Azure Machine Learning – adatkiszivárgás megelőzése

  • Cikk

Az Azure Machine Tanulás több bejövő és kimenő függőséget is használ. Ezen függőségek némelyike a szervezeten belüli rosszindulatú ügynökök adatkiszivárgási kockázatát teheti elérhetővé. Ez a dokumentum bemutatja, hogyan minimalizálható az adatkiszivárgás kockázata a bejövő és kimenő követelmények korlátozásával.

  • Bejövő: Ha a számítási példány vagy a fürt nyilvános IP-címet használ, akkor van egy bejövő azuremachinelearning szolgáltatáscímke (44224-ös port). Ezt a bejövő forgalmat hálózati biztonsági csoport (NSG) és szolgáltatáscímkék használatával szabályozhatja. Az Azure szolgáltatás IP-címeit nehéz álcázni, ezért alacsony az adatkiszivárgás kockázata. A számítást úgy is konfigurálhatja, hogy ne használjon nyilvános IP-címet, amely eltávolítja a bejövő követelményeket.

  • Kimenő: Ha a rosszindulatú ügynökök nem rendelkeznek írási hozzáféréssel a kimenő célerőforrásokhoz, az adatkiszivárgáshoz nem használhatják ezt a kimenőt. Ebbe a kategóriába tartozik a Microsoft Entra ID, az Azure Resource Manager, az Azure Machine Tanulás és a Microsoft Container Registry. Másrészt a Storage és az AzureFrontDoor.frontend adatkiszivárgáshoz is használható.

    • Kimenő tárterület: Ez a követelmény számítási példányból és számítási fürtből származik. A rosszindulatú ügynökök ezt a kimenő szabályt használhatják adatok kiszivárgására az adatok kiépítésével és mentésével a saját tárfiókjukban. Az adatkiszivárgási kockázatot az Azure Service Endpoint Policy és az Azure Batch egyszerűsített csomópontkommunikációs architektúrája használatával távolíthatja el.

    • AzureFrontDoor.frontend kimenő: Az Azure Front Doort az Azure Machine Tanulás studio felhasználói felülete és az AutoML használja. Ahelyett, hogy engedélyezi a szolgáltatáscímkére (AzureFrontDoor.frontend) irányuló kimenő forgalmat, váltson a következő teljes tartománynevekre (FQDN). Ha ezekre a teljes tartománynevekre vált, azzal eltávolítja a szolgáltatáscímkében szereplő szükségtelen kimenő forgalmat, és csak az Azure Machine Tanulás studio felhasználói felületéhez és az AutoML-hez szükséges adatokat engedélyezi.

      • ml.azure.com
      • automlresources-prod.azureedge.net

Tipp.

A cikkben szereplő információk elsősorban az Azure-beli virtuális hálózat használatáról szólnak. Az Azure Machine Tanulás felügyelt virtuális hálózatokat is használhat. Felügyelt virtuális hálózat esetén az Azure Machine Tanulás kezeli a munkaterület és a felügyelt számítások hálózatelkülönítési feladatait.

Az adatkiszivárgással kapcsolatos problémák kezelése érdekében a felügyelt virtuális hálózatok lehetővé teszik a kimenő forgalom csak jóváhagyott kimenő forgalomra való korlátozását. További információ: Munkaterület kezelt hálózati elkülönítés.

Előfeltételek

  • Azure-előfizetés
  • Azure-beli virtuális hálózat (VNet)
  • Egy Azure Machine Tanulás a virtuális hálózathoz csatlakozó privát végponttal rendelkező munkaterületet.
    • A munkaterület által használt tárfióknak privát végpont használatával is csatlakoznia kell a virtuális hálózathoz.
  • Újra létre kell hoznia a számítási példányt, vagy le kell méreteznie a számítási fürtöt nulla csomópontra.
    • Nem kötelező, ha csatlakozott az előzetes verzióhoz.
    • Nem kötelező, ha 2022 decembere után új számítási példányt és számítási fürtöt hozott létre.

Miért kell a szolgáltatásvégpont-szabályzatot használnom?

A szolgáltatásvégpont-szabályzatok lehetővé teszik az Azure Storage-fiókok felé irányuló kimenő virtuális hálózati forgalom szűrését a szolgáltatásvégponton keresztül, és lehetővé teszik az adatok kiszivárgását csak adott Azure Storage-fiókokra. Az Azure Machine Tanulás számítási példányhoz és számítási fürthöz hozzáférésre van szükség a Microsoft által felügyelt tárfiókokhoz a kiépítéshez. A szolgáltatásvégpont-szabályzatokban az Azure Machine Tanulás aliasa tartalmazza a Microsoft által felügyelt tárfiókokat. Szolgáltatásvégpont-szabályzatokat használunk az Azure Machine Tanulás aliasával az adatkiszivárgás megakadályozása vagy a céltárfiókok vezérlése érdekében. További információt a Service Endpoint szabályzat dokumentációjában talál.

1. A szolgáltatásvégpont-szabályzat létrehozása

  1. Az Azure Portalon adjon hozzá egy új szolgáltatásvégpont-szabályzatot. Az Alapszintű beállítások lapon adja meg a szükséges információkat, majd válassza a Tovább gombot.

  2. A Szabályzatdefiníciók lapon hajtsa végre a következő műveleteket:

    1. Válassza a + Erőforrás hozzáadása lehetőséget, majd adja meg a következő információkat:

      • Szolgáltatás: Microsoft.Storage
      • Hatókör: Válassza ki a hatókört egyetlen fiókként a hálózati forgalom egyetlen tárfiókra való korlátozásához.
      • Előfizetés: A tárfiókot tartalmazó Azure-előfizetés.
      • Erőforráscsoport: A tárfiókot tartalmazó erőforráscsoport.
      • Erőforrás: A munkaterület alapértelmezett tárfiókja.

      Válassza a Hozzáadás lehetőséget az erőforrás-információk hozzáadásához.

      A screenshot showing how to create a service endpoint policy.

    2. Válassza az + Alias hozzáadása lehetőséget, majd válassza /services/Azure/MachineLearning a Kiszolgálói alias értékét. Az alias hozzáadásához válassza a Hozzáadás lehetőséget.

      Feljegyzés

      Az Azure CLI és az Azure PowerShell nem támogatja az aliasok hozzáadását a szabályzathoz.

  3. Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.

Fontos

Ha a számítási példánynak és a számítási fürtnek további tárfiókokhoz kell hozzáférnie, a szolgáltatásvégpont-szabályzatnak tartalmaznia kell a további tárfiókokat az erőforrások szakaszban. Vegye figyelembe, hogy privát storage-végpontok használata esetén ez nem kötelező. A szolgáltatásvégpont-szabályzat és a privát végpont független.

2. Bejövő és kimenő hálózati forgalom engedélyezése

Bejövő

Fontos

Az alábbi információk a betanítási környezet védelméről szóló cikkben található útmutatást módosítják.

Fontos

Az alábbi információk a betanítási környezet védelméről szóló cikkben található útmutatást módosítják.

Ha az Azure Machine Tanulás számítási példánytnyilvános IP-címmel használja, engedélyezze a bejövő forgalmat az Azure Batch-felügyeletből (szolgáltatáscímkeBatchNodeManagement.<region>). Egy nyilvános IP-címmelnem rendelkező számítási példányhoz nincs szükség erre a bejövő kommunikációra.

Kimenő

Fontos

A következő információk a biztonságos betanítási környezetben a virtuális hálózatokkal és a Bejövő és kimenő hálózati forgalom konfigurálására vonatkozó cikkekben található útmutatáson kívül találhatók.

Fontos

A következő információk a biztonságos betanítási környezetben a virtuális hálózatokkal és a Bejövő és kimenő hálózati forgalom konfigurálására vonatkozó cikkekben található útmutatáson kívül találhatók.

Válassza ki a használt konfigurációt:

A következő szolgáltatáscímkék kimenő forgalmának engedélyezése. Cserélje le <region> a számítási fürtöt vagy -példányt tartalmazó Azure-régióra:

Szolgáltatáscímke Protokoll Kikötő
BatchNodeManagement.<region> BÁRMELY 443
AzureMachineLearning TCP 443
Storage.<region> TCP 443

Feljegyzés

A kimenő tárterület esetében egy szolgáltatásvégpont-szabályzat lesz alkalmazva egy későbbi lépésben a kimenő forgalom korlátozására.

További információ: Betanítási környezetek védelme és bejövő és kimenő hálózati forgalom konfigurálása.

További információ: Betanítási környezetek védelme és bejövő és kimenő hálózati forgalom konfigurálása.

3. A tárvégpont engedélyezése az alhálózathoz

Az alábbi lépésekkel engedélyezheti az Azure Machine-Tanulás számítási fürtöket és számítási példányokat tartalmazó alhálózat tárolási végpontját:

  1. Az Azure Portalon válassza ki az Azure Machine Tanulás-munkaterület azure-beli virtuális hálózatát.
  2. A lap bal oldalán válassza az Alhálózatok lehetőséget, majd válassza ki a számítási fürtöt és a számítási példányt tartalmazó alhálózatot.
  3. A megjelenő űrlapon bontsa ki a Szolgáltatások legördülő menüt, majd engedélyezze a Microsoft.Storage szolgáltatást. A módosítások mentéséhez válassza a Mentés lehetőséget.
  4. Alkalmazza a szolgáltatásvégpont-szabályzatot a munkaterület alhálózatára.

A screenshot of the Azure portal showing how to enable storage endpoint for the subnet.

4. Válogatott környezetek

Az Azure Machine Tanulás válogatott környezetek használatakor mindenképpen a legújabb környezeti verziót használja. A környezet tárolóregisztrációs adatbázisának is meg kell lennie mcr.microsoft.com. A tárolóregisztrációs adatbázis ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Az Azure Machine Tanulás Studióban válassza ki a munkaterületet, majd válassza a Környezetek lehetőséget.

  2. Ellenőrizze, hogy az Azure-tárolóregisztrációs adatbázis a következő értékkel kezdődik-e mcr.microsoft.com: .

    Fontos

    Ha a tárolóregisztrációs adatbázist használja viennaglobal.azurecr.io , a válogatott környezet nem használható az adatkiszivárgással. Frissítsen a válogatott környezet legújabb verziójára.

  3. A használat mcr.microsoft.comsorán engedélyeznie kell a kimenő konfigurációt a következő erőforrásokhoz is. Válassza ki a használni kívánt konfigurációs beállítást:

    Engedélyezze a kimenő forgalmat a 443-as TCP-porton keresztül a következő szolgáltatáscímkékre. Cserélje le <region> a számítási fürtöt vagy -példányt tartalmazó Azure-régióra.

    • MicrosoftContainerRegistry.<region>
    • AzureFrontDoor.FirstParty

Következő lépések

További információért tekintse át az alábbi cikkeket: