Beveiligingsproblemen beheren voor Azure AI Studio
Belangrijk
Sommige van de functies die in dit artikel worden beschreven, zijn mogelijk alleen beschikbaar in de preview-versie. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
Het beheer van beveiligingsproblemen omvat het detecteren, beoordelen, beperken en rapporteren van beveiligingsproblemen die bestaan in de systemen en software van een organisatie. Het beheer van beveiligingsproblemen is een gedeelde verantwoordelijkheid van u en Microsoft.
In dit artikel worden deze verantwoordelijkheden besproken en worden de besturingselementen voor beveiligingsbeheer beschreven die Azure AI Studio biedt. U leert hoe u uw service-exemplaar en toepassingen up-to-date kunt houden met de nieuwste beveiligingsupdates en hoe u het kansvenster voor aanvallers minimaliseert.
Door Microsoft beheerde VM-installatiekopieën
Microsoft beheert vm-installatiekopieën van virtuele machines (hostbesturingssystemen) voor rekeninstanties en serverloze rekenclusters. De updatefrequentie is maandelijks en bevat de volgende details:
Voor elke nieuwe versie van de VM-installatiekopieën zijn de meest recente updates afkomstig van de oorspronkelijke uitgever van het besturingssysteem. Door de meest recente updates te gebruiken, kunt u ervoor zorgen dat u alle toepasselijke patches voor het besturingssysteem krijgt. Voor Azure AI Studio is de uitgever Canonical voor alle Ubuntu-installatiekopieën.
VM-installatiekopieën worden maandelijks bijgewerkt.
Naast patches die de oorspronkelijke uitgever toepast, worden systeempakketten van Microsoft bijgewerkt wanneer er updates beschikbaar zijn.
Microsoft controleert en valideert alle machine learning-pakketten waarvoor mogelijk een upgrade is vereist. In de meeste gevallen bevatten nieuwe VM-installatiekopieën de nieuwste pakketversies.
Alle VM-installatiekopieën zijn gebouwd op beveiligde abonnementen die regelmatig scannen op beveiligingsproblemen uitvoeren. Microsoft markeert eventuele niet-aangepaste beveiligingsproblemen en corrigeert deze in de volgende release.
De frequentie is een maandelijks interval voor de meeste afbeeldingen. Voor rekeninstanties wordt de release van de installatiekopie afgestemd op het releaseritme van de Azure Machine Learning SDK die vooraf in de omgeving is geïnstalleerd.
Naast de reguliere releasefrequentie past Microsoft hotfixes toe als er beveiligingsproblemen opduiken. Microsoft implementeert hotfixes binnen 72 uur voor serverloze rekenclusters en binnen een week voor rekeninstanties.
Notitie
Het host-besturingssysteem is niet de versie van het besturingssysteem die u kunt opgeven voor een omgeving wanneer u een model traint of implementeert. Omgevingen worden uitgevoerd in Docker. Docker wordt uitgevoerd op het host-besturingssysteem.
Door Microsoft beheerde containerinstallatiekopieën
Basis-docker-installatiekopieën die Microsoft onderhoudt voor Azure AI Studio krijgen regelmatig beveiligingspatches om nieuw gedetecteerde beveiligingsproblemen op te pakken.
Microsoft publiceert om de twee weken updates voor ondersteunde installatiekopieën om beveiligingsproblemen op te lossen. Als toezegging willen we geen beveiligingsproblemen hebben die ouder zijn dan 30 dagen in de nieuwste versie van ondersteunde installatiekopieën.
Patch-installatiekopieën worden vrijgegeven onder een nieuwe onveranderbare tag en een bijgewerkte :latest tag. Het gebruik van de :latest tag of het vastmaken aan een bepaalde versie van de installatiekopie kan een compromis zijn tussen beveiliging en omgevings reproduceerbaarheid voor uw machine learning-taak.
Omgevingen en containerinstallatiekopieën beheren
In Azure AI Studio worden Docker-installatiekopieën gebruikt om een runtime-omgeving te bieden voor promptstroomimplementaties. De installatiekopieën zijn gebouwd op basis van een basisinstallatiekopie die Azure AI Studio biedt.
Hoewel Microsoft basisinstallatiekopieën met elke release patcht, is het mogelijk dat u de meest recente installatiekopie gebruikt tussen reproduceerbaarheid en beheer van beveiligingsproblemen. Het is uw verantwoordelijkheid om de omgevingsversie te kiezen die u gebruikt voor uw taken of modelimplementaties.
Afhankelijkheden worden standaard gelaagd boven op basisinstallatiekopieën wanneer u een installatiekopieën bouwt. Nadat u meer afhankelijkheden hebt geïnstalleerd op de door Microsoft geleverde installatiekopieën, wordt het beheer van beveiligingsproblemen uw verantwoordelijkheid.
Gekoppeld aan uw AI Studio-hub is een Azure Container Registry-exemplaar dat fungeert als een cache voor containerinstallatiekopieën. Elke installatiekopieën die worden gerealiseerd, worden naar het containerregister gepusht. De werkruimte gebruikt deze wanneer de implementatie wordt geactiveerd voor de bijbehorende omgeving.
De hub verwijdert geen installatiekopieën uit uw containerregister. U bent verantwoordelijk voor het evalueren van de behoefte aan een afbeelding in de loop van de tijd. Als u de hygiëne van de omgeving wilt bewaken en onderhouden, kunt u Microsoft Defender voor Container Registry gebruiken om uw installatiekopieën te scannen op beveiligingsproblemen. Zie Herstelreacties automatiseren om uw processen te automatiseren op basis van triggers van Microsoft Defender.
Beheer van beveiligingsproblemen op rekenhosts
Beheerde rekenknooppunten in Azure AI Studio maken gebruik van door Microsoft beheerde VM-installatiekopieën voor het besturingssysteem. Wanneer u een knooppunt inricht, wordt de meest recente bijgewerkte VM-installatiekopie opgehaald. Dit gedrag is van toepassing op rekeninstanties, serverloze rekenclusters en beheerde deductie-rekenopties.
Hoewel VM-installatiekopieën van het besturingssysteem regelmatig worden gepatcht, scant Microsoft niet actief rekenknooppunten op beveiligingsproblemen terwijl ze in gebruik zijn. Overweeg netwerkisolatie van uw berekeningen voor een extra beveiligingslaag.
Ervoor zorgen dat uw omgeving up-to-date is en dat rekenknooppunten de nieuwste versie van het besturingssysteem gebruiken, is een gedeelde verantwoordelijkheid tussen u en Microsoft. Knooppunten die niet inactief zijn, kunnen niet worden bijgewerkt naar de meest recente VM-installatiekopieën. Overwegingen verschillen enigszins voor elk rekentype, zoals wordt vermeld in de volgende secties.
Rekenproces
Tijdens het inrichten krijgen rekenprocessen de beschikking over de meest recente VM-installatiekopieën. Microsoft brengt maandelijks nieuwe VM-installatiekopieën uit. Nadat u een rekenproces hebt geïmplementeerd, wordt deze niet actief bijgewerkt. Als u op de hoogte wilt blijven van de nieuwste software-updates en beveiligingspatches, kunt u een van de volgende methoden gebruiken:
Maak een rekenproces opnieuw om de meest recente installatiekopieën van het besturingssysteem op te halen (aanbevolen).
Als u deze methode gebruikt, verliest u gegevens en aanpassingen (zoals geïnstalleerde pakketten) die zijn opgeslagen op het besturingssysteem van het exemplaar en tijdelijke schijven.
Zie de releaseopmerkingen voor het Azure Machine Learning-rekenproces voor meer informatie over installatiekopieën van installatiekopieën.
Werk regelmatig besturingssysteem- en Python-pakketten bij.
Gebruik Linux-hulpprogramma's voor pakketbeheer om de pakketlijst bij te werken met de nieuwste versies:
sudo apt-get updateGebruik Hulpprogramma's voor Linux-pakketbeheer om pakketten te upgraden naar de nieuwste versies. Pakketconflicten kunnen optreden wanneer u deze benadering gebruikt.
sudo apt-get upgradeGebruik python-hulpprogramma's voor pakketbeheer om pakketten te upgraden en te controleren op updates:
pip list --outdated
U kunt extra scansoftware installeren en uitvoeren op het rekenproces om te scannen op beveiligingsproblemen:
- Gebruik Trivy om beveiligingsproblemen op besturingssysteem- en Python-pakketniveau te detecteren.
- Gebruik ClamAV om malware te detecteren. Deze is vooraf geïnstalleerd op rekeninstanties.
De installatie van de Microsoft Defender voor Servers-agent wordt momenteel niet ondersteund.
Eindpunten
Eindpunten ontvangen automatisch updates voor installatiekopieën van de besturingssysteemhost met oplossingen voor beveiligingsproblemen. De updatefrequentie van afbeeldingen is ten minste één keer per maand.
Rekenknooppunten worden automatisch bijgewerkt naar de nieuwste versie van de VM-installatiekopieën wanneer die versie wordt uitgebracht. U hoeft geen actie te ondernemen.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor