أمان المؤسسة والحوكمة في التعلم الآلي من Microsoft Azure

في هذه المقالة، يمكنك التعرف على ميزات الأمان والحوكمة المتوفرة ل Azure التعلم الآلي. هذه الميزات مفيدة للمسؤولين ومهندسي DevOps ومهندسي MLOps الذين يرغبون في إنشاء تكوين آمن يتوافق مع نهج المؤسسة.

باستخدام التعلم الآلي من Microsoft Azure والنظام الأساسي Azure، يمكنك:

• تقييد الوصول إلى الموارد والعمليات حسب حساب المستخدم أو المجموعات.
• قم بتقييد اتصالات الشبكة الواردة والصادرة.
• قم بتشفير البيانات في أثناء النقل والراحة.
• المسح بحثًا عن الثغرات الأمنية.
• قم بتطبيق وتدقيق سياسات التكوين.

قم بتقييد الوصول إلى الموارد والعمليات

معرف Microsoft Entra هو موفر خدمة الهوية ل Azure التعلم الآلي. يمكنك استخدامه لإنشاء وإدارة عناصر الأمان (المستخدم والمجموعة وأساس الخدمة والهوية المدارة) المستخدمة للمصادقة على موارد Azure. يتم دعم المصادقة متعددة العوامل (MFA) إذا تم تكوين معرف Microsoft Entra لاستخدامه.

فيما يلي عملية المصادقة ل Azure التعلم الآلي من خلال المصادقة متعددة العوامل في Microsoft Entra ID:

1. يسجل العميل الدخول إلى معرف Microsoft Entra ويحصل على رمز Azure Resource Manager المميز.
2. يقدم العميل الرمز المميز إلى Azure Resource Manager وإلى Azure التعلم الآلي.
3. يوفر Azure التعلم الآلي رمز خدمة التعلم الآلي إلى هدف حساب المستخدم (على سبيل المثال، التعلم الآلي نظام مجموعة الحوسبة أو الحوسبة بلا خادم). يستخدم هدف حساب المستخدم هذا الرمز المميز للاتصال مرة أخرى بخدمة التعلم الآلي بعد اكتمال المهمة. يقتصر النطاق على مساحة العمل.

تحتوي كل مساحة عمل على هوية مُدارة مخصصة من قبل النظام لها نفس اسم مساحة العمل. يتم استخدام هذه الهوية المدارة للوصول بأمان إلى الموارد التي تستخدمها مساحة العمل. يحتوي على أذونات التحكم في الوصول المستندة إلى الدور (RBAC) التالية في Azure على الموارد المقترنة:

Resource	الأذونات
مساحة عمل	المساهم
حساب التخزين	المساهم في بيانات مخزن البيانات الثنائية الكبيرة
Key Vault	قم بالوصول إلى جميع المفاتيح والأسرار والشهادات
سجل الحاوية	المساهم
مجموعة الموارد التي تحتوي على مساحة العمل	المساهم

يتم استخدام الهوية المُدارة المعينة من قبل النظام للمصادقة الداخلية من خدمة إلى خدمة بين التعلم الآلي من Microsoft Azure وموارد Azure الأخرى. لا يمكن للمستخدمين الوصول إلى رمز الهوية المميز، ولا يمكنهم استخدامه للوصول إلى هذه الموارد. يمكن للمستخدمين الوصول إلى الموارد فقط من خلال واجهات برمجة تطبيقات التحكم في Azure التعلم الآلي و مستوى البيانات، إذا كان لديهم أذونات RBAC كافية.

لا نوصي بأن يقوم المسؤولون بإلغاء وصول الهوية المُدارة إلى الموارد المذكورة في الجدول السابق. يمكنك استعادة الوصول باستخدام عملية مفاتيح إعادة المزامنة.

إشعار

إذا كانت مساحة عمل Azure التعلم الآلي تحتوي على أهداف حساب (على سبيل المثال، نظام مجموعة الحوسبة أو مثيل الحساب أو مثيل خدمة Azure Kubernetes [AKS] التي تم إنشاؤها قبل 14 مايو 2021، فقد يكون لديك حساب Microsoft Entra إضافي. يبدأ اسم الحساب بالوصول Microsoft-AzureML-Support-App- على مستوى المساهم إلى اشتراكك لكل منطقة مساحة عمل.

إذا لم يكن لمساحة العمل الخاصة بك مثيل AKS مرفق، يمكنك حذف حساب Microsoft Entra هذا بأمان.

إذا كانت مساحة العمل الخاصة بك تحتوي على مجموعة AKS مرفقة، وتم إنشاؤها قبل 14 مايو 2021، فلا تحذف حساب Microsoft Entra هذا. في هذا السيناريو، يجب حذف وإعادة إنشاء نظام مجموعة AKS قبل أن تتمكن من حذف حساب Microsoft Entra.

يمكنك توفير مساحة العمل لاستخدام هوية مدارة معينة من قبل المستخدم، ثم منح الهوية المدارة أدوارا إضافية. على سبيل المثال، قد تمنح دورا للوصول إلى مثيل Azure Container Registry الخاص بك لصور Docker الأساسية.

يمكنك أيضا تكوين الهويات المدارة للاستخدام مع نظام مجموعة حساب Azure التعلم الآلي. هذه الهوية المدارة مستقلة عن الهوية المدارة لمساحة العمل. باستخدام نظام مجموعة الحوسبة، يتم استخدام الهوية المدارة للوصول إلى الموارد مثل مخازن البيانات الآمنة التي قد لا يتمكن المستخدم الذي يقوم بتشغيل مهمة التدريب من الوصول إليها. لمزيد من المعلومات، انظر استخدام الهويات المدارة.

تلميح

هناك استثناءات لاستخدام معرف Microsoft Entra وAzure RBAC في Azure التعلم الآلي:

• يمكنك تمكين وصول Secure Shell (SSH) اختياريا إلى موارد الحوسبة مثل مثيل حساب Azure التعلم الآلي وكتلة حساب. يستند الوصول إلى SSH إلى أزواج المفاتيح العامة/الخاصة، وليس معرف Microsoft Entra. لا تحكم Azure RBAC الوصول إلى SSH.
• يمكنك المصادقة على النماذج المنشورة كنقاط نهاية عبر الإنترنت باستخدام المصادقة المستندة إلى المفتاح أو المستندة إلى الرمز المميز. المفاتيح هي سلاسل ثابتة، بينما يتم استرداد الرموز المميزة عبر كائن أمان Microsoft Entra. لمزيد من المعلومات، راجع مصادقة العملاء لنقاط النهاية عبر الإنترنت.

لمزيد من المعلومات، راجع المقالات التالية:

• إعداد المصادقة لموارد وسير العمل للتعلم الآلي من Microsoft Azure
• إدارة الوصول إلى مساحة عمل التعلم الآلي من Azure
• استخدام مخازن البيانات
• استخدام بيانات اعتماد المصادقة السرية في وظائف Azure التعلم الآلي
• إعداد المصادقة بين Azure التعلم الآلي والخدمات الأخرى

توفير أمان الشبكة وعزلها

لتقييد الوصول إلى الشبكة إلى موارد Azure التعلم الآلي، يمكنك استخدام شبكة ظاهرية مدارة التعلم الآلي Azure أو مثيل شبكة Azure الظاهرية. يؤدي استخدام شبكة ظاهرية إلى تقليل سطح الهجوم للحل الخاص بك وفرص النقل غير المصرح للبيانات.

لست مضطرا لاختيار واحد أو آخر. على سبيل المثال، يمكنك استخدام شبكة ظاهرية مدارة من Azure التعلم الآلي للمساعدة في تأمين موارد الحوسبة المدارة ومثيل شبكة Azure الظاهرية للموارد غير المدارة أو للمساعدة في تأمين وصول العميل إلى مساحة العمل.

• Azure التعلم الآلي الشبكة الظاهرية المدارة: يوفر حلا مدارا بالكامل يتيح عزل الشبكة لمساحة العمل وموارد الحوسبة المدارة. يمكنك استخدام نقاط النهاية الخاصة للمساعدة في تأمين الاتصال بخدمات Azure الأخرى، ويمكنك تقييد الاتصال الصادر. استخدم شبكة ظاهرية مدارة للمساعدة في تأمين موارد الحوسبة المدارة التالية:

  • حساب بلا خادم (بما في ذلك Spark بلا خادم)
  • نظام مجموعة الحساب
  • مثيل الحساب
  • نقطة النهاية المدارة عبر الإنترنت
  • نقطة نهاية الدفعة عبر الإنترنت

  لمزيد من المعلومات، راجع عزل الشبكة الظاهرية المدارة في مساحة العمل.

• مثيل شبكة Azure الظاهرية: يوفر عرض شبكة ظاهرية أكثر قابلية للتخصيص. ومع ذلك، فأنت مسؤول عن التكوين والإدارة. قد تحتاج إلى استخدام مجموعات أمان الشبكة أو المسارات المعرفة من قبل المستخدم أو جدار حماية لتقييد الاتصال الصادر.

  لمزيد من المعلومات، راجع المقالات التالية:

  • تأمين موارد مساحة عمل Azure التعلم الآلي باستخدام الشبكات الظاهرية
  • تأمين مساحة عمل Azure التعلم الآلي مع الشبكات الظاهرية
  • تأمين بيئة تدريب التعلم الآلي Azure مع الشبكات الظاهرية
  • تأمين بيئة استدلال التعلم الآلي Azure مع الشبكات الظاهرية
  • استخدام Azure التعلم الآلي studio في شبكة Azure الظاهرية
  • استخدام مساحة العمل الخاصة بك مع خادم DNS مخصص
  • تكوين نسبة استخدام الشبكة الواردة والصادرة

تشفير البيانات

يستخدم Azure التعلم الآلي موارد الحوسبة المختلفة ومخازن البيانات على النظام الأساسي ل Azure. لمعرفة المزيد حول كيفية دعم كل مورد من هذه الموارد لتشفير البيانات الثابتة والمتنقلة، راجع تشفير البيانات باستخدام Azure التعلم الآلي.

منع النقل غير المصرح للبيانات

يحتوي التعلم الآلي من Azure على العديد من تبعيات الشبكة الواردة والصادرة. يمكن أن تعرض بعض هذه التبعيات مخاطر النقل غير المصرّح للبيانات من قبل عوامل ضارة داخل مؤسستك. ترتبط هذه المخاطر بالمتطلبات الصادرة إلى تخزين Azure وAzure Front DoorوAzure Monitor. للحصول على توصيات حول التخفيف من هذه المخاطر، راجع منع تسرب البيانات من Azure التعلم الآلي.

مسح ضوئي بحثاً عن الثغرات الأمنية

يوفر Microsoft Defender for Cloud إدارة أمان موحدة وحماية متقدمة ضد التهديدات عبر أحمال عمل المجموعة المختلطة. بالنسبة إلى Azure التعلم الآلي، يجب تمكين فحص مورد Azure Container Registry وموارد AKS. لمزيد من المعلومات، راجع مقدمة إلى Microsoft Defender لسجلات الحاويات ومقدمة إلى Microsoft Defender ل Kubernetes.

تدقيق الامتثال وإدارته

Azure Policy هي أداة حوكمة تساعدك على التأكد من أن موارد Azure تتوافق مع نهجك. يمكنك تعيين السياسات للسماح بتكوينات معينة أو فرضها، مثل ما إذا كانت مساحة عمل التعلم الآلي من Microsoft Azure تستخدم نقطة نهاية خاصة.

لمزيد من المعلومات حول نهج Azure، قم بمراجعة وثائق نهج Azure. لمزيد من المعلومات حول النهج الخاصة ب Azure التعلم الآلي، راجع تدقيق وإدارة Azure التعلم الآلي.

الخطوات التالية

• أفضل ممارسات التعلم الآلي من Microsoft Azure لأمان المؤسسة
• قم باستخدام التعلم الآلي من Microsoft Azure مع Azure Firewall
• قم باستخدام استوديو التعلم الآلي من Microsoft Azure في شبكة Azure الظاهرية
• تشفير البيانات الثابتة والمتنقلة
• بناء واجهة برمجة تطبيقات للتوصية في الوقت الحقيقي على Azure