Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln hjälper dig att implementera säkert nätverk för AI-arbetsbelastningar på Azure-plattformstjänster. Du behöver säkra nätverk för att skydda känsliga AI-modeller, säkerställa datasekretess och upprätthålla efterlevnadskrav. Korrekt nätverkskonfiguration styr åtkomsten till Azure AI Foundry och Azure AI Services samtidigt som prestanda för modellträning och distribution optimeras.
Använda virtuella nätverk
Virtuella nätverk upprättar säkra kommunikationsgränser för AI-tjänster och förhindrar obehörig åtkomst från offentliga nätverk. Privata slutpunkter eliminerar offentlig Internetexponering samtidigt som fullständiga funktioner och prestanda bibehålls. Du bör använda virtuella nätverk med privata slutpunkter för att skydda AI-modeller, data och tjänster mot externa hot. Så här gör du:
Skapa privata slutpunkter för alla AI-plattformstjänster. Privata slutpunkter tillhandahåller dedikerade nätverksgränssnitt i ditt virtuella nätverk som ansluter direkt till Azure-tjänster. Den här konfigurationen tar bort offentlig Internetexponering samtidigt som du behåller fullständig funktionalitet och prestanda för dina AI-arbetsbelastningar. Använd privat länk för Azure AI Foundry och tillämpa samma begränsningar på Azure AI-tjänster.
Distribuera stödtjänster inom nätverksgränsen. Stödtjänster som Azure Storage, Azure Key Vault och Azure Container Registry måste fungera inom samma säkra nätverksgräns som dina AI-tjänster. Den här konfigurationen säkerställer konsekvent säkerhetsstatus för alla komponenter samtidigt som du behåller rätt åtkomstkontroller för dina AI-arbetsbelastningsberoenden. Använd privata slutpunkter för att ansluta dessa stödtjänster till dina hanterade virtuella nätverk enligt referensarkitekturen för azure AI Foundry-chattens baslinje.
Kontrollera nätverkstrafik
Nätverkstrafikkontroll definierar hur data flödar mellan AI-tjänster och externa system. Lämpliga trafikbegränsningar skyddar känsliga AI-data och säkerställer säkra åtgärder. Du måste implementera trafikkontroller för att skydda AI-arbetsbelastningar och upprätthålla driftsäkerhet. Så här gör du:
Distribuera säker åtkomst med hjälp av jumpbox-infrastrukturen. Jumpbox-åtkomst ger en centraliserad startpunkt i DIN AI-nätverksmiljö samtidigt som strikta säkerhetsgränser upprätthålls. Den här konfigurationen förhindrar direkt exponering av AI-resurser för externa nätverk samtidigt som säker åtkomst aktiveras. Använd en jumpbox i ditt virtuella AI-arbetsbelastningsnätverk eller ett virtuellt nätverk för anslutningshubben och konfigurera Azure Bastion för säker RDP/SSH-anslutning utan att exponera virtuella datorer för det offentliga Internet.
Begränsa utgående trafik till godkända mål. Begränsningar för utgående trafik förhindrar obehörig dataexfiltrering samtidigt som nödvändig kommunikation för AI-modellträning och slutsatsdragning tillåts. Den här metoden skyddar AI-modeller och träningsdata samtidigt som anslutningen för legitima åtgärder upprätthålls. Begränsa utgående trafik till godkända tjänster och fullständigt kvalificerade domännamn (FQDN) enligt dokumentationen för Azure AI-tjänster och Azure AI Foundry.
Förbered tjänster för domännamnsupplösning. Distribuera Azure DNS-infrastruktur som en del av din Azure-landningszon och konfigurera villkorliga vidarebefordrare för lämpliga zoner. Den här konfigurationen säkerställer tillförlitlig namnmatchning för säker kommunikation mellan AI-arbetsbelastningar och externa system.
Konfigurera nätverksåtkomstkontroller. Använd nätverkssäkerhetsgrupper (NSG:er) för att definiera och framtvinga åtkomstprinciper för inkommande och utgående trafik. Dessa kontroller implementerar principen om minsta behörighet, vilket säkerställer att endast nödvändig kommunikation tillåts.
Använd nätverksövervakningstjänster. Övervaka nätverksprestanda och hälsotillstånd med hjälp av verktyg som Azure Monitor Network Insights och Azure Network Watcher. För avancerad hotidentifiering och -svar integrerar du Microsoft Sentinel i din Azure-strategi för nätverksövervakning.
Distribuera Azure Firewall för att skydda utgående trafik. Azure Firewall tillämpar säkerhetsprinciper för utgående trafik innan den når Internet. Använd den för att styra och övervaka utgående trafik, aktivera SNAT för privat IP-översättning och säkerställa säker och identifierbar utgående kommunikation.
Använd Azure Web Application Firewall (WAF) för internetuppkopplade arbetsbelastningar. Azure WAF skyddar AI-arbetsbelastningar från vanliga webbsårbarheter som SQL-inmatningar och skriptattacker mellan webbplatser. Konfigurera Azure WAF på Application Gateway för att förbättra säkerheten för arbetsbelastningar som exponeras för skadlig webbtrafik.
Azure-resurser
| Kategori | Verktyg | Beskrivning |
|---|---|---|
| Nätverksisolering | Virtuellt Azure-nätverk | Skapar säkra nätverksgränser och möjliggör privat kommunikation mellan Azure-resurser |
| Privat anslutning | Azure Private Link | Ger privat åtkomst till Azure-tjänster via Microsofts stamnätverk |
| Säker åtkomst | Azure Bastion | Ger säker RDP/SSH-anslutning utan offentlig IP-exponering |
| DNS-hantering | Privat DNS i Azure | Hanterar privata DNS-zoner för säker namnmatchning i virtuella nätverk |
| API-gateway | Azure API Management | Centraliserar API-hantering och säkerhet för AI-tjänstslutpunkter |
| Webbsäkerhet | Azure Application Gateway | Ger säker HTTPS-avslutning och brandväggsfunktioner för webbprogram |
| Global leverans | Azure Front Door | Erbjuder global belastningsutjämning och säker gränsanslutning för AI-program |