Auditování a správa Učení Azure Machine
Když týmy spolupracují na Učení Azure Machine, můžou čelit různým požadavkům na konfiguraci a uspořádání prostředků. Týmy strojového učení můžou hledat flexibilitu při uspořádání pracovních prostorů pro spolupráci nebo velikost výpočetních clusterů podle požadavků jejich případů použití. V těchto scénářích může produktivita těžit, pokud týmy aplikací můžou spravovat vlastní infrastrukturu.
Jako správce platformy můžete použít zásady k rozložení mantinely pro týmy ke správě vlastních prostředků. Azure Policy pomáhá auditovat a řídit stav prostředků. Tento článek vysvětluje, jak používat kontrolní mechanismy auditu a postupy zásad správného řízení pro Učení Azure Machine.
Zásady pro službu Azure Machine Učení
Azure Policy je nástroj zásad správného řízení, který umožňuje zajistit, aby prostředky Azure splňovaly vaše zásady.
Azure Policy poskytuje sadu zásad, které můžete použít pro běžné scénáře se službou Azure Machine Učení. Tyto definice zásad můžete přiřadit ke stávajícímu předplatnému nebo je použít jako základ k vytvoření vlastních definic.
Následující tabulka uvádí předdefinované zásady, které můžete přiřadit pomocí služby Azure Machine Učení. Seznam všech předdefinovaných zásad Azure najdete v tématu Předdefinované zásady.
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Nasazení registru modelů Azure machine Učení jsou omezená s výjimkou povoleného registru. | Nasaďte pouze modely registru v povoleném registru a nejsou omezeny. | Odepřít, zakázáno | 1.0.0-preview |
| Výpočetní instance azure Učení by měla mít nečinné vypnutí. | Když máte plán nečinnosti vypnutí, sníží se náklady vypnutím výpočetních prostředků, které jsou nečinné po předem určeném období aktivity. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Machine Učení výpočetní instance by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru. | Ujistěte se, že výpočetní instance Azure Machine Učení běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Výpočetní prostředí Azure Machine Učení by mělo být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pro vaše výpočetní clustery a instance Azure machine Učení a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. | Audit, zakázáno | 1.0.1 |
| Výpočetní služby Azure Machine Učení by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočetní prostředky počítače Učení vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat v pracovním prostoru Azure Machine Učení pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.0.3 |
| Pracovní prostory služby Azure Machine Učení by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory počítače Učení nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Pracovní prostory azure machine Učení by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě. | Azure ML provádí přechod na novou platformu rozhraní API V2 v Azure Resource Manageru a pomocí parametru V1LegacyMode můžete řídit verzi platformy ROZHRANÍ API. Když povolíte parametr V1LegacyMode, budete moct zachovat pracovní prostory ve stejné izolaci sítě jako V1, i když nebudete mít nové funkce V2. Starší verzi režimu V1 doporučujeme zapnout jenom v případech, kdy chcete zachovat data řídicí roviny AzureML v privátních sítích. Další informace najdete tady: https://aka.ms/V1LegacyMode. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory azure machine Učení by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Učení by měly používat spravovanou identitu přiřazenou uživatelem. | Manange přístup k pracovnímu prostoru Azure ML a přidruženým prostředkům, Azure Container Registry, KeyVault, Storage a App Přehledy pomocí spravované identity přiřazené uživatelem. Ve výchozím nastavení používá pracovní prostor Azure ML spravovanou identitu přiřazenou systémem pro přístup k přidruženým prostředkům. Spravovaná identita přiřazená uživatelem umožňuje vytvořit identitu jako prostředek Azure a udržovat životní cyklus této identity. Další informace najdete na adrese https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace služby Azure Machine Učení Computes pro zakázání místních metod ověřování | Zakažte metody ověřování polohy tak, aby počítač Učení Computes vyžadoval výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Upravit, zakázáno | 2.1.0 |
| Konfigurace pracovního prostoru Azure Machine Učení tak, aby používal privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů azure machine Učení. Další informace najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Azure Machine Učení tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro pracovní prostory Azure Machine Učení, aby vaše pracovní prostory nejsou přístupné přes veřejný internet. To pomáhá chránit pracovní prostory před riziky úniku dat. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Upravit, zakázáno | 1.0.3 |
| Konfigurace pracovních prostorů Učení Azure pomocí privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovního prostoru azure machine Učení můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro pracovní prostory Azure Machine Učení do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro pracovní prostory Azure Machine Učení pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakýkoli pracovní prostor Azure Machine Učení, který chybí. | DeployIfNotExists, zakázáno | 