fájlokat tölt fel.
- Amikor egy külső alkalmazás megnyitására szolgáló hivatkozást választ, a rendszer kérni fogja, hogy bízzon az alkalmazásban.
Azure Machine Learning számítási példány
Az Azure Machine Tanulás számítási példány a Jupytert és a JupyterLabet üzemelteti. Ha bármelyiket használja, a jegyzetfüzetcellákban lévő kód képes HTML-dokumentumokat vagy rosszindulatú kódot tartalmazó töredékeket kimenetelni. A kimenet megjelenítésekor a kód végrehajtható. Ugyanezek a fenyegetések érvényesek a számítási példányon üzemeltetett RStudio vagy Posit Workbench (korábbi nevén RStudio Workbench) használatakor is.
Lehetséges fenyegetések:
- Helyek közötti szkriptelés (XSS)
- Helyek közötti hamisítás (CSRF)
Az Azure Machine Tanulás által biztosított kockázatcsökkentések:
- Nincs. A Jupyter és a JupyterLab az Azure Machine Tanulás számítási példányon üzemeltetett nyílt forráskódú alkalmazások.
Javasolt műveletek:
- A feltöltés előtt ellenőrizze, hogy megbízik-e a fájlok tartalmában. Tudomásul kell vennie, hogy megbízható fájlokat tölt fel.
Biztonsági problémák vagy problémák jelentése
Az Azure Machine Tanulás a Microsoft Azure Bounty Program keretében jogosult. További információ: https://www.microsoft.com/msrc/bounty-microsoft-azure.