تشفير البيانات باستخدام Azure التعلم الآلي

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يستخدم Azure التعلم الآلي مجموعة متنوعة من خدمات تخزين بيانات Azure وموارد الحوسبة عند تدريب النماذج وتنفيذ الاستدلال. كل من هذه لديها قصتها الخاصة حول كيفية توفير التشفير للبيانات في حالة الراحة وأثناء النقل. في هذه المقالة ، تعرف على كل واحد وأيها الأفضل للسيناريو الخاص بك.

هام

لتشفير درجة الإنتاج أثناء التدريب، توصي Microsoft باستخدام Azure التعلم الآلي مجموعة الحوسبة. بالنسبة لتشفير درجة الإنتاج أثناء الاستدلال، توصي Microsoft باستخدام Azure Kubernetes Service.

Azure التعلم الآلي compute instance is a dev/test environment. عند استخدامه، نوصي بتخزين ملفاتك، مثل دفاتر الملاحظات والبرامج النصية، في مشاركة ملفات. يجب تخزين بياناتك في مخزن بيانات.

التشفير الثابت

يعتمد Azure التعلم الآلي على خدمات Azure متعددة، لكل منها قدرات تشفير خاصة بها.

موقع تخزين Azure Blob

يقوم Azure التعلم الآلي بتخزين اللقطات والمخرجات والسجلات في حساب تخزين Azure Blob (حساب التخزين الافتراضي) المرتبط بمساحة عمل Azure التعلم الآلي واشتراكك. يتم تشفير جميع البيانات المخزنة في وحدة تخزين Azure Blob في حالة عدم الراحة باستخدام المفاتيح المدارة من Microsoft.

للحصول على معلومات حول كيفية استخدام مفاتيحك الخاصة للبيانات المخزنة في وحدة تخزين Azure Blob، راجع تشفير Azure Storage مع المفاتيح المدارة من قبل العميل في Azure Key Vault.

عادة ما يتم تخزين بيانات التدريب أيضا في وحدة تخزين Azure Blob بحيث يمكن الوصول إليها من قبل أهداف الحوسبة التدريبية. لا تتم إدارة وحدة التخزين هذه بواسطة Azure التعلم الآلي ولكن يتم تثبيتها لحساب الأهداف كنظام ملفات بعيد.

إذا كنت بحاجة إلى تدوير المفتاح أو إبطاله ، فيمكنك القيام بذلك في أي وقت. عند تدوير مفتاح، سيبدأ حساب التخزين في استخدام المفتاح الجديد (أحدث إصدار) لتشفير البيانات في حالة السكون. عند إبطال (تعطيل) مفتاح، يعتني حساب التخزين بالطلبات الفاشلة. عادة ما يستغرق الأمر ساعة حتى يكون التناوب أو الإلغاء فعالا.

للحصول على معلومات حول إعادة إنشاء مفاتيح الوصول، راجع إعادة إنشاء مفاتيح الوصول إلى مساحة التخزين.

Azure Cosmos DB

Azure التعلم الآلي يخزن بيانات التعريف في مثيل Azure Cosmos DB. يرتبط هذا المثيل باشتراك Microsoft المدار بواسطة Azure التعلم الآلي. يتم تشفير جميع البيانات المخزنة في Azure Cosmos DB في حالة عدم الراحة باستخدام المفاتيح المدارة من Microsoft.

عند استخدام المفاتيح الخاصة بك (المدارة من قبل العميل) لتشفير مثيل قاعدة بيانات Azure Cosmos، يتم إنشاء مثيل قاعدة بيانات Azure Cosmos مدار من Microsoft في اشتراكك. يتم إنشاء هذا المثيل في مجموعة موارد مدارة من قبل Microsoft، والتي تختلف عن مجموعة الموارد لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل.

Azure Container Registry

يتم تشفير جميع صور الحاويات الموجودة في السجل الخاص بك (سجل حاويات Azure) في حالة السكون. يقوم Azure تلقائيا بتشفير صورة قبل تخزينها وفك تشفيرها عندما يقوم Azure التعلم الآلي بسحب الصورة.

لاستخدام المفاتيح الخاصة بك (التي يديرها العميل) لتشفير سجل حاويات Azure الخاص بك، تحتاج إلى إنشاء ACR الخاص بك وإرفاقه أثناء توفير مساحة العمل أو تشفير المثيل الافتراضي الذي يتم إنشاؤه في وقت توفير مساحة العمل.

هام

يتطلب Azure التعلم الآلي تمكين حساب المسؤول في سجل حاوية Azure الخاص بك. بشكل افتراضي، يتم تعطيل هذا الإعداد عند إنشاء سجل حاوية. للحصول على معلومات حول تمكين حساب المسؤول، راجع حساب المسؤول.

بمجرد إنشاء سجل حاوية Azure لمساحة عمل، لا تقم بحذفه. سيؤدي القيام بذلك إلى كسر مساحة عمل Azure التعلم الآلي.

للحصول على مثال لإنشاء مساحة عمل باستخدام سجل حاوية Azure موجود، راجع المقالات التالية:

• إنشاء مساحة عمل ل Azure التعلم الآلي باستخدام Azure CLI.
• إنشاء مساحة عمل باستخدام Python SDK.
• استخدم قالب Azure Resource Manager لإنشاء مساحة عمل ل Azure التعلم الآلي

مثيل حاوية Azure

يمكنك تشفير مورد مثيل حاوية Azure (ACI) تم نشره باستخدام مفاتيح يديرها العميل. يمكن تخزين المفتاح المدار من قبل العميل المستخدم في ACI في Azure Key Vault لمساحة العمل الخاصة بك. للحصول على معلومات حول إنشاء مفتاح، راجع تشفير البيانات باستخدام مفتاح يديره العميل.

لاستخدام المفتاح عند نشر نموذج إلى مثيل حاوية Azure، قم بإنشاء تكوين نشر جديد باستخدام AciWebservice.deploy_configuration(). قم بتوفير المعلومات الأساسية باستخدام المعلمات التالية:

• cmk_vault_base_urlعنوان URL لمخزن المفاتيح الذي يحتوي على المفتاح.:
• cmk_key_nameاسم المفتاح.:
• cmk_key_versionإصدار المفتاح.:

لمزيد من المعلومات حول إنشاء تكوين نشر واستخدامه، راجع المقالات التالية:

• مرجع AciWebservice.deploy_configuration()
• أين وكيف يتم التوزيع
• نشر نموذج إلى مثيلات حاوية Azure

لمزيد من المعلومات حول استخدام مفتاح مدار من قبل العميل مع ACI، راجع تشفير البيانات باستخدام مفتاح يديره العميل.

خدمة Azure Kubernetes Service

يمكنك تشفير مورد Azure Kubernetes Service المنشور باستخدام المفاتيح التي يديرها العميل في أي وقت. لمزيد من المعلومات، راجع إحضار مفاتيحك الخاصة باستخدام خدمة Azure Kubernetes.

تتيح لك هذه العملية تشفير كل من البيانات وقرص نظام التشغيل للأجهزة الظاهرية المنشورة في مجموعة Kubernetes.

هام

تعمل هذه العملية فقط مع AKS K8s الإصدار 1.17 أو أعلى. أضاف Azure التعلم الآلي دعما ل AKS 1.17 في 13 يناير 2020.

التعلم الآلي الحوسبة

مجمع الحوسبة يتم تشفير قرص نظام التشغيل لكل عقدة حوسبة مخزنة في Azure Storage باستخدام مفاتيح مدارة من Microsoft في حسابات التخزين التعلم الآلي Azure. هدف الحوسبة هذا سريع الزوال، وعادة ما يتم تقليص المجموعات عند عدم وضع أي عمليات تشغيل في قائمة الانتظار. يتم إلغاء توفير الجهاز الظاهري الأساسي، ويتم حذف قرص نظام التشغيل. تشفير قرص Azure غير مدعوم لقرص نظام التشغيل.

يحتوي كل جهاز ظاهري أيضا على قرص مؤقت محلي لعمليات نظام التشغيل. إذا أردت، يمكنك استخدام القرص لتنظيم بيانات التدريب. إذا تم إنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت. هذه البيئة قصيرة الأجل (فقط طوال مدة التشغيل) ويقتصر دعم التشفير على المفاتيح التي يديرها النظام فقط.

مثيل الحوسبة يتم تشفير قرص نظام التشغيل لمثيل الحوسبة باستخدام المفاتيح المدارة من Microsoft في حسابات التخزين التعلم الآلي Azure. إذا تم إنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت المحلي على مثيل الحوسبة باستخدام مفاتيح مدارة من Microsoft. تشفير المفاتيح المدارة من قبل العميل غير مدعوم لنظام التشغيل والقرص المؤقت.

لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل.

Azure Databricks

يمكن استخدام Azure Databricks في خطوط أنابيب Azure التعلم الآلي. بشكل افتراضي، يتم تشفير نظام ملفات Databricks (DBFS) المستخدم بواسطة Azure Databricks باستخدام مفتاح مدار بواسطة Microsoft. لتكوين Azure Databricks لاستخدام المفاتيح التي يديرها العميل، راجع تكوين المفاتيح المدارة من قبل العميل على DBFS الافتراضي (الجذر).

البيانات التي تم إنشاؤها بواسطة Microsoft

عند استخدام خدمات مثل التعلم الآلي التلقائي، قد تقوم Microsoft بإنشاء بيانات عابرة تمت معالجتها مسبقا لتدريب نماذج متعددة. يتم تخزين هذه البيانات في مخزن بيانات في مساحة العمل الخاصة بك، مما يسمح لك بفرض عناصر التحكم في الوصول والتشفير بشكل مناسب.

قد ترغب أيضا في تشفير معلومات التشخيص المسجلة من نقطة النهاية المنشورة إلى تطبيق Azure Insights المثال.

التشفير المتنقل

يستخدم Azure التعلم الآلي TLS لتأمين الاتصال الداخلي بين مختلف خدمات Azure التعلم الآلي المصغرة. يحدث كل الوصول إلى Azure Storage أيضا عبر قناة آمنة.

لتأمين المكالمات الخارجية التي يتم إجراؤها إلى نقطة نهاية تسجيل النقاط، يستخدم Azure التعلم الآلي طبقة النقل الآمنة. لمزيد من المعلومات، راجع استخدام طبقة النقل الآمنة لتأمين خدمة ويب من خلال Azure التعلم الآلي.

جمع البيانات ومعالجتها

البيانات التي جمعتها Microsoft

قد تقوم Microsoft بتجميع معلومات تعريف غير المستخدم مثل أسماء الموارد (على سبيل المثال اسم مجموعة البيانات أو اسم تجربة التعلم الآلي) أو متغيرات بيئة العمل لأغراض التشخيص. يتم تخزين جميع هذه البيانات باستخدام المفاتيح المدارة من Microsoft في التخزين المستضاف في الاشتراكات المملوكة لشركة Microsoft وتتبع سياسة الخصوصية القياسية الخاصة ب Microsoft ومعايير معالجة البيانات. يتم الاحتفاظ بهذه البيانات داخل نفس المنطقة مثل مساحة العمل الخاصة بك.

توصي Microsoft أيضا بعدم تخزين المعلومات الحساسة (مثل أسرار مفاتيح الحساب) في متغيرات البيئة. يتم تسجيل متغيرات البيئة وتشفيرها وتخزينها من قبلنا. وبالمثل عند تسمية run_id، تجنب تضمين معلومات حساسة مثل أسماء المستخدمين أو أسماء المشاريع السرية. قد تظهر هذه المعلومات في سجلات القياس عن بعد التي يمكن لمهندسي دعم Microsoft الوصول إليها.

يمكنك إلغاء الاشتراك في البيانات التشخيصية التي يتم جمعها عن طريق تعيين المعلمة hbi_workspace إلى TRUE أثناء توفير مساحة العمل. يتم دعم هذه الوظيفة عند استخدام AzureML Python SDK أو Azure CLI أو واجهات برمجة تطبيقات REST أو قوالب Azure Resource Manager.

⁧⁩استخدام «Azure Key Vault»⁧⁩

يستخدم Azure التعلم الآلي مثيل Azure Key Vault المقترن بمساحة العمل لتخزين بيانات الاعتماد من أنواع مختلفة:

• سلسلة اتصال حساب التخزين المقترن
• كلمات المرور لمثيلات مستودع حاوية Azure
• سلاسل الاتصال بمخازن البيانات

يتم تخزين كلمات مرور SSH ومفاتيح حساب الأهداف مثل Azure HDInsight والأجهزة الظاهرية في مخزن مفاتيح منفصل مرتبط باشتراك Microsoft. لا يخزن Azure التعلم الآلي أي كلمات مرور أو مفاتيح يوفرها المستخدمون. بدلا من ذلك ، يقوم بإنشاء مفاتيح SSH الخاصة به وتفويضها وتخزينها للاتصال بالأجهزة الظاهرية و HDInsight لتشغيل التجارب.

تحتوي كل مساحة عمل على هوية مدارة مقترنة تم تعيينها بواسطة النظام ولها نفس اسم مساحة العمل. تتمتع هذه الهوية المدارة بإمكانية الوصول إلى جميع المفاتيح والأسرار والشهادات الموجودة في مخزن المفاتيح.

الخطوات التالية

• الاتصال إلى تخزين Azure
• الحصول على البيانات من مخزن بيانات
• الاتصال بالبيانات
• تدريب مع مجموعات البيانات
• المفاتيح التي يديرها العميل.