Az Azure Machine Learning biztonságirés-kezelése
A biztonsági rések kezelése magában foglalja a szervezet rendszereiben és szoftvereiben meglévő biztonsági rések észlelését, értékelését, enyhítését és jelentéskészítését. A biztonságrés-kezelés az Ön és a Microsoft megosztott felelősségébe tartozik.
Ez a cikk ismerteti ezeket a feladatokat, és ismerteti az Azure Machine Learning által biztosított biztonságirés-kezelés vezérlőket. Megtudhatja, hogyan tarthatja naprakészen a szolgáltatáspéldányt és az alkalmazásokat a legújabb biztonsági frissítésekkel, és hogyan minimalizálhatja a támadók számára elérhető lehetőségeket.
Microsoft által felügyelt virtuálisgép-rendszerképek
Az Azure Machine Learning az Azure Machine Learning számítási példányainak, az Azure Machine Learning számítási fürtöknek és Adattudomány virtuális gépeknek a gazdagép operációsrendszer-virtuálisgép-rendszerképeit kezeli. A frissítés gyakorisága havonta történik, és a következő részleteket tartalmazza:
Minden új virtuálisgép-rendszerkép-verzióhoz a legújabb frissítések az operációs rendszer eredeti közzétevőjének forrásából származnak. A legújabb frissítések használatával biztosíthatja, hogy az operációs rendszerrel kapcsolatos összes javítást megkapja. Az Azure Machine Learning esetében a közzétevő a Canonical az összes Ubuntu-rendszerképhez. Ezek a rendszerképek Azure Machine Learning számítási példányokhoz, számítási fürtökhöz és Adattudomány virtuális gépekhez használhatók.
A virtuálisgép-rendszerképek havonta frissülnek.
Az eredeti közzétevő által alkalmazott javítások mellett az Azure Machine Learning frissítések esetén frissíti a rendszercsomagokat.
Az Azure Machine Learning ellenőrzi és ellenőrzi az esetlegesen frissítésre szoruló gépi tanulási csomagokat. A legtöbb esetben az új virtuálisgép-rendszerképek a legújabb csomagverziókat tartalmazzák.
Minden virtuálisgép-rendszerkép olyan biztonságos előfizetésekre épül, amelyek rendszeresen futtatják a biztonsági rések vizsgálatát. Az Azure Machine Learning megjelöli a címzés nélküli biztonsági réseket, és a következő kiadásban kijavítja őket.
A gyakoriság a legtöbb kép esetében havi rendszeresség. Számítási példányok esetén a rendszerkép kiadása igazodik a környezetben előre telepített Azure Machine Learning SDK kiadási üteméhez.
A rendszeres kiadási ütem mellett az Azure Machine Learning gyorsjavításokat is alkalmaz, ha a biztonsági rések felszínre érkeznek. A Microsoft 72 órán belül gyorsjavításokat hoz létre az Azure Machine Learning számítási fürtöihez, és egy héten belül számítási példányok esetén.
Feljegyzés
A gazda operációs rendszer nem az operációs rendszer azon verziója, amelyet a modell betanításakor vagy üzembe helyezésekor megadhat egy környezethez . A környezetek a Dockerben futnak. A Docker a gazdagép operációs rendszerén fut.
A Microsoft által felügyelt tárolórendszerképek
Az Azure Machine Learning által karbantartott docker-rendszerképek gyakran kapnak biztonsági javításokat az újonnan felfedezett biztonsági rések kezelése érdekében.
Az Azure Machine Learning kéthetente frissíti a támogatott rendszerképeket a biztonsági rések kezelése érdekében. Kötelezettségvállalásként arra törekszünk, hogy a támogatott képek legújabb verziójában ne legyen 30 napnál régebbi biztonsági rés.
A javított képek egy új nem módosítható címke és egy frissített :latest
címke alatt jelennek meg. Ha a :latest
címkét egy adott képverzióra rögzíti, az kompromisszumot jelenthet a gépi tanulási feladat biztonsági és környezeti reprodukálhatósága között.
Környezetek és tárolórendszerképek kezelése
A reprodukálhatóság a szoftverfejlesztés és a gépi tanulási kísérletezés kulcsfontosságú eleme. Az Azure Machine Learning környezeti összetevő elsődleges célja annak a környezetnek a reprodukálhatósága, amelyben a felhasználó kódját végrehajtják. A gépi tanulási feladatok reprodukálhatóságának biztosítása érdekében a rendszer a korábban létrehozott rendszerképeket újramaterializálás nélkül leküldi a számítási csomópontokra.
Bár az Azure Machine Learning minden kiadással alaprendszerképeket javít, a legújabb rendszerkép használata kompromisszumot jelenthet a reprodukálhatóság és a biztonságirés-kezelés között. Az Ön felelőssége, hogy kiválassza a feladatokhoz vagy modelltelepítésekhez használt környezeti verziót.
Alapértelmezés szerint a függőségek az Azure Machine Learning által a környezetek létrehozásakor biztosított alaprendszerképek fölé vannak rétegzve. Saját alaprendszerképeket is használhat, ha környezeteket használ az Azure Machine Learningben. Miután további függőségeket telepít a Microsoft által biztosított rendszerképekre, vagy saját alaprendszerképeket hoz, biztonságirés-kezelés lesz az Ön felelőssége.
Az Azure Machine Learning-munkaterülethez társított egy Azure Container Registry-példány, amely tárolólemezképek gyorsítótáraként működik. A rendszer minden lényeges képet leküld a tárolóregisztrációs adatbázisba. A munkaterület akkor használja, ha a kísérletezés vagy az üzembe helyezés a megfelelő környezetben aktiválódik.
Az Azure Machine Learning nem töröl lemezképet a tárolóregisztrációs adatbázisból. Ön a felelős azért, hogy idővel kiértékelje a rendszerkép szükségességét. A környezethigiénia monitorozásához és karbantartásához a Microsoft Defender for Container Registry használatával ellenőrizheti a rendszerképek biztonsági réseit. A Folyamatok a Microsoft Defender eseményindítói alapján történő automatizálásához tekintse meg a szervizelési válaszok automatizálása című témakört.
Privát csomagtárház használata
Az Azure Machine Learning a Conda és a Pip használatával telepíti a Python-csomagokat. Alapértelmezés szerint az Azure Machine Learning letölti a nyilvános adattárakból származó csomagokat. Ha a szervezet megköveteli, hogy csak magánadattárakból, például az Azure DevOps-hírcsatornákból származó csomagokat hozzon létre, felülbírálhatja a Conda- és Pip-konfigurációt az alaprendszerképek és a számítási példányok környezeti konfigurációi részeként.
Az alábbi példakonfiguráció bemutatja, hogyan távolíthatja el az alapértelmezett csatornákat, és hogyan adhat hozzá saját privát Conda- és Pip-hírcsatornákat. Fontolja meg a számítási példányok beállítási szkriptjeinek használatát az automatizáláshoz.
RUN conda config --set offline false \
&& conda config --remove channels defaults || true \
&& conda config --add channels https://my.private.conda.feed/conda/feed \
&& conda config --add repodata_fns <repodata_file_on_your_server>.json
# Configure Pip private indexes and ensure that the client trusts your host
RUN pip config set global.index https://my.private.pypi.feed/repository/myfeed/pypi/ \
&& pip config set global.index-url https://my.private.pypi.feed/repository/myfeed/simple/
# In case your feed host isn't secured through SSL
RUN pip config set global.trusted-host http://my.private.pypi.feed/
Ha szeretné megtudni, hogyan adhatja meg saját alaprendszerképeit az Azure Machine Learningben, olvassa el a Környezet létrehozása Docker-buildkörnyezetből című témakört. További információ a Conda-környezetek konfigurálásáról: Környezeti fájl manuális létrehozása a Conda-webhelyen.
Biztonságirés-kezelés számítási gazdagépeken
Az Azure Machine Learning felügyelt számítási csomópontjai Microsoft által felügyelt operációsrendszer-virtuálisgép-rendszerképeket használnak. Csomópont kiépítésekor a rendszer lekéri a legújabb frissített virtuálisgép-rendszerképet. Ez a viselkedés a számítási példányra, a számítási fürtre, a kiszolgáló nélküli számításra (előzetes verzió) és a felügyelt következtetési számítási lehetőségekre vonatkozik.
Bár az operációs rendszer virtuálisgép-rendszerképei rendszeresen javítva vannak, az Azure Machine Learning nem vizsgálja aktívan a számítási csomópontok biztonsági réseit használat közben. További védelmi rétegként fontolja meg a számítás hálózati elkülönítését.
Az Ön és a Microsoft közös felelőssége annak biztosítása, hogy a környezet naprakész legyen, és hogy a számítási csomópontok a legújabb operációsrendszer-verziót használják. A nem tétlen csomópontok nem frissíthetők a legújabb virtuálisgép-lemezképre. A szempontok kissé eltérnek az egyes számítási típusokhoz, az alábbi szakaszokban leírtak szerint.
Számítási példány
A számítási példányok a kiépítéskor a legújabb virtuálisgép-rendszerképeket kapják meg. A Microsoft havonta kiadja a új VM-képeket. A számítási példány üzembe helyezése után a rendszer nem frissíti aktívan. Lekérdezheti egy példány operációsrendszer-verzióját. A legújabb szoftverfrissítések és biztonsági javítások naprakészen tartásához az alábbi módszerek egyikét használhatja:
Hozzon létre újra egy számítási példányt a legújabb operációsrendszer-rendszerkép lekéréséhez (ajánlott).
Ha ezt a módszert használja, elveszíti a példány operációs rendszerén és ideiglenes lemezén tárolt adatokat és testreszabásokat (például telepített csomagokat).
A példány újbóli létrehozásakor:
- Tárolja a jegyzetfüzeteket a Felhasználói fájlok könyvtárban, hogy megőrizze őket.
- Adatok csatlakoztatása a fájlok megőrzéséhez.
A rendszerképek kiadásáról további információt az Azure Machine Learning számítási példány képkiadási megjegyzéseiben talál.
Rendszeresen frissítse az operációs rendszert és a Python-csomagokat.
Linux-csomagkezelési eszközökkel frissítse a csomaglistát a legújabb verziókkal:
sudo apt-get update
Linux-csomagkezelési eszközökkel frissítse a csomagokat a legújabb verziókra. A megközelítés használatakor csomagütközések léphetnek fel.
sudo apt-get upgrade
A Python-csomagkezelési eszközökkel frissítheti a csomagokat, és ellenőrizheti a frissítéseket:
pip list --outdated
További ellenőrző szoftvereket telepíthet és futtathat a számítási példányon a biztonsági problémák vizsgálatához:
- A Trivy használatával felderítheti az operációs rendszer és a Python csomagszintű biztonsági réseit.
- A ClamAV használatával felderítheti a kártevőket. Előre telepítve van a számítási példányokon.
A Microsoft Defender for Servers ügynök telepítése jelenleg nem támogatott.
Fontolja meg a testreszabási szkriptek használatát az automatizáláshoz. A Trivyt és a ClamAV-t egyesítő beállítási szkriptek példáiért lásd a számítási példányok beállítási parancsfájljait.
Számítási fürtök
A számítási fürtök automatikusan frissítik a csomópontokat a legújabb virtuálisgép-rendszerképre. Ha konfigurálja a fürtöt min nodes = 0
, az automatikusan frissíti a csomópontokat a legújabb virtuálisgép-rendszerkép-verzióra, amikor az összes feladat befejeződött, és a fürt nullára csökken.
Az alábbi feltételek mellett a fürtcsomópontok nem skálázhatók le, így nem tudják lekérni a legújabb virtuálisgép-rendszerképet:
- A fürt minimális csomópontszáma nullánál nagyobb értékre van beállítva.
- A feladatok ütemezése folyamatosan a fürtön van.
Ön felelős a nem tétlen fürtcsomópontok leskálázásáért a legújabb operációsrendszer-alapú virtuálisgép-rendszerkép-frissítések lekérése érdekében. Az Azure Machine Learning nem állítja le a számítási csomópontokon futó számítási feladatokat a virtuálisgép-frissítések kiadásához. Ideiglenesen módosítsa a minimális csomópontokat nullára, és engedélyezze a fürt számára, hogy nullára csökkentse a csomópontokat.
Felügyelt online végpontok
A felügyelt online végpontok automatikusan kapják meg az operációsrendszer-gazdagép rendszerképének frissítéseit, amelyek biztonsági résjavításokat tartalmaznak. A képek frissítési gyakorisága legalább havonta egyszer történik.
A számítási csomópontok automatikusan frissülnek a legújabb virtuálisgép-rendszerkép-verzióra, amikor az adott verziót kiadják. Nem kell semmilyen műveletet elvégeznie.
Ügyfél által felügyelt Kubernetes-fürtök
A Kubernetes compute lehetővé teszi a Kubernetes-fürtök konfigurálását az Azure Machine Learning modelljeinek betanítására, következtetésére és kezelésére.
Mivel a környezetet a Kubernetes használatával kezeli, az operációsrendszer-alapú virtuális gépek biztonsági réseinek és a tárolórendszerképek biztonsági réseinek kezelése az Ön feladata.
Az Azure Machine Learning gyakran teszi közzé az Azure Machine Learning bővítmény tárolólemezképeinek új verzióit Microsoft Eszközjegyzék. A Microsoft feladata annak biztosítása, hogy az új rendszerkép-verziók ne legyenek biztonsági rések. Minden kiadás kijavítja a biztonsági réseket.
Ha a fürtök megszakítás nélkül futtatnak feladatokat, előfordulhat, hogy a futó feladatok elavult tárolólemezkép-verziókat futtatnak. Miután frissítette a amlarc
bővítményt egy futó fürtre, az újonnan elküldött feladatok elkezdik használni a legújabb rendszerkép-verziót. Amikor a bővítményt a amlarc
legújabb verzióra frissíti, szükség szerint távolítsa el a régi tárolórendszerkép-verziókat a fürtökről.
Annak megfigyeléséhez, hogy az Azure Arc-fürt a legújabb verzióját amlarc
futtatja-e, használja az Azure Portalt. A Kubernetes – Azure Arc típusú Azure Arc-erőforrás alatt lépjen a Bővítmények elemre a bővítmény verziójának megkereséséhezamlarc
.
AutoML és Designer környezetek
Kódalapú betanítási élmények esetén ön határozza meg, hogy melyik Azure Machine Learning-környezetet használja. Az AutoML és a tervező segítségével a környezet a szolgáltatás részeként van beágyazva. Az ilyen típusú feladatok futtathatók a konfigurált számításokon, hogy további vezérlőket, például hálózati elkülönítést tegyenek lehetővé.
Az AutoML-feladatok olyan környezeteken futnak, amelyek az Azure Machine Learning Alap Docker-rendszerképei fölé épülnek.
A tervezői feladatok összetevőkre vannak osztva. Minden összetevő saját környezettel rendelkezik, amely az Azure Machine Learning-alap Docker-rendszerképei fölé rétegz. Az összetevőkkel kapcsolatos további információkért tekintse meg az összetevőreferenciát.