Manajemen kerentanan untuk Azure AI Studio
Penting
Beberapa fitur yang dijelaskan dalam artikel ini mungkin hanya tersedia dalam pratinjau. Pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan kami tidak merekomendasikannya untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Manajemen kerentanan melibatkan deteksi, penilaian, mitigasi, dan pelaporan tentang kerentanan keamanan apa pun yang ada dalam sistem dan perangkat lunak organisasi. Manajemen kerentanan adalah tanggung jawab bersama antara Anda dan Microsoft.
Artikel ini membahas tanggung jawab ini dan menguraikan kontrol pengelolaan kerentanan yang disediakan Azure AI Studio. Anda mempelajari cara menjaga instans layanan dan aplikasi Anda tetap terbarui dengan pembaruan keamanan terbaru, dan cara meminimalkan jendela peluang bagi penyerang.
Citra VM yang dikelola Microsoft
Microsoft mengelola gambar komputer virtual (VM) OS host untuk instans komputasi dan kluster komputasi tanpa server. Frekuensi pembaruan adalah bulanan dan mencakup detail berikut:
Untuk setiap versi citra VM baru, pembaruan terbaru bersumber dari penerbit asli OS. Menggunakan pembaruan terbaru membantu memastikan bahwa Anda mendapatkan semua patch terkait OS yang berlaku. Untuk Azure AI Studio, penerbit adalah Canonical untuk semua gambar Ubuntu.
Citra VM diperbarui setiap bulan.
Selain patch yang diterapkan penerbit asli, Microsoft memperbarui paket sistem saat pembaruan tersedia.
Microsoft memeriksa dan memvalidasi paket pembelajaran mesin apa pun yang mungkin memerlukan peningkatan. Dalam sebagian besar kasus, citra VM baru berisi versi paket terbaru.
Semua citra VM dibangun di atas langganan aman yang menjalankan pemindaian kerentanan secara teratur. Microsoft menandai kerentanan yang tidak ditautkan dan memperbaikinya dalam rilis berikutnya.
Frekuensi adalah interval bulanan untuk sebagian besar gambar. Untuk instans komputasi, rilis gambar selaras dengan irama rilis Azure Pembelajaran Mesin SDK yang telah diinstal sebelumnya di lingkungan.
Selain irama rilis reguler, Microsoft menerapkan perbaikan jika kerentanan muncul. Microsoft meluncurkan perbaikan dalam waktu 72 jam untuk kluster komputasi tanpa server dan dalam seminggu untuk instans komputasi.
Catatan
OS host bukan versi OS yang mungkin Anda tentukan untuk lingkungan saat Anda melatih atau menyebarkan model. Lingkungan yang berjalan di dalam Docker. Docker yang berjalan pada OS host.
Citra kontainer yang dikelola Microsoft
Gambar docker dasar yang dikelola Microsoft untuk Azure AI Studio sering mendapatkan patch keamanan untuk mengatasi kerentanan yang baru ditemukan.
Microsoft merilis pembaruan untuk gambar yang didukung setiap dua minggu untuk mengatasi kerentanan. Sebagai komitmen, kami bertujuan untuk tidak memiliki kerentanan yang lebih lama dari 30 hari dalam versi citra terbaru yang didukung.
Gambar yang di-patch dirilis di bawah tag baru yang tidak dapat diubah dan tag yang diperbarui :latest . :latest Menggunakan tag atau menyematkan ke versi gambar tertentu mungkin merupakan tradeoff antara keamanan dan reproduktifitas lingkungan untuk pekerjaan pembelajaran mesin Anda.
Mengelola lingkungan dan citra kontainer
Di Azure AI Studio, gambar Docker digunakan untuk menyediakan lingkungan runtime untuk penyebaran alur perintah. Gambar dibangun dari gambar dasar yang disediakan Azure AI Studio.
Meskipun Microsoft menambal gambar dasar dengan setiap rilis, apakah Anda menggunakan gambar terbaru mungkin tradeoff antara reproduksi dan pengelolaan kerentanan. Anda bertanggung jawab untuk memilih versi lingkungan yang Anda gunakan untuk pekerjaan atau penyebaran model Anda.
