Az Azure Machine Learning biztonságirés-kezelése

A biztonsági rések kezelése magában foglalja a szervezet rendszereiben és szoftvereiben meglévő biztonsági rések észlelését, értékelését, enyhítését és jelentéskészítését. A biztonságrés-kezelés az Ön és a Microsoft megosztott felelősségébe tartozik.

Ez a cikk ismerteti ezeket a feladatokat, és ismerteti az Azure Machine Tanulás által biztosított biztonságirés-kezelés vezérlőket. Megtudhatja, hogyan tarthatja naprakészen a szolgáltatáspéldányt és az alkalmazásokat a legújabb biztonsági frissítésekkel, és hogyan minimalizálhatja a támadók számára elérhető lehetőségeket.

Microsoft által felügyelt virtuálisgép-rendszerképek

Az Azure Machine Tanulás kezeli az Azure Machine Tanulás számítási példányok, az Azure Machine Tanulás számítási fürtök és Adattudomány virtuális gépek gazdagépeinek virtuálisgép-rendszerképeit. A frissítés gyakorisága havonta történik, és a következő részleteket tartalmazza:

• Minden új virtuálisgép-rendszerkép-verzióhoz a legújabb frissítések az operációs rendszer eredeti közzétevőjének forrásából származnak. A legújabb frissítések használatával biztosíthatja, hogy az operációs rendszerrel kapcsolatos összes javítást megkapja. Az Azure Machine Tanulás esetén a közzétevő a Canonical az összes Ubuntu-rendszerképhez. Ezeket a rendszerképeket az Azure Machine Tanulás számítási példányokhoz, számítási fürtökhöz és Adattudomány virtuális gépekhez használják.

• A virtuálisgép-rendszerképek havonta frissülnek.

• Az eredeti közzétevő által alkalmazott javítások mellett az Azure Machine Tanulás frissítések esetén frissíti a rendszercsomagokat.

• Az Azure Machine Tanulás ellenőrzi és ellenőrzi az esetlegesen frissítésre szoruló gépi tanulási csomagokat. A legtöbb esetben az új virtuálisgép-rendszerképek a legújabb csomagverziókat tartalmazzák.

• Minden virtuálisgép-rendszerkép olyan biztonságos előfizetésekre épül, amelyek rendszeresen futtatják a biztonsági rések vizsgálatát. Az Azure Machine Tanulás megjelöli a címzés nélküli biztonsági réseket, és a következő kiadásban kijavítja őket.

• A gyakoriság a legtöbb kép esetében havi rendszeresség. Számítási példányok esetén a rendszerkép kiadása az Azure Machine Tanulás SDK kiadási üteméhez igazodik, amely előre telepítve van a környezetben.

A rendszeres kiadási ütem mellett az Azure Machine Tanulás gyorsjavításokat is alkalmaz, ha a biztonsági rések felszínre érkeznek. A Microsoft 72 órán belül gyorsjavításokat hoz létre az Azure Machine Tanulás számítási fürtökhöz, valamint egy héten belül számítási példányokhoz.

Feljegyzés

A gazda operációs rendszer nem az operációs rendszer azon verziója, amelyet a modell betanításakor vagy üzembe helyezésekor megadhat egy környezethez . A környezetek a Dockerben futnak. A Docker a gazdagép operációs rendszerén fut.

A Microsoft által felügyelt tárolórendszerképek

Az Azure Machine Tanulás által karbantartott Docker-rendszerképek gyakran kapnak biztonsági javításokat az újonnan felfedezett biztonsági rések kezelése érdekében.

Az Azure Machine Tanulás kéthetente frissíti a támogatott rendszerképeket a biztonsági rések kezelése érdekében. Kötelezettségvállalásként arra törekszünk, hogy a támogatott képek legújabb verziójában ne legyen 30 napnál régebbi biztonsági rés.

A javított képek egy új nem módosítható címke és egy frissített :latest címke alatt jelennek meg. Ha a :latest címkét egy adott képverzióra rögzíti, az kompromisszumot jelenthet a gépi tanulási feladat biztonsági és környezeti reprodukálhatósága között.

Környezetek és tárolórendszerképek kezelése

A reprodukálhatóság a szoftverfejlesztés és a gépi tanulási kísérletezés kulcsfontosságú eleme. Az Azure Machine Tanulás környezeti összetevő elsődleges célja annak a környezetnek a reprodukálhatósága, amelyben a felhasználó kódját végrehajtják. A gépi tanulási feladatok reprodukálhatóságának biztosítása érdekében a rendszer a korábban létrehozott rendszerképeket újramaterializálás nélkül leküldi a számítási csomópontokra.

Bár az Azure Machine Tanulás az alaprendszerképeket minden egyes kiadással kijavítja, a legújabb rendszerkép használata kompromisszumot jelenthet a reprodukálhatóság és a biztonságirés-kezelés között. Az Ön felelőssége, hogy kiválassza a feladatokhoz vagy modelltelepítésekhez használt környezeti verziót.

Alapértelmezés szerint a függőségek az Azure Machine Tanulás által a környezetek létrehozásakor biztosított alaprendszerképek fölé vannak rétegzve. Saját alaprendszerképeket is használhat, ha környezeteket használ az Azure Machine Tanulás. Miután további függőségeket telepít a Microsoft által biztosított rendszerképekre, vagy saját alaprendszerképeket hoz, biztonságirés-kezelés lesz az Ön felelőssége.

Az Azure Machine Tanulás-munkaterülethez társított egy Azure Container Registry-példány, amely tárolólemezképek gyorsítótáraként működik. A rendszer minden lényeges képet leküld a tárolóregisztrációs adatbázisba. A munkaterület akkor használja, ha a kísérletezés vagy az üzembe helyezés a megfelelő környezetben aktiválódik.

Az Azure Machine Tanulás nem töröl lemezképet a tárolóregisztrációs adatbázisból. Ön a felelős azért, hogy idővel kiértékelje a rendszerkép szükségességét. A környezethigiénia monitorozásához és karbantartásához a Microsoft Defender for Container Registry használatával ellenőrizheti a rendszerképek biztonsági réseit. A Folyamatok a Microsoft Defender eseményindítói alapján történő automatizálásához tekintse meg a szervizelési válaszok automatizálása című témakört.

Privát csomagtárház használata

Az Azure Machine Tanulás a Conda és a Pip használatával telepíti a Python-csomagokat. Alapértelmezés szerint az Azure Machine Tanulás letölti a nyilvános adattárakból származó csomagokat. Ha a szervezet megköveteli, hogy csak magánadattárakból, például az Azure DevOps-hírcsatornákból származó csomagokat hozzon létre, felülbírálhatja a Conda- és Pip-konfigurációt az alaprendszerképek és a számítási példányok környezeti konfigurációi részeként.

Az alábbi példakonfiguráció bemutatja, hogyan távolíthatja el az alapértelmezett csatornákat, és hogyan adhat hozzá saját privát Conda- és Pip-hírcsatornákat. Fontolja meg a számítási példányok beállítási szkriptjeinek használatát az automatizáláshoz.

RUN conda config --set offline false \
&& conda config --remove channels defaults || true \
&& conda config --add channels https://my.private.conda.feed/conda/feed \
&& conda config --add repodata_fns <repodata_file_on_your_server>.json

# Configure Pip private indexes and ensure that the client trusts your host
RUN pip config set global.index https://my.private.pypi.feed/repository/myfeed/pypi/ \
&&  pip config set global.index-url https://my.private.pypi.feed/repository/myfeed/simple/

# In case your feed host isn't secured through SSL
RUN  pip config set global.trusted-host http://my.private.pypi.feed/

Ha meg szeretné tudni, hogyan adhatja meg saját alaprendszerképeit az Azure Machine Tanulás, olvassa el a Környezet létrehozása Docker-buildkörnyezetből című témakört. További információ a Conda-környezetek konfigurálásáról: Környezeti fájl manuális létrehozása a Conda-webhelyen.

Biztonságirés-kezelés számítási gazdagépeken

Az Azure Machine felügyelt számítási csomópontjai Tanulás Microsoft által felügyelt operációsrendszer-virtuálisgép-rendszerképeket használnak. Csomópont kiépítésekor a rendszer lekéri a legújabb frissített virtuálisgép-rendszerképet. Ez a viselkedés a számítási példányra, a számítási fürtre, a kiszolgáló nélküli számításra (előzetes verzió) és a felügyelt következtetési számítási lehetőségekre vonatkozik.

Bár az operációs rendszer virtuálisgép-rendszerképei rendszeresen javításra kerülnek, az Azure Machine Tanulás nem vizsgálja aktívan a számítási csomópontok biztonsági réseit használat közben. További védelmi rétegként fontolja meg a számítás hálózati elkülönítését.

Az Ön és a Microsoft közös felelőssége annak biztosítása, hogy a környezet naprakész legyen, és hogy a számítási csomópontok a legújabb operációsrendszer-verziót használják. A nem tétlen csomópontok nem frissíthetők a legújabb virtuálisgép-lemezképre. A szempontok kissé eltérnek az egyes számítási típusokhoz, az alábbi szakaszokban leírtak szerint.

Számítási példány

A számítási példányok a kiépítéskor a legújabb virtuálisgép-rendszerképeket kapják meg. A Microsoft havonta kiadja a új VM-képeket. A számítási példány üzembe helyezése után a rendszer nem frissíti aktívan. Lekérdezheti egy példány operációsrendszer-verzióját. A legújabb szoftverfrissítések és biztonsági javítások naprakészen tartásához az alábbi módszerek egyikét használhatja:

• Hozzon létre újra egy számítási példányt a legújabb operációsrendszer-rendszerkép lekéréséhez (ajánlott).

  Ha ezt a módszert használja, elveszíti a példány operációs rendszerén és ideiglenes lemezén tárolt adatokat és testreszabásokat (például telepített csomagokat).

  A példány újbóli létrehozásakor:

  • Tárolja a jegyzetfüzeteket a Felhasználói fájlok könyvtárban, hogy megőrizze őket.
  • Adatok csatlakoztatása a fájlok megőrzéséhez.

  A rendszerképek kiadásáról további információt az Azure Machine Tanulás számítási példány rendszerkép-kibocsátási megjegyzéseiben talál.

• Rendszeresen frissítse az operációs rendszert és a Python-csomagokat.

  • Linux-csomagkezelési eszközökkel frissítse a csomaglistát a legújabb verziókkal:

    sudo apt-get update
    

  • Linux-csomagkezelési eszközökkel frissítse a csomagokat a legújabb verziókra. A megközelítés használatakor csomagütközések léphetnek fel.

    sudo apt-get upgrade
    

  • A Python-csomagkezelési eszközökkel frissítheti a csomagokat, és ellenőrizheti a frissítéseket:

    pip list --outdated
    

További ellenőrző szoftvereket telepíthet és futtathat a számítási példányon a biztonsági problémák vizsgálatához:

• A Trivy használatával felderítheti az operációs rendszer és a Python csomagszintű biztonsági réseit.
• A ClamAV használatával felderítheti a kártevőket. Előre telepítve van a számítási példányokon.

A Microsoft Defender for Servers ügynök telepítése jelenleg nem támogatott.

Fontolja meg a testreszabási szkriptek használatát az automatizáláshoz. A Trivyt és a ClamAV-t egyesítő beállítási szkriptek példáiért lásd a számítási példányok beállítási parancsfájljait.

Számítási fürtök

A számítási fürtök automatikusan frissítik a csomópontokat a legújabb virtuálisgép-rendszerképre. Ha konfigurálja a fürtöt min nodes = 0, az automatikusan frissíti a csomópontokat a legújabb virtuálisgép-rendszerkép-verzióra, amikor az összes feladat befejeződött, és a fürt nullára csökken.

Az alábbi feltételek mellett a fürtcsomópontok nem skálázhatók le, így nem tudják lekérni a legújabb virtuálisgép-rendszerképet:

• A fürt minimális csomópontszáma nullánál nagyobb értékre van beállítva.
• A feladatok ütemezése folyamatosan a fürtön van.

Ön felelős a nem tétlen fürtcsomópontok leskálázásáért a legújabb operációsrendszer-alapú virtuálisgép-rendszerkép-frissítések lekérése érdekében. Az Azure Machine Tanulás nem állítja le a számítási csomópontokon futó számítási feladatokat a virtuálisgép-frissítések kiadásához. Ideiglenesen módosítsa a minimális csomópontokat nullára, és engedélyezze a fürt számára, hogy nullára csökkentse a csomópontokat.

Felügyelt online végpontok

A felügyelt online végpontok automatikusan kapják meg az operációsrendszer-gazdagép rendszerképének frissítéseit, amelyek biztonsági résjavításokat tartalmaznak. A képek frissítési gyakorisága legalább havonta egyszer történik.

A számítási csomópontok automatikusan frissülnek a legújabb virtuálisgép-rendszerkép-verzióra, amikor az adott verziót kiadják. Nem kell semmilyen műveletet elvégeznie.

Ügyfél által felügyelt Kubernetes-fürtök

A Kubernetes compute lehetővé teszi a Kubernetes-fürtök konfigurálását az Azure Machine Tanulás modellek betanítására, következtetésére és kezelésére.

Mivel a környezetet a Kubernetes használatával kezeli, az operációsrendszer-alapú virtuális gépek biztonsági réseinek és a tárolórendszerképek biztonsági réseinek kezelése az Ön feladata.

Az Azure Machine Tanulás gyakran teszi közzé az Azure Machine Tanulás bővítménytároló lemezképeinek új verzióit a Microsoft Eszközjegyzék. A Microsoft feladata annak biztosítása, hogy az új rendszerkép-verziók ne legyenek biztonsági rések. Minden kiadás kijavítja a biztonsági réseket.

Ha a fürtök megszakítás nélkül futtatnak feladatokat, előfordulhat, hogy a futó feladatok elavult tárolólemezkép-verziókat futtatnak. Miután frissítette a amlarc bővítményt egy futó fürtre, az újonnan elküldött feladatok elkezdik használni a legújabb rendszerkép-verziót. Amikor a bővítményt a amlarc legújabb verzióra frissíti, szükség szerint távolítsa el a régi tárolórendszerkép-verziókat a fürtökről.

Annak megfigyeléséhez, hogy az Azure Arc-fürt a legújabb verzióját amlarcfuttatja-e, használja az Azure Portalt. A Kubernetes – Azure Arc típusú Azure Arc-erőforrás alatt lépjen a Bővítmények elemre a bővítmény verziójának megkereséséhezamlarc.

AutoML és Tervező környezetek

A kódalapú betanítási szolgáltatások esetében ön határozza meg, hogy melyik Azure Machine Tanulás környezetet használja. Az AutoML és a tervező segítségével a környezet a szolgáltatás részeként van beágyazva. Az ilyen típusú feladatok futtathatók a konfigurált számításokon, hogy további vezérlőket, például hálózati elkülönítést tegyenek lehetővé.

Az AutoML-feladatok olyan környezeteken futnak, amelyek az Azure Machine Tanulás alapszintű Docker-rendszerképek fölé épülnek.

Tervező feladatok összetevőkre vannak osztva. Minden összetevő saját környezettel rendelkezik, amely az Azure Machine Tanulás alapszintű Docker-rendszerképek tetején rétegz. Az összetevőkkel kapcsolatos további információkért tekintse meg az összetevőreferenciát.

Következő lépések

• Azure Machine Tanulás adattár alaprendszerképekhez
• Adattudomány virtuális gép kibocsátási megjegyzései
• Az Azure Machine Tanulás Python SDK kibocsátási megjegyzései
• Azure Machine Tanulás ajánlott eljárások a vállalati biztonsághoz