Düzenlenen sektörlerde yapay zeka ve makine öğrenmesi girişimlerini ölçeklendirme

Bu makalede, bilgi güvenliği risk yönetimi (ISRM) denetimlerinden oluşan yaygın yüksek riskli katman sınıflandırma kümesinin analizi ve uygulanmasıyla ilgili Azure mimari konuları ele alınmalıdır.

Mimari

Mimari bu diyagramda gösterilir ve kurumsal ölçekli giriş bölgeleri ilkesini, özellikle kurumsal ölçekli analiz ve yapay zeka başvuru mimarisini izler.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Mimari, aşağıdaki bölümlerde açıklanan iş akışından oluşur. Mimarinin her bileşeni diyagramda karşılık gelen bir sayıya sahiptir. Bileşenin ana amacını, mimariye nasıl uyduğunu ve bunu benimserken dikkate almanız gereken diğer önemli noktaları açıklıyoruz:

1. Platform abonelikleri – Microsoft Entra Id aracılığıyla yönetim, bağlantı ve kimlik sağlayan temel Azure abonelikleri. Bunlar burada daha ayrıntılı olarak özetlenmez ve çekirdek kurumsal ölçekli kurulumun bir parçası olarak hazır ve kullanılabilir oldukları varsayılır.

Veri yönetimi

2. Veri yönetimi bölgesi – Veri yönetim bölgesi, platform genelinde veri idaresinin sorumluluğundadır ve veri giriş bölgelerinde daha fazla esneklik sağlamak için korumaları zorunlu kılır. Kendi aboneliği vardır ve veri kataloğu oluşturma, izleme, denetimler gibi merkezi hizmetleri barındırmaktadır. Bu ortam yüksek düzeyde denetlenmektedir ve sıkı denetimlere tabidir. Tüm veri sınıflandırma türleri merkezi veri kataloğunda (Azure Purview) depolanır. Meta verilere bağlı olarak, farklı ilkeler ve erişim desenleri uygulanır. Kiracının tamamı için yalnızca bir veri yönetimi bölgesi aboneliği vardır. Veri yönetimi bölgesi diğer tüm veri giriş bölgeleriyle eşlenmiştir (VNET eşlemesi aracılığıyla). Özel uç noktalar, dağıtılan hizmetlerin genel İnternet üzerinden erişilebilir olmadığından emin olmak için mümkün olduğunda kullanılır.
3. Ağ kaynak grubu – Azure Sanal Ağ s, ağ güvenlik grupları ve veri yönetimi bölgesi için gereken ağ ile ilgili diğer tüm kaynaklar ağ kaynak grubu içinde sağlanır.
4. Dağıtım kaynak grubu – Dağıtım kaynak grubu, veri yönetimi bölgesi için gereken özel Azure DevOps CI/CD aracılarını (sanal makineler) ve dağıtımla ilgili gizli dizileri depolamak için bir Key Vault'u barındırır.
5. Veri idaresi kaynak grubu – Azure Purview bir veri idaresi ve veri kataloğu çözümü olarak kullanılır ve veri kümelerinin yasalar veya diğer varlıklar tarafından uygulanan veri gereksinimlerini ve veri düzenlemelerini izlemesi için gerekli korumaları zorunlu kılmak için kullanılır. Purview, gizli dizileri depolamak için bir Key Vault örneğinin yanı sıra bu kaynak grubu içinde merkezi olarak barındırılır.
6. Merkezi varlıklar – Merkezi varlıklar, platform için merkezi olan önemli ve değerli varlıkları barındırıyor, örneğin:
   • Azure Machine Learning tabanlı veri ürünlerinde kullanılan temel görüntüleri barındıran Azure Container Registries (daha önce taranan ve güvenlik açığı olmayan görüntüler)
   • Yayımlanan ve platformdaki tüketicilerin kullanımına sunulan yapay zeka/Makine Öğrenmesi modelleri (gerekirse bir veya daha fazla veri giriş bölgesine dağıtılabilir).
7. Ek hizmetler : Merkezi hale getirilmesi gereken diğer hizmetler, merkezi Azure API Management örnekleri, üçüncü taraf yazılımları vb. içerebilen bu kaynak gruplarından birinde barındırılabilir.
8. Veri görselleştirme kaynak grubu – Bu kaynak grubu, veri giriş bölgeleri arasında paylaşılan veri görselleştirme çözümlerini barındırır. Çözümler Power BI, Tableau veya başka bir görselleştirme çözümü olabilir.
9. Ek altyapı denetimleri ve idare – Bulut için Microsoft Defender ve Azure İzleyici temel güvenlik ve izleme çözümleri olarak kullanılır.

Veri giriş bölgeleri

10. Veri giriş bölgesi 001 – Veri giriş bölgesi, veri platformu içindeki bir ölçek birimini temsil eden bir aboneliktir. Veri giriş bölgeleri, analiz ve yapay zeka platformunu barındırmaya yönelik tüm önemli özellikler de dahil olmak üzere çekirdek veri giriş bölgesi mimarisine (şema) göre dağıtılır. Ortamda bir veya birden çok veri giriş bölgesi olabilir. Azure İlkesi, çeşitli Azure hizmetlerinin erişimini ve yapılandırmalarını güvenli tutmak için uygulanır. Veri giriş bölgesi diğer tüm veri giriş bölgeleri ve veri yönetimi bölgesiyle eşlenmiştir (VNET eşlemesi aracılığıyla). Özel uç noktalar, dağıtılan hizmetlerin genel İnternet üzerinden erişilebilir olmadığından emin olmak için mümkün olduğunda kullanılır.

11. Ağ kaynak grubu – Azure Sanal Ağ s, ağ güvenlik grupları ve veri giriş bölgesi için gereken ağ ile ilgili diğer tüm kaynaklar bu kaynak grubunda sağlanır.

12. Dağıtım kaynak grubu – Dağıtım kaynak grubu, veri giriş bölgesi için gereken özel Azure DevOps CI/CD aracılarını (sanal makineler) ve dağıtımla ilgili gizli dizileri depolamak için bir Key Vault'u barındırır.

13. Veri depolama kaynak grubu – Veri depolama kaynak grubu, hiyerarşik ad alanına sahip Azure Data Lake Storage 2. Nesil olarak dağıtılan bu veri giriş bölgesi için ana veri depolama hesaplarını içerir. Bunlar üç ana alana yayılmıştır:

    • Ham – Veriler özgün durumunda veri kaynağından alınıyor
    • Seçilmiş ve Zenginleştirilmiş – Veriler temizlenmiş, doğrulanmış ve toplanmış
    • Çalışma Alanı – Belirli veri ürünleri, veri kümelerini veya Machine Learning modellerinin çıkışlarını depolayabilir vb.

    Diyagramlardaki oklar, ham verilerden seçilmiş ve zenginleştirilmiş (güvenilir) verilere ve araştırma, analiz ve veri ürününden ek değer sağlama için çalışma alanına kadar beklenen veri akışını gösterir.

14. Veri tümleştirme kaynak grubu – Veri tümleştirme kaynak grubu, şirket içinde barındırılan tümleştirme çalışma zamanı (SHIR) ile bağlantıyı paylaşan bir Azure Data Factory'yi barındırıyor. Ana amacı bağlantı kurmaktır. Diğer Data Factory örnekleri bağlantıyı yalnızca tek bir yerde tutmak için yeniden kullanılır. Diğer amacı, tarama amacıyla bu veri giriş bölgesindeki veri kaynaklarına erişebilmesi için Azure Purview hizmeti için şirket içinde barındırılan tümleştirme çalışma zamanını barındırmaktır.

15. Meta veri yönetimi kaynak grubu – Meta veri yönetimi kaynak grubu, Azure Databricks (Hive meta deposu) ve Azure Data Factory alım ve işleme işlem hatları için meta verileri barındırıyor. Ayrıca bu verilere erişmek için gizli dizileri depolamak için bir Key Vault barındırıyor. Azure SQL Veritabanı meta verileri barındırmak için kullanılır.

16. Veri alımı kaynak grubu – Veri alımı kaynak grubu, bir veri etki alanına özgü tüm veri alımı işlem hatlarının dağıtıldığı bir Azure Data Factory örneğini barındırmaktadır. Azure Databricks, verileri yüklemek, dönüştürmek ve data lake hesaplarında depolamak için bir işleme altyapısı olarak kullanılır.

17. Analiz kaynak grubu – Analiz kaynak grubu, daha fazla veri analizi ve araştırma için iki paylaşılan hizmet içerir: Azure Synapse ve Azure Databricks. Bu hizmetlerin her ikisi de büyük veri keşfi ve analiz amaçları için kapsamlı işlem ve ölçek sağlar.

18. Veri ürünü kaynak grubu – Veri ürünü kaynak grubu, bir veri ürününün ihtiyaç duyabileceği temel Azure kaynaklarını içeren bir kaynak grubuyla bir veri ürününe yönelik bir şemadır. Dağıtım, işletmenin belirli ihtiyaçlarına göre bir Azure DevOps işlem hattı aracılığıyla yapılandırılabilir olmalıdır. Burada dağıtılan temel Azure hizmetleri şunlardır:

    • Key Vault gibi ilgili hizmetlere sahip tüm kurumsal makine öğrenmesi projelerinin temeli olarak Azure Machine Learning çalışma alanı (gizli dizileri depolamak için)
    • Uygulama Analizler (model izleme için)
    • Azure depolama (veri kümelerini depolamak için)
    • Geliştirme sırasında model görüntülerini depolamak için bir Azure Container Registry

    Bilişsel Hizmetler, birden çok yapay zeka destekli hizmete API erişimi sağlamak için bir paket olarak dağıtılır ve Geliştirme, model oluşturma ve test amacıyla Azure Machine Learning işlem örneği ve işlem kümeleri kullanılır. Azure Data Factory, gerekirse modellerin toplu puanlama işlemlerini yönetmek için kullanılır. Azure Uygulaması Hizmeti ve Azure Cosmos DB, özel bir uygulamanın veya API'nin kendi iç veri deposuyla barındırılabildiği veri ürününün dağıtımı için ek bir katman sağlar.

    Düzenlemeye tabi sektörler genellikle katı veri erişimi kısıtlamalarına sahiptir ve genellikle üretim verilerinin yalnızca üretim ortamında barındırılabilmesine izin verir. Bu nedenle, veri ürünlerinin geliştirme yaşam döngüsü yalnızca üretim verileri giriş bölgesinde gerçekleşir ve geliştirme, test ve dağıtım amacıyla ayrı bir ortam veya kaynak grubu sağlanır.

19. Ek veri ürünleri – Bir veri giriş bölgesi bir veya birden çok veri ürününü barındırabildiğinden, bu kaynak grupları diğer veri ürünlerini barındırabilir.

20. Paylaşılan işlem kaynak grubu – Veri ürünlerini barındırmak ve dağıtmak için gereken tüm paylaşılan işlem bu kaynak grubu içinde sağlanır. Azure Kubernetes Service kümesi bir örnektir.

21. Temel güvenlik ve izleme çözümleri olarak ek altyapı denetimleri ve idare – Bulut için Microsoft Defender ve Azure İzleyici kullanılır.

22. Veri giriş bölgesi 002 – Bu giriş bölgesi, yeni veri giriş bölgelerini barındırmak için kullanılacak ek Azure abonelikleri için bir yer tutucudur. Bunlar, veri yerleşimi gereksinimleri veya kendi işlevsel ekibi ve teslim edilecek bir dizi kullanım örneği olan farklı bir iş birimi gibi daha önce bahsedilen ölçütleri temel alır.

Bileşenler

• Microsoft Entra ID
• Azure Purview
• Azure Sanal Ağ
• Azure DevOps
• Azure Container Registry
• Azure Machine Learning
• Bulut için Microsoft Defender
• Azure İzleyici
• Azure İlkesi
• Azure Data Lake Storage
• Azure Data Factory
• Azure SQL Veritabanı
• Azure Databricks
• Azure Synapse Analytics
• Azure Kubernetes Service

Alternatifler

Dağıtılmış kuruluşlarda, iş grupları bağımsız olarak ve yüksek derecede özerklikle çalışır. Bu nedenle, Azure giriş bölgelerindeki kullanım örneklerinin tam olarak yalıtılması ve çok az sayıda ortak hizmetin paylaşılmasıyla alternatif bir çözüm tasarımını göz önünde bulundurabilir. Bu tasarım hızlı bir başlangıç sağlar, ancak BT ve ISRM kuruluşlarından yüksek çaba gerektirir, çünkü bireysel kullanım örneklerinin tasarımı şema tasarımlarından hızla uzaklaşabilir. Ayrıca, Azure'da barındırılan yapay zeka ve Machine Learning ürünlerinin her biri için bağımsız ISRM işlemleri ve denetimleri gerektirir.

Senaryo ayrıntıları

Düzenlenen ortamlarda yapay zeka ve makine öğrenmesi girişimlerini ölçeklendirmek, dijital olgunlukları ve boyutları ne olursa olsun kuruluşlar için önemli zorluklar oluşturur. Bu makalede, düzenlemeye tabi sektörlerde Azure'ın veri mühendisliği ve makine öğrenmesi hizmetlerini benimserken dikkate alınması gereken temel mimari kararlar ele alınıyor. Bu kararlar, Fortune 500 küresel yaşam bilimleri ve sağlık şirketinde yakın zamandaki bir uygulamadan öğrenilenlere dayanmaktadır.

Bu makalede sunulan mimari, kurumsal ölçekli analiz ve yapay zeka başvuru mimarisi tasarımını izler ve ilk uygulamalarından biridir.

Veri bilimi projeleri ayarlayıp yaşam bilimleri ve sağlık ortamlarında makine öğrenmesi modelleri geliştirirseniz, hemen hemen her durumda yüksek iş etkisi (HBI) veri kaynaklarına erişmeniz gerekir. Örneğin, bu kaynaklar hasta verileri, molekül kimyasal formülleri veya üretim süreci gizli dizileri olmadan klinik deneme protokolü bilgileri olabilir.

Düzenlemeye tabi sektörlerde BT sistemleri, söz konusu sistemlerin erişilen veri kaynaklarının sınıflandırmasına göre sınıflandırılır. Azure'da çalışan yapay zeka ve makine öğrenmesi ortamları HBI olarak sınıflandırılır ve kapsamlı bir ISRM ilkeleri ve denetimleri kümesiyle uyumlu olması gerekir.

Tasarım ilkeleri

Bu mimari aşağıdaki ilkeleri temel alır:

• Kurumsal ölçek, Azure yol haritası ve Microsoft Bulut Benimseme Çerçevesi (CAF) parçasıyla uyumlu bir mimari yaklaşım ve başvuru uygulamasıdır. Azure'daki giriş bölgelerinin uygun ölçekte etkili bir şekilde oluşturulmasını ve kullanıma hazır hale getirilmesini sağlar. Ad giriş bölgesi , yeni veya geçirilen uygulamaların Azure'a indiği bir sınır olarak kullanılır. Bu senaryoda, veri platformunun verileri ve yapay zeka ve Makine Öğrenmesi modellerini barındırmak için kullanılan bölümlerini de ifade eder.
• Geleneksel monolitik veri platformu mimarileri, özelliklerin ve değerlerin teslimini yavaşlatan doğal bir sınırlamaya sahiptir. Burada açıklanan mimari, kuruluşların sahiplik ayrımı (veri ağı) ile merkezi olmayan bir yaklaşım kullanarak veri varlıklarını ölçeklendirmelerine ve merkezi bir monolitik veri gölündeki zorlukları ele almalarına olanak tanır. Bu yaklaşım, kuruluşların binlerce alma işlem hattına ve veri ürününe ölçeklendirilmesini sağlarken, çekirdek veri platformunu ve veri yönetimi hizmetlerini (veri yönetimi bölgesi olarak adlandırılan ayrı bir giriş bölgesinde dağıtılır) veri etki alanlarından ve veri ürünlerinden (bir veya daha fazla veri giriş bölgesine dağıtılır) ayırarak veri platformunu güvenli ve sürdürülebilir hale getirmenizi sağlar.
• Abonelikler, iş gereksinimleri ve öncelikleriyle uyumlu yönetim ve ölçek birimleri olarak kullanılır. Ölçeklendirme, farklı iş paydaşları, farklı iş hedefleri ve gereksinimleri ve veri yerleşimi gereksinimleri (verilerin belirli bir coğrafi bölgede barındırılması gereken durumlar) gibi ölçütlere göre iş birimlerine yeni abonelikler (veri giriş bölgeleri) sağlayarak sağlanır.
• Azure İlkesi, korumalar sağlamak ve şirketin BT ortamı içinde sürekli uyumluluğu sağlamak için kullanılır.
• Tek denetim ve yönetim düzlemi (Azure portalı aracılığıyla), rol tabanlı erişim ve ilke temelli denetimlere tabi tüm Azure kaynakları ve sağlama kanalları arasında tutarlı bir deneyim sağlar. Mümkün olduğunda Azure'a özel platform hizmetleri ve özellikleri kullanılır.
• İşlevsel ekipler, platform içindeki pazar süresini ve çevikliği kısaltmak için tasarım, geliştirme ve operasyonların sahipliğini alır. DevOps, Kod Olarak Altyapı (IaC) ve dayanıklı tasarımlar gibi temel ilkeler, insan hatalarından ve tek hata noktalarından kaçınmak için kullanılır.
• Etki alanı ve veri kaynağı konusunda uzman olan kişiler Veri etki alanlarını kullanarak Azure, üçüncü taraf veya şirket içi ortamlardan veri varlıklarını alabilir. Veri etki alanı, işlevsel ekiplerin özel veri alımı için kullanabileceği bir veri giriş bölgesi içindeki kaynak grubudur. Veri giriş bölgesi içinde bir veya birden çok veri etki alanı olabilir. Veri etki alanları, bağlam sınırı sağlayan ve kendi kendine yeterli ve yalıtılmış olan Etki Alanı Temelli Tasarım'daki etki alanlarına benzer şekilde görüntülenebilir. Veri etki alanına örnek olarak klinik deneme verileri veya tedarik zinciri verileri yer alır.

Olası kullanım örnekleri

Bu makalede ele alınan mimari konuların yaşam bilimleri ve sağlık sektörlerindeki kaynakları vardır. Bununla birlikte, bunlar şu sektörler de dahil olmak üzere diğer düzenlemeye tabi sektörlerdeki kuruluşlar için de geçerlidir:

• Finansal hizmetler
• Sağlık hizmetleri sağlayıcıları
• Petrol ve doğalgaz

Düzenlemeye tabi ortamlarda kurumsal ölçekli analiz ve yapay zeka başvuru mimarisinin uygulanması benzer tasarım desenlerini izler.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Bu bölümde, daha önce yaşam bilimleri ve sağlık düzenlemesi yapılan bir ortamda açıklanan mimarinin uygulanmasından alınan dersler ele alınıyor. Yaygın ISRM denetimlerini ve ilkelerini karşılamak için üst düzey tasarım konularını da ele alacağız.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Ortamlar

Düzenlenmiş ortamlarda, HBI olarak sınıflandırılan BT sistemlerinin geliştirme, kalite ve üretim gibi birden çok ayrı ortamlara sahip olması gerekir. Korumalı veri kaynaklarına erişim yalnızca üretim sertifikalı ortamlarda yetkilendirilmiştir.

Yapay zeka ve makine öğrenmesi geliştirmesi hassas veri kümelerine erişim gerektirdiğinden model oluşturma, eğitim ve çıkarım (veya benzeri) gibi makine öğrenmesi işlemleri sürecinin farklı aşamaları üretim ortamında gerçekleşir. Geliştirme ve kalite ortamları, yeni Azure hizmetleri ve özellikleri kullanıma sunuldukçe sürekli iyileştirmeler sağlamak için genellikle altyapı, operasyonlar ve veri mühendisliği çalışma türüyle sınırlıdır.

Yapay zeka ve veri bilimi geliştirme etkinlikleri, korumalı alan veya erken keşif çalışmaları dışında üretim ortamlarında gerçekleştirilmelidir.

Şifreleme

Müşteri tarafından yönetilen anahtarlar (CMK' lar) tümleştirmesi ile FIPS 140-2 düzey 2 veya düzey 3 ilkeleri gibi şifreleme anahtarları yönetimine özgü gereksinimleri uygulamak için hassas iş verilerine erişen, bu verileri depolayıp işleyen BT sistemleri gereklidir. Korumalı veriler, TLS 1.2 veya üzeri protokoller kullanılarak bekleyen ve aktarımda her zaman şifrelenmelidir.

Mimari tasarımı sırasında, Azure hizmetlerinin kuruluşun CMK altyapısına destek ve tümleştirmesinin dikkatli bir analizi gerekir. Veri şifrelemeye yönelik tüm özel durumlar belgelenmelidir. Donanım güvenlik modülü (HSM) satıcıları için destek her zaman genişletilmektedir ve ek bilgiler Azure Key Vault Yönetilen Donanım Güvenlik Modülü'nde bulunabilir.

Ağ tasarımı ve halka eskrim

Yapay zeka ve makine öğrenmesi ortamlarında, ağ segmentasyonu ve ağ erişim denetimleri uygulanarak halka eskrim uygulanmalıdır. Mimari bileşenleri arasındaki ağ iletişimi, izin verilenler listesi yaklaşımında çalışması için gerekli veri akışları ve temel altyapı ile sınırlıdır. İmza tabanlı analiz ve davranış tabanlı analiz uygulanmalıdır.

mimarideki Azure Güvenlik Duvarı, gelen ve giden ağ bağlantısını inceleme, ağ güvenlik grupları ve web uygulaması güvenlik duvarı (WAF) ile korunan web uygulaması uç noktasına erişim gibi çeşitli katmanlarda ağ erişim denetimlerini zorunlu kılın.

Yetkilendirme yönetimi

Azure'da çalışan yapay zeka ve makine öğrenmesi ortamları, kritik iş uygulamalarına erişim izni verme isteklerinin gönderildiği, onaylandığı ve denetlendiği bir kuruluşun ana hesap sağlama sistemiyle tümleştirilmelidir.

Hesap sağlama sistemlerinin bir kuruluşun Active Directory ve Microsoft Entra kimliğine bağlanması beklenir; böylece iş yetkilendirme rolleri ilgili Active Directory ve Microsoft Entra güvenlik gruplarıyla eşlenir.

Yapay zeka ve makine öğrenmesi ortamları rol tabanlı erişim denetimi modelini izler. Erişim düzeyi denetimi yetkilendirmeleri, kullanıcıların yalnızca iş rolleri ve iş gereksinimleri için görevleri ve eylemleri gerçekleştirebilmesini sağlar. Belirli bir kullanım örneğinde çalışan veri bilimciler en düşük ayrıcalık ilkesine bağlı olarak yalnızca bu kullanım örneğinin kaynaklara erişmesine izin verildiğinden makine öğrenmesi kullanım örneklerinin yüksek ayrımlı olması beklenir. Bu kaynaklar şunları içerebilir:

• Depolama hesapları
• Azure Machine Learning çalışma alanları
• Bilgi işlem örnekleri

Rol tabanlı erişim denetimi, Microsoft Entra Id'deki güvenlik gruplarını kullanır.

Çok faktörlü kimlik doğrulaması

Çok faktörlü kimlik doğrulaması, Azure'da çalışan ve yüksek iş etkisi olarak sınıflandırılan tüm ortamlara erişim için uygulanmalıdır. Çok faktörlü kimlik doğrulaması, Microsoft Entra çok faktörlü kimlik doğrulama hizmetleri kullanılarak zorunlu kılınabilir. Azure DevOps, Azure Yönetim Portalı, Azure Machine Learning, Azure Databricks ve Azure Kubernetes Services gibi uygulama uç noktaları çok faktörlü kimlik doğrulaması erişim denetimi ilkelerinde yapılandırılmalıdır.

Azure hizmet yöneticileri, veri mühendisleri ve veri bilimcileri de dahil olmak üzere tüm kullanıcılar için çok faktörlü kimlik doğrulaması uygulanmalıdır.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

Günlüğe kaydetme ve izleme

Tüm Azure hizmetlerinin güvenlik olaylarını bir kuruluşun Güvenlik İşlem Merkezi (SOC) platformuna alması ve aşağıdaki güvenlik olaylarının kaydedilmesi gerekir:

• Başarılı ve başarısız kimlik doğrulama girişimleri
• Hassas veri erişimi
• Güvenlik ilkesindeki değişiklikler
• Yönetici kullanıcı gruplarında, kullanıcılarında veya rollerinde yapılan değişiklikler
• Varsa, dış konumlara hassas veri aktarımları
• Öznitelik tabanlı erişim denetimi (ABAC) denetimleri gibi koruma sistemlerini etkinleştirme ve devre dışı bırakma
• Günlüklere erişim güncelleştirildi ve günlük kaydı kesintisi

Azure güvenlik günlükleri farklı desenler aracılığıyla SOC'ye aktarılabilir:

• Merkezi bir Azure Log Analytics çalışma alanı
• Splunk gibi SOC platform sistemlerine bağlı olay hub'ı
• SOC aracılarıyla dağıtılan Windows VM ve diğer işlem kaynakları

DevOps

Düzenlemeye tabi ortamlarda, BT sistemleri kapsamlı ve zaman alan destekleyici belgelerle, kullanıcı gereksinimleri belirtimleri, işlevsel belirtimler, tasarım ve test belirtimleri gibi süreç aşamaları arasında resmi onaylar (veya geçitler) ile katı şelale stili kalite kontrol süreçlerini izlemelidir.

Azure ortamları ve veri bilimi geliştirme, DevOps kültürüne sabitlenmiş yinelemeli süreçleri izler. Yapay zeka ve makine öğrenmesi girişimlerini ölçeklendirmeye yönelik önemli bir çaba, DevOps kuruluşunun yapı taşlarını iletmek ve Azure DevOps epic'leri, özellikleri, kullanıcı hikayeleri, test planları ve CI/CD işlem hatları ile gerekli kalite denetimi varlıkları ve kanıt arasında otomatik uçtan uca izlenebilirlik eşlemesi oluşturmak için harcanır.

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Düzenlenen ortamlarda yapay zeka ve makine öğrenmesini ölçeklendirmek ve kuruluşun iş alanlarında hızlı benimsemeyi sağlamak için Azure hizmetleri tarafından oluşturulan değeri ölçmek, izlemek ve değerlendirmek için bir benimseme çerçevesi tasarlamanızı ve yerleştirmenizi öneririz. Yaşam bilimleri ve sağlık sektörü örneğimizden aşağıdaki iş değeri kaldıraçları ve önemli performans göstergeleri (KPI) değerlendirildi:

Ölçeklenebilirlik : Azure mimarisinin, ölçek noktası ne olursa olsun iş gereksinimleriyle birlikte ölçeklendirilebilmesini sağlamak için aşağıdaki KPI'ler önerilir:

• İşlem örneği sayısı ve kullanılan toplam depolama ve bellek
• Çalıştırıla deneme sayısı
• Dağıtılan model sayısı

Yapay zeka geliştirmenin hızlandırılması – Yapay zeka ve makine öğrenmesi çözümü geliştirme sürecini hızlandırmak için aşağıdaki KPI'ler önerilir:

• Azure'ın yapay zeka ve makine öğrenmesi hizmetlerini kullanan farklı iş birimlerinin sayısı
• Kategori başına eklenen kullanıcı sayısı ( örneğin, veri mühendisleri, veri bilimciler, vatandaş veri bilimciler ve iş kullanıcıları)
• Çalıştırıla deneme sayısı
• Kullanıcı ekleme ve etkin kullanım arasındaki süre
• Değişiklik yapılandırma isteğinden hizmet sağlama tamamlamaya kadar hizmet sağlama süresi

Uyumluluk – Dağıtılan yapay zeka ve makine öğrenmesi çözümlerinin sürekli uyumluluğunu sağlamak için aşağıdaki KPI'ler önerilir:

• Geçerli ISRM denetimleriyle genel uyum
• Güvenlik açığı uyarısı sayısı
• Son döneme ait güvenlik olayı sayısı

Kullanıcı Deneyimi – Yüksek kaliteli ve tutarlı kullanıcı deneyimlerinin kullanılabilir olduğundan emin olmak için aşağıdaki KPI'ler önerilir:

• Kullanıcı yardım masası isteklerinin sayısı
• Net Promoter Score (NPS)

Secure Foundations – Güvenli ve güvenli temellerin kurulduğundan emin olmak için aşağıdaki KPI'ler önerilir:

• Kritik hizmetlerin çalışma süresi
• Performans kullanılabilirliğiyle ilgili bildirilen olay sayısı

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Maliyet yönetimi, ölçeklenebilir yapay zeka ve makine öğrenmesi platformlarının uygulanmasında tasarımın önemli bir parçasıdır çünkü çalıştırma maliyetleri basit ve öngörülebilir desenleri izlemez. Maliyet öncelikli olarak platformda yürütülen yapay zeka ve makine öğrenmesi denemelerinin sayısı ve boyutu ile model eğitiminde ve çıkarımında kullanılan işlem kaynaklarının sayısı ve SKU'larına bağlıdır.

İşte önerdiğimiz bazı uygulamalar:

• Her kullanım örneğini ve yapay zeka ve makine öğrenmesi ürününü kendi Azure hizmetleri bütçesine atayın. Bu iyi bir maliyet yönetimi uygulamasıdır.
• Platform paylaşılan hizmetleri için şeffaf bir maliyet modeli oluşturun.
• Kullanım örneği ve ürün kaynaklarını maliyet merkezleriyle ilişkilendirmek için etiketleri tutarlı bir şekilde kullanın.
• Kaynakların en uygun şekilde nerede kullanılmadığını anlamak ve yapılandırmaları düzenli olarak gözden geçirmek için Azure Danışmanı'nı ve Azure Bütçesi'ni kullanın.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Eran Sagi | AI Çözüm Mimarı

Sonraki adımlar

Azure Machine Learning ile modelleri eğitip dağıtmayı ve makine öğrenmesi yaşam döngüsünü yönetmeyi öğrenin. Öğreticiler, kod örnekleri, API başvuruları ve daha fazlasını burada bulabilirsiniz:

• Azure Machine Learning Belgeleri

Azure'da veri analizi ve yapay zeka için kurumsal ölçekli giriş bölgesi uygulamayı öğrenin:

• Kurumsal ölçekli analiz ve yapay zeka başvuru mimarisi

Ürün belgeleri:

• Azure Machine Learning
• Makine Öğrenmesi İşlemleri
• Azure Databricks
• Azure Data Lake Storage 2. Nesil

İlgili kaynaklar

Azure Mimari Merkezi'ne genel bakış makaleleri:

• Microsoft Azure İyi Tasarlanmış Çerçeve