Secara default, dependensi dilapisi di atas gambar dasar saat Anda membangun gambar. Setelah Anda menginstal lebih banyak dependensi di atas gambar yang disediakan Microsoft, pengelolaan kerentanan menjadi tanggung jawab Anda.
Terkait dengan hub AI Studio Anda adalah instans Azure Container Registry yang berfungsi sebagai cache untuk gambar kontainer. Gambar apa pun yang terwujud didorong ke registri kontainer. Ruang kerja menggunakannya saat penyebaran dipicu untuk lingkungan yang sesuai.
Hub tidak menghapus gambar apa pun dari registri kontainer Anda. Anda bertanggung jawab untuk mengevaluasi kebutuhan akan gambar dari waktu ke waktu. Untuk memantau dan menjaga kebersihan lingkungan, Anda dapat menggunakan Microsoft Defender for Container Registry untuk membantu memindai citra Anda dari kerentanan. Untuk mengotomatiskan proses Anda berdasarkan pemicu dari Pertahanan Microsoft, lihat Mengotomatiskan respons remediasi.
Manajemen kerentanan pada host komputasi
Simpul komputasi terkelola di Azure AI Studio menggunakan gambar VM OS yang dikelola Microsoft. Saat Anda memprovisikan simpul, simpul menarik gambar VM terbaru yang diperbarui. Perilaku ini berlaku untuk instans komputasi, kluster komputasi tanpa server, dan opsi komputasi inferensi terkelola.
Meskipun gambar VM OS di-patch secara teratur, Microsoft tidak secara aktif memindai simpul komputasi untuk kerentanan saat sedang digunakan. Untuk lapisan perlindungan tambahan, pertimbangkan isolasi jaringan komputasi Anda.
Memastikan bahwa lingkungan Anda sudah diperbarui dan bahwa simpul komputasi menggunakan versi OS terbaru adalah tanggung jawab bersama antara Anda dan Microsoft. Simpul yang tidak menganggur tidak dapat diperbarui ke gambar VM terbaru. Pertimbangan sedikit berbeda untuk setiap jenis komputasi, seperti yang tercantum di bagian berikut.
Hitung intance
Instans komputasi mendapatkan citra mesin virtual terbaru pada saat provisi. Microsoft merilis gambar VM baru setiap bulan. Setelah Anda menyebarkan instans komputasi, instans tersebut tidak diperbarui secara aktif. Untuk tetap mengikuti pembaruan perangkat lunak terbaru dan patch keamanan, Anda dapat menggunakan salah satu metode berikut:
Buat ulang instans komputasi untuk mendapatkan gambar OS terbaru (disarankan).
Jika Anda menggunakan metode ini, Anda akan kehilangan data dan kustomisasi (seperti paket yang diinstal) yang disimpan di OS instans dan disk sementara.
Untuk informasi selengkapnya tentang rilis gambar, lihat catatan rilis gambar instans komputasi Azure Pembelajaran Mesin.
Memperbarui paket OS dan Python secara teratur.
Gunakan alat manajemen paket Linux untuk memperbarui daftar paket dengan versi terbaru:
sudo apt-get updateGunakan alat manajemen paket Linux untuk meningkatkan paket ke versi terbaru. Konflik paket mungkin terjadi ketika Anda menggunakan pendekatan ini.
sudo apt-get upgradeGunakan alat manajemen paket Python untuk meningkatkan paket dan memeriksa pembaruan:
pip list --outdated
Anda dapat menginstal dan menjalankan perangkat lunak pemindaian tambahan pada instans komputasi untuk memindai masalah keamanan:
- Gunakan Trivy untuk menemukan kerentanan tingkat paket OS dan Python.
- Gunakan ClamAV untuk menemukan malware. Muncul yang telah diinstal sebelumnya pada instans komputasi.
Penginstalan agen Pertahanan Microsoft untuk Server saat ini tidak didukung.
Titik akhir
Titik akhir secara otomatis menerima pembaruan gambar host OS yang menyertakan perbaikan kerentanan. Frekuensi pembaruan citra setidaknya sebulan sekali.
Simpul komputasi secara otomatis ditingkatkan ke versi gambar VM terbaru saat versi tersebut dirilis. Anda tidak perlu melakukan tindakan apa pun.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk