Güvenli kod için en iyi yöntemler
Azure Machine Learning'de herhangi bir kaynaktan Azure'a dosya ve içerik yükleyebilirsiniz. Jupyter not defterleri veya betikleri içindeki içerik oturumlarınızdaki verileri okuyabilir, Azure'da kuruluşunuzdaki hassas verilere erişebilir veya sizin adınıza kötü amaçlı işlemler çalıştırabilir.
Önemli
Yalnızca güvenilir kaynaklardan not defterlerini veya betikleri çalıştırın. Örneğin, siz veya güvenlik ekibiniz not defterini veya betiği gözden geçirdiniz.
Olası tehditler
Azure Machine Learning ile geliştirme genellikle not defterleri veya Azure Machine Learning stüdyosu gibi web tabanlı geliştirme ortamlarını içerir. Web tabanlı geliştirme ortamlarını kullandığınızda olası tehditler şunlardır:
Siteler arası betik oluşturma (XSS)
- DOM ekleme: Bu tür bir saldırı tarayıcıda görüntülenen kullanıcı arabirimini değiştirebilir. Örneğin, Jupyter Not Defteri'nde çalıştır düğmesinin nasıl davranacağını değiştirerek.
- Erişim belirteci veya tanımlama bilgileri: XSS saldırıları yerel depolama ve tarayıcı tanımlama bilgilerine de erişebilir. Microsoft Entra kimlik doğrulama belirteciniz yerel depolama alanında depolanır. XSS saldırısı bu belirteci kullanarak sizin yerinize API çağrıları yapabilir ve ardından verileri bir dış sisteme veya API'ye gönderebilir.
Siteler arası istek sahteciliği (CSRF): Bu saldırı, bir görüntünün URL'sini veya bağlantısını kötü amaçlı bir betiğin veya API'nin URL'si ile değiştirebilir. Görüntü yüklendiğinde veya bağlantıya tıklandığında URL'ye bir çağrı yapılır.
not defterlerini Azure Machine Learning stüdyosu
Azure Machine Learning stüdyosu, tarayıcınızda barındırılan bir not defteri deneyimi sağlar. Not defterindeki hücreler, kötü amaçlı kod içeren HTML belgelerinin veya parçalarının çıktılarını alabilir. Çıkış işlendiğinde kod yürütülebilir.
Olası tehditler:
- Siteler arası betik oluşturma (XSS)
- Siteler arası istek sahteciliği (CSRF)
Azure Machine Learning tarafından sağlanan azaltmalar:
- Kod hücresi çıkışı bir iframe'de korumalıdır. iframe betiğin üst DOM'a, tanımlama bilgilerine veya oturum depolama alanına erişmesini engeller.
- Markdown hücre içeriği dompurify kitaplığı kullanılarak temizlenir. Bu, kötü amaçlı betiklerin markdown hücreleriyle yürütülmesini engeller.
- Görüntü URL'si ve markdown bağlantıları , kötü amaçlı değerleri denetleyen Microsoft'a ait bir uç noktaya gönderilir. Kötü amaçlı bir değer algılanırsa uç nokta isteği reddeder.
Önerilen eylemler:
- Stüdyoya yüklemeden önce dosyaların içeriğine güvendiğinizden emin olun. Güvenilen dosyaları karşıya yüklediğinizi kabul etmeniz gerekir.
- Dış uygulamayı açmak için bir bağlantı seçerken uygulamaya güvenmeniz istenir.
Azure Machine Learning işlem örneği
Azure Machine Learning işlem örneği Jupyter ve JupyterLab'i barındırıyor. Herhangi birini kullandığınızda, not defteri hücrelerinin içindeki kod, kötü amaçlı kod içeren HTML belgelerinin veya parçalarının çıktılarını alabilir. Çıkış işlendiğinde kod yürütülebilir. İşlem örneğinde barındırılan RStudio veya Posit Workbench (eski adıyla RStudio Workbench) kullandığınızda da aynı tehditler geçerlidir.
Olası tehditler:
- Siteler arası betik oluşturma (XSS)
- Siteler arası istek sahteciliği (CSRF)
Azure Machine Learning tarafından sağlanan azaltmalar:
- Yok. Jupyter ve JupyterLab, Azure Machine Learning işlem örneğinde barındırılan açık kaynak uygulamalardır.
Önerilen eylemler:
- Karşıya yüklemeden önce dosyaların içeriğine güvendiğinizden emin olun. Güvenilen dosyaları karşıya yüklediğinizi kabul etmeniz gerekir.
Güvenlik sorunlarını veya endişelerini bildirme
Azure Machine Learning, Microsoft Azure Bounty Programı kapsamında uygundur. Daha fazla bilgi için https://www.microsoft.com/msrc/bounty-microsoft-azure adresini ziyaret edin.
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin