Gestão de vulnerabilidades para Microsoft Foundry (clássico)

Aplica-se apenas a:Portal Foundry (clássico). Este artigo não está disponível para o novo portal da Foundry. Saiba mais sobre o novo portal.

Nota

Os links neste artigo podem abrir conteúdo na nova documentação do Microsoft Foundry em vez da documentação do Foundry (clássico) que está a ver agora.

Importante

Este artigo fornece suporte legado para projetos baseados em hubs. Não funciona para projetos da Foundry. Veja : Como sei que tipo de projeto tenho?

A gestão de vulnerabilidades é o processo de detetar, avaliar, mitigar e reportar vulnerabilidades de segurança nos sistemas e software de uma organização. Você e a Microsoft partilham esta responsabilidade.

Este artigo descreve as suas responsabilidades e os controlos de gestão de vulnerabilidades que a Foundry disponibiliza. Saiba como manter a sua instância de serviço e aplicações atualizadas com as últimas atualizações de segurança e reduzir a janela de oportunidade para ciberatacantes.

Pré-requisitos

Para gerir vulnerabilidades no seu ambiente Foundry, precisa de:

• Uma subscrição do Azure
• Um centro ou projeto de fundição
• Papel de Contribuinte ou Proprietário no hub ou projeto da Foundry para gerir recursos computacionais
• CLI do Azure ou acesso ao portal Foundry para gestão de computação
• Para recriação de instâncias de computação: as seguintes permissões RBAC:
  • Microsoft.MachineLearningServices/workspaces/computes/write (criar instâncias de computação)
  • Microsoft.MachineLearningServices/workspaces/computes/delete (eliminar instâncias de cálculo)

Imagens de VM geridas pela Microsoft

A Microsoft gere imagens de máquinas virtuais (VM) do sistema operativo anfitrião para instâncias de computação e clusters de computação serverless. As atualizações são mensais e incluem os seguintes detalhes:

• Para cada nova versão da imagem da VM, a Microsoft obtém as últimas atualizações do sistema operativo do editor original. Usar as atualizações mais recentes ajuda a garantir que recebe todos os patches do sistema operativo aplicáveis. Para o Foundry, a Canonical publica todas as imagens do Ubuntu.

• A Microsoft atualiza as imagens da VM mensalmente.

• Para além dos patches da editora, a Microsoft atualiza os pacotes do sistema à medida que as atualizações ficam disponíveis.

• A Microsoft verifica e valida quaisquer pacotes de aprendizagem automática que possam necessitar de uma atualização. Na maioria das circunstâncias, as novas imagens de VM contêm as versões mais recentes dos pacotes.

• A Microsoft constrói todas as imagens de VM em subscrições seguras que executam varreduras de vulnerabilidades regularmente. A Microsoft assinala quaisquer vulnerabilidades não resolvidas e corrige-as na próxima versão.

• A maioria das imagens utiliza um ritmo mensal de lançamento. Para instâncias de computação, a libertação da imagem está alinhada com a cadência de lançamento do Azure Machine Learning SDK que está pré-instalado no ambiente.

A Microsoft também aplica hotfixes quando surgem vulnerabilidades. A Microsoft lança hotfixes dentro de 72 horas para clusters de computação sem servidor e dentro de uma semana para instâncias de computação.

Nota

O sistema operativo anfitrião não é a versão do sistema operativo que especificas para um ambiente quando treinas ou implementas um modelo. Os ambientes são executados dentro do Docker. O Docker corre no sistema operativo anfitrião.

Imagens de contentores geridas pela Microsoft

As imagens Base Docker que Microsoft mantém para o Foundry recebem correções de segurança frequentes para corrigir vulnerabilidades recém-descobertas.

As atualizações da Microsoft suportavam imagens a cada duas semanas para corrigir vulnerabilidades. O objetivo é zero vulnerabilidades com mais de 30 dias nas imagens suportadas mais recentes.

Microsoft lança imagens atualizadas com uma nova etiqueta imutável e uma etiqueta atualizada :latest. Usar a :latest tag ou estabelecer uma versão específica da *imagem* é um equilíbrio entre segurança e reprodutibilidade do ambiente para a sua tarefa de aprendizagem automática.

Gestão de ambientes e imagens de conteineres

No portal Foundry, as imagens Docker fornecem o ambiente de execução para implementações de fluxos de prompt. Estas imagens começam a partir de uma imagem base da Foundry.

Embora a Microsoft atualize as imagens base a cada lançamento, usar a imagem mais recente é um compromisso entre reprodutibilidade e gestão de vulnerabilidades. Escolhes a versão do ambiente para os teus trabalhos ou implementações de modelos.

Por defeito, sobrepões dependências sobre as imagens base quando constróis uma imagem. Depois de instalar dependências extra nas imagens fornecidas pela Microsoft, é responsável pela gestão de vulnerabilidades.

O seu hub inclui uma instância do Azure Container Registry que armazena imagens de contentores em cache. Quando constróis uma imagem, envias-na para o registo do contentor. O espaço de trabalho usa a imagem em cache quando implementas o ambiente correspondente.

O hub não apaga nenhuma imagem do teu registo de contentores. Revê a necessidade de cada imagem ao longo do tempo. Para monitorizar e manter a higiene ambiental, use Microsoft Defender para o Registo de Contentores para analisar as suas imagens em busca de vulnerabilidades. Para automatizar processos baseados em gatilhos Microsoft Defender, veja Automatizar respostas de remediação.

Gestão de vulnerabilidades em hosts de computação

Os nós de computação geridos no portal Foundry utilizam imagens de VM do sistema operativo gerido pela Microsoft. Quando provisionas um nó, ele obtém a imagem mais recente da VM. Este comportamento aplica-se a instâncias de computação, clusters de computação serverless e computação de inferência gerida.

Embora a Microsoft atualize regularmente imagens de VM do sistema operativo, não analisa ativamente os nós de computação à procura de vulnerabilidades enquanto estão em uso. Para uma camada extra de proteção, considere o isolamento de rede para os seus nós de computação.

Garantir que o seu ambiente está atualizado e que os nós de computação utilizam a versão mais recente do sistema operativo é uma responsabilidade partilhada entre si e a Microsoft. O serviço não atualiza os nós ocupados para a imagem mais recente da VM. As considerações são ligeiramente diferentes para cada tipo de computação, conforme listado nas secções seguintes.

Instância de computação

As instâncias de computação recebem a imagem mais recente da VM quando as provisionas. A Microsoft lança mensalmente novas imagens de VM. Depois de implementar uma instância de computação, ela não recebe atualizações contínuas de imagens. Para se manter atualizado com as últimas atualizações de software e patches de segurança, utilize um destes métodos:

• Recrie uma instância de computação para obter a imagem mais recente do sistema operativo (recomendada).

  Se usar este método, perde dados e personalizações (como pacotes instalados) armazenados no disco do sistema operativo e no disco temporário da instância.

  Para mais informações sobre lançamentos de imagens, consulte as notas de lançamento de imagens para instância de computação do Azure Machine Learning.

• Atualize regularmente os pacotes do sistema operativo e Python.

  Ligue-se ao terminal da sua instância de computação e execute os seguintes comandos para atualizar os pacotes:

  • Atualize a lista de pacotes com as versões mais recentes:

    sudo apt-get update
    

    Resultado esperado: As listas de pacotes são atualizadas a partir dos repositórios. Vês linhas como Hit: ou Get: para cada repositório.

    Referência: apt-get update

  • Atualize os pacotes para as versões mais recentes. Conflitos de pacotes podem ocorrer quando utiliza esta abordagem:

    sudo apt-get upgrade
    

    Saída esperada: Os pacotes são descarregados e instalados. Pode ser solicitado a confirmar a instalação usando Y/n.

    Referência: apt-get upgrade

  • Verifique pacotes Python desatualizados:

    pip list --outdated
    

    Saída esperada: Uma tabela listando pacotes com atualizações disponíveis (colunas: Pacote, Versão, Última Fase, Tipo), ou saída vazia se todos os pacotes estiverem atualizados.

    Referência: pip list

  Para verificar se as atualizações foram aplicadas com sucesso, execute:

  # Check for remaining upgradable packages
  sudo apt list --upgradable
  

  Saída esperada: Listing... Done sem pacotes listados significa que todas as atualizações estão aplicadas.

  Referência: apt list

Analisar vulnerabilidades

Instale e execute software adicional de análise na instância de computação para verificar problemas de segurança:

• Use Trivy para descobrir vulnerabilidades ao nível do sistema operativo e Python pacotes. Para exemplos rápidos de início e utilização, consulte a documentação do Trivy.
• Use o ClamAV para descobrir malware. Vem pré-instalado nas instâncias de computação. Para orientações de utilização, consulte a documentação do ClamAV.

Para exemplos de automação que combinam Trivy e ClamAV, veja Compute instance setup scripts.

Nota

Não podes instalar o agente Microsoft Defender for Servers nas instâncias de computação.

Pontos finais

Os endpoints recebem automaticamente atualizações de imagem do host do SO com correções de vulnerabilidades. A Microsoft atualiza as imagens pelo menos uma vez por mês.

Os nós de computação atualizam automaticamente para a versão mais recente da imagem da VM quando esta é lançada. Não precisas de tomar qualquer atitude.

Conteúdo relacionado

• Centros de fundição
• Criar e gerir instâncias de computação
• Notas de versão de imagens de instância de computação do Azure Machine Learning
• Boas práticas de gestão de vulnerabilidades