共用方式為


Azure AI Studio 的弱點管理

重要

本文中標示為 (預覽) 的項目目前處於公開預覽狀態。 此預覽版本沒有服務等級協定,不建議將其用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

弱點管理牽涉到偵測、評估、緩和和報告任何存在於組織系統和軟體中的安全性弱點。 弱點管理是您與 Microsoft 之間的共同責任。

本文討論這些責任,並概述 Azure AI Studio 所提供的弱點管理控制項。 您會了解如何使用最新的安全性更新,讓您的服務執行個體和應用程式保持在最新狀態,以及如何將攻擊者的機會降到最低。

Microsoft 管理的 VM 映像

Microsoft 會管理計算執行個體和無伺服器計算叢集的主機 OS 虛擬機器 (VM) 映像。 更新頻率為每月更新,包含下列詳細資料:

  • 針對每個新的 VM 映像版本,最新的更新會源自 OS 的原始發行者。 使用最新的更新有助於確保您取得所有適用的作業系統相關修補檔。 針對 Azure AI Studio,發行者是所有 Ubuntu 映像的標準。

  • VM 映像會每月更新。

  • 除了原始發行者所套用的修補檔之外,Microsoft 會在更新提供時更新系統套件。

  • Microsoft 會檢查並驗證可能需要升級的任何機器學習套件。 在大多數情況下,新的 VM 映像會包含最新的套件版本。

  • 所有 VM 映像都是以定期執行弱點掃描的安全訂閱為基礎。 Microsoft 會標示任何未解決的弱點,並在下一個版本中加以修正。

  • 大部分映像的間隔頻率為每月。 針對計算執行個體,映像發行與預先安裝在環境中的 Azure Machine Learning SDK 發行日程一致。

除了一般發行日程之外,如果弱點浮現出來,Microsoft 也會套用 Hotfix。 Microsoft 會在 72 小時內為無伺服器計算叢集推出 Hotfix,在一週內為計算執行個體推出 Hotfix。

注意

主機作業系統不是您在定型或部署模型時為環境指定的作業系統版本。 環境會在 Docker 內執行。 Docker 會在主機作業系統上執行。

Microsoft 管理的容器映像

由 Microsoft 為 Azure AI Studio 維護的基礎 Docker 映像會頻繁取得安全性修補檔,以解決新發現的弱點。

Microsoft 每隔兩週發行支援映像的更新,以解決弱點。 做為承諾,我們的目標是在最新版的支援映像中,找不到超過 30 天的弱點。

修補過的映像會以新的不可變標籤和更新的 :latest 標籤發行。 使用 :latest 標籤或釘選到特定映像版本,可能是針對電腦學習作業的安全性與環境重現性取捨。

管理環境和容器映像

在 Azure AI Studio 中,Docker 映像可用來為提示流程部署提供執行階段環境。 映像是從 Azure AI Studio 所提供基礎映像建置的。

雖然 Microsoft 會在每個版本中修補基礎映像,但是否使用最新映像,可能會在重現性與弱點管理之間進行取捨。 您必須負責選擇用於作業或模型部署的環境版本。

根據預設,當您建置映像時,相依性會在基礎映像之上分層。 當您在 Microsoft 提供的映像上安裝更多相依性之後,弱點管理就會成為您的責任。

與您的 AI Studio 中樞相關聯的是 Azure Container Registry 執行個體,可作為容器映像的快取。 任何具體化的映像會推送至容器登錄。 當針對對應的環境觸發部署時,工作區會使用它。

中樞不會從您的容器登錄中刪除任何映像。 您必須負責評估一段時間的映像需求。 如要監視及維護環境的檢查,您可以使用適用於容器登錄的 Microsoft Defender 來協助掃描映像是否有弱點。 若要根據 Microsoft Defender 的觸發程序自動執行您的程序,請參閱自動化補救回應

計算主機上的弱點管理

Azure AI Studio 中的受控計算節點會使用 Microsoft 管理的 OS VM 映像。 當您佈建節點時,會提取最新的更新 VM 映像。 此行為適用於計算執行個體、無伺服器計算叢集和受控推斷計算選項。

雖然 OS VM 映像會定期修補,但 Microsoft 不會在使用時主動掃描計算節點是否有弱點。 針對額外的保護層,請考慮計算的網路隔離。

確保您的環境處於最新狀態,且計算節點使用最新的 OS 版本,是您與 Microsoft 之間的共同責任。 並非處於閒置狀態的節點無法更新為最新的 VM 映像。 每個計算類型的考量稍有不同,如下列各節所列。

計算執行個體

計算執行個體會在佈建時取得最新的 VM 映像。 Microsoft 會每個月發行新的 VM 映像。 部署計算執行個體之後,不會主動更新。 若要讓軟體更新和安全性修補檔保持最新狀態,您可以使用下列其中一個方法:

  • 重新建立計算執行個體以取得最新 OS 映像 (建議)。

    如果您使用此方法,儲存在執行個體 OS 和暫存磁碟上的資料和自訂項目 (例如已安裝的套件) 都將會遺失。

    如需映像版本的詳細資訊,請參閱 Azure Machine Learning 計算執行個體映像發行備註

  • 定期更新 OS 和 Python 套件。

    • 使用 Linux 套件管理工具,以最新版本更新套件清單:

      sudo apt-get update
      
    • 使用 Linux 套件管理工具,以將套件升級到最新版本。 使用此方法時可能會發生套件衝突。

      sudo apt-get upgrade
      
    • 使用 Python 套件管理工具來升級套件並檢查更新:

      pip list --outdated
      

您可以在計算執行個體上安裝並執行額外的掃描軟體,以掃描安全性問題:

  • 使用 Trivy 來探索 OS 和 Python 套件層級弱點。
  • 使用 ClamAV 來探索惡意程式碼。 預先安裝在計算執行個體上。

目前不支援適用於伺服器的 Microsoft Defender 代理程式安裝。

端點

端點會自動接收包含弱點修正程式的 OS 主機映像更新。 映像的更新頻率至少為一個月一次。

該版本發行之後,計算節點就會自動升級為最新的 VM 映像版本。 您不需要採取任何動作。

下一步