Datakryptering med Azure Machine Learning
Azure Machine Learning förlitar sig på olika Azure-datalagringstjänster och beräkningsresurser när du tränar modeller och utför slutsatsdragningar. I den här artikeln får du lära dig mer om datakryptering för varje tjänst både i vila och under överföring.
För kryptering i produktionsklass under träning rekommenderar vi att du använder ett Azure Machine Learning-beräkningskluster. För kryptering i produktionsklass under slutsatsdragningen rekommenderar vi att du använder Azure Kubernetes Service (AKS).
En Azure Machine Learning-beräkningsinstans är en utvecklings-/testmiljö. När du använder den rekommenderar vi att du lagrar dina filer, till exempel notebook-filer och skript, i en filresurs. Lagra dina data i ett datalager.
Kryptering i vila
Azure Machine Learning-projekt från slutpunkt till slutpunkt integreras med tjänster som Azure Blob Storage, Azure Cosmos DB och Azure SQL Database. I den här artikeln beskrivs krypteringsmetoder för sådana tjänster.
Azure Blob Storage
Azure Machine Learning lagrar ögonblicksbilder, utdata och loggar i Azure Blob Storage-kontot (standardlagringskonto) som är kopplat till Azure Machine Learning-arbetsytan och din prenumeration. Alla data som lagras i Azure Blob Storage krypteras i vila med Microsoft-hanterade nycklar.
Information om hur du använder dina egna nycklar för data som lagras i Azure Blob Storage finns i Azure Storage-kryptering med kundhanterade nycklar i Azure Key Vault.
Träningsdata lagras vanligtvis också i Azure Blob Storage så att träningsberäkningsmål kan komma åt dem. Azure Machine Learning hanterar inte den här lagringen. Den här lagringen monteras på beräkningsmål som ett fjärrfilsystem.
Om du behöver rotera eller återkalla din nyckel kan du göra det när som helst. När du roterar en nyckel börjar lagringskontot använda den nya nyckeln (senaste versionen) för att kryptera vilande data. När du återkallar (inaktiverar) en nyckel tar lagringskontot hand om misslyckade begäranden. Det tar vanligtvis en timme för rotationen eller återkallningen att vara effektiv.
Information om hur du återskapar åtkomstnycklarna finns i Återskapa åtkomstnycklar för lagringskonto.
Azure Data Lake Storage
Kommentar
Den 29 februari 2024 dras Azure Data Lake Storage Gen1 tillbaka. Mer information finns i det officiella meddelandet. Om du använder Azure Data Lake Storage Gen1 måste du migrera till Azure Data Lake Storage Gen2 före det datumet. Mer information finns i Migrera Azure Data Lake Storage från Gen1 till Gen2 med hjälp av Azure-portalen.
Om du inte redan har ett Azure Data Lake Storage Gen1-konto kan du inte skapa nya.
Azure Data Lake Storage Gen2 bygger på Azure Blob Storage och är utformat för stordataanalys i företag. Data Lake Storage Gen2 används som ett datalager för Azure Machine Learning. Precis som Azure Blob Storage krypteras vilande data med Microsoft-hanterade nycklar.
Information om hur du använder egna nycklar för data som lagras i Azure Data Lake Storage finns i Azure Storage-kryptering med kundhanterade nycklar i Azure Key Vault.
Relationsdatabaser i Azure
Azure Machine Learning-tjänsten stöder data från följande datakällor.
Azure SQL Database
Transparent datakryptering hjälper till att skydda Azure SQL Database mot hot om skadlig offlineaktivitet genom att kryptera vilande data. Som standard är transparent datakryptering aktiverat för alla nyligen distribuerade SQL-databaser som använder Microsoft-hanterade nycklar.
Information om hur du använder kundhanterade nycklar för transparent datakryptering finns i Transparent datakryptering i Azure SQL Database.
Azure Database for PostgreSQL
Som standard använder Azure Database for PostgreSQL Azure Storage-kryptering för att kryptera vilande data med hjälp av Microsoft-hanterade nycklar. Det liknar transparent datakryptering i andra databaser, till exempel SQL Server.
Information om hur du använder kundhanterade nycklar för transparent datakryptering finns i Azure Database for PostgreSQL– datakryptering med en kundhanterad nyckel.
Azure Database for MySQL
Azure Database for MySQL är en relationsdatabastjänst i Microsoft Cloud. Den baseras på MySQL Community Edition-databasmotorn. Azure Database for MySQL-tjänsten använder den FIPS 140-2-verifierade kryptografiska modulen för Azure Storage-kryptering av vilande data.
Information om hur du krypterar data med hjälp av kundhanterade nycklar finns i Azure Database for MySQL-datakryptering med en kundhanterad nyckel.
Azure Cosmos DB
Azure Machine Learning lagrar metadata i en Azure Cosmos DB-instans. Den här instansen är associerad med en Microsoft-prenumeration som Azure Machine Learning hanterar. Alla data som lagras i Azure Cosmos DB krypteras i vila med Microsoft-hanterade nycklar.
När du använder dina egna (kundhanterade) nycklar för att kryptera Azure Cosmos DB-instansen skapas en Microsoft-hanterad Azure Cosmos DB-instans i din prenumeration. Den här instansen skapas i en Microsoft-hanterad resursgrupp som skiljer sig från resursgruppen för din arbetsyta. Mer information finns i Kundhanterade nycklar för Azure Machine Learning.
Azure Container Registry
Alla containeravbildningar i containerregistret (en instans av Azure Container Registry) krypteras i vila. Azure krypterar automatiskt en avbildning innan den lagras och dekrypterar den när Azure Machine Learning hämtar avbildningen.
Om du vill använda kundhanterade nycklar för att kryptera containerregistret måste du skapa och bifoga containerregistret när du etablerar arbetsytan. Du kan kryptera standardinstansen som skapas vid tidpunkten för etableringen av arbetsytan.
Viktigt!
Azure Machine Learning kräver att du aktiverar administratörskontot i containerregistret. Som standard inaktiveras den här inställningen när du skapar ett containerregister. Information om hur du aktiverar administratörskontot finns i Administratörskonto senare i den här artikeln.
När du har skapat ett containerregister för en arbetsyta ska du inte ta bort det. Om du gör det bryts din Azure Machine Learning-arbetsyta.
Exempel på hur du skapar en arbetsyta med hjälp av ett befintligt containerregister finns i följande artiklar:
- Skapa en arbetsyta för Azure Machine Learning med hjälp av Azure CLI
- Skapa en arbetsyta med Python SDK
- Använda en Azure Resource Manager-mall för att skapa en arbetsyta för Azure Machine Learning
Azure Container Instances
Viktigt!
Distributioner till Azure Container Instances förlitar sig på Azure Machine Learning Python SDK och CLI v1.
Du kan kryptera en distribuerad Azure Container Instances-resurs med hjälp av kundhanterade nycklar. De kundhanterade nycklar som du använder för Container Instances kan lagras i nyckelvalvet för din arbetsyta.
GÄLLER FÖR:
Python SDK azureml v1
Om du vill använda nyckeln när du distribuerar en modell till Container Instances skapar du en ny distributionskonfiguration med hjälp AciWebservice.deploy_configuration()av . Ange viktig information med hjälp av följande parametrar:
cmk_vault_base_url: URL:en för nyckelvalvet som innehåller nyckeln.cmk_key_name: Namnet på nyckeln.cmk_key_version: Versionen av nyckeln.
Mer information om hur du skapar och använder en distributionskonfiguration finns i följande artiklar:
Mer information om hur du använder en kundhanterad nyckel med containerinstanser finns i Kryptera distributionsdata.
Azure Kubernetes Service
Du kan kryptera en distribuerad Azure Kubernetes Service-resurs med hjälp av kundhanterade nycklar när som helst. Mer information finns i Bring your own keys with Azure Kubernetes Service (Ta med dina egna nycklar med Azure Kubernetes Service).
Med den här processen kan du kryptera både data och OS-disken för de distribuerade virtuella datorerna i Kubernetes-klustret.
Viktigt!
Den här processen fungerar endast med AKS version 1.17 eller senare. Azure Machine Learning lade till stöd för AKS 1.17 den 13 januari 2020.
Machine Learning-beräkning
Beräkningskluster
OS-disken för varje beräkningsnod som lagras i Azure Storage krypteras med Microsoft-hanterade nycklar i Azure Machine Learning-lagringskonton. Det här beräkningsmålet är tillfälliga och kluster skalas vanligtvis ned när inga jobb placeras i kö. Den underliggande virtuella datorn avetableras och OS-disken tas bort.
Azure Disk Encryption är inte aktiverat för arbetsytor som standard. Om du skapar arbetsytan med parametern hbi_workspace inställd på TRUEkrypteras OS-disken.
Varje virtuell dator har också en lokal tillfällig disk för os-åtgärder. Om du vill kan du använda disken för att mellanlagra träningsdata. Om du skapar arbetsytan med parametern hbi_workspace inställd på TRUEkrypteras den tillfälliga disken. Den här miljön är kortvarig (endast under jobbet) och krypteringsstöd är endast begränsat till systemhanterade nycklar.
Hanterade onlineslutpunkter och batchslutpunkter använder Azure Machine Learning-beräkning i serverdelen, och de följer samma krypteringsmekanism.
Beräkningsinstans
OS-disken för en beräkningsinstans krypteras med Microsoft-hanterade nycklar i Azure Machine Learning-lagringskonton. Om du skapar arbetsytan med parametern hbi_workspace inställd TRUEpå krypteras det lokala operativsystemet och tillfälliga diskar på en beräkningsinstans med Microsoft-hanterade nycklar. Kundhanterad nyckelkryptering stöds inte för operativsystem och tillfälliga diskar.
Mer information finns i Kundhanterade nycklar för Azure Machine Learning.
Azure Data Factory
Azure Data Factory-pipelinen matar in data för användning med Azure Machine Learning. Azure Data Factory krypterar vilande data, inklusive entitetsdefinitioner och alla data som cachelagras medan körningar pågår. Som standard krypteras data med en slumpmässigt genererad Microsoft-hanterad nyckel som är unikt tilldelad till din datafabrik.
Information om hur du använder kundhanterade nycklar för kryptering finns i Kryptera Azure Data Factory med kundhanterade nycklar.
Azure Databricks
Du kan använda Azure Databricks i Azure Machine Learning-pipelines. Som standard krypteras databricks-filsystemet (DBFS) som Azure Databricks använder via en Microsoft-hanterad nyckel. Information om hur du konfigurerar Azure Databricks för att använda kundhanterade nycklar finns i Konfigurera kundhanterade nycklar på standard-DBFS (rot).
Microsoft-genererade data
När du använder tjänster som Azure Machine Learning kan Microsoft generera tillfälliga, förbearbetade data för träning av flera modeller. Dessa data lagras i ett datalager på din arbetsyta, så att du kan framtvinga åtkomstkontroller och kryptering på lämpligt sätt.
Du kanske också vill kryptera diagnostikinformation som loggas från din distribuerade slutpunkt till Application Insights.
Kryptering vid överföring
Azure Machine Learning använder TLS (Transport Layer Security) för att skydda intern kommunikation mellan olika Azure Machine Learning-mikrotjänster. All Azure Storage-åtkomst sker också via en säker kanal.
För att skydda externa anrop till bedömningsslutpunkten använder Azure Machine Learning TLS. Mer information finns i Använda TLS för att skydda en webbtjänst via Azure Machine Learning.
Insamling och hantering av data
I diagnostiksyfte kan Microsoft samla in information som inte identifierar användare. Microsoft kan till exempel samla in resursnamn (till exempel datamängdens namn eller maskininlärningsexperimentets namn) eller jobbmiljövariabler. Alla sådana data lagras via Microsoft-hanterade nycklar i lagring som finns i Microsoft-ägda prenumerationer. Lagringen följer Microsofts standardstandard för sekretesspolicy och datahantering. Dessa data finns kvar i samma region som din arbetsyta.
Vi rekommenderar att du inte lagrar känslig information (till exempel kontonyckelhemligheter) i miljövariabler. Microsoft loggar, krypterar och lagrar miljövariabler. När du namnger dina jobb bör du på samma sätt undvika att inkludera känslig information som användarnamn eller hemliga projektnamn. Den här informationen kan visas i telemetriloggar som Microsofts supporttekniker kan komma åt.
Du kan avregistrera dig från insamlingen av diagnostikdata genom att ange parametern hbi_workspace till TRUE när du etablerar arbetsytan. Den här funktionen stöds när du använder Azure Machine Learning Python SDK, Azure CLI, REST API:er eller Azure Resource Manager-mallar.
Lagring av autentiseringsuppgifter i Azure Key Vault
Azure Machine Learning använder Azure Key Vault-instansen som är associerad med arbetsytan för att lagra autentiseringsuppgifter av olika slag:
- Den associerade anslutningssträng för lagringskontot
- Lösenord till Azure Container Registry-instanser
- Anslut ionssträngar till datalager
SSH-lösenord (Secure Shell) och nycklar till beräkningsmål som Azure HDInsight och virtuella datorer lagras i ett separat nyckelvalv som är associerat med Microsoft-prenumerationen. Azure Machine Learning lagrar inga lösenord eller nycklar som användarna tillhandahåller. I stället genererar, auktoriserar och lagrar den sina egna SSH-nycklar för att ansluta till virtuella datorer och HDInsight för att köra experimenten.
Varje arbetsyta har en associerad systemtilldelad hanterad identitet som har samma namn som arbetsytan. Den här hanterade identiteten har åtkomst till alla nycklar, hemligheter och certifikat i nyckelvalvet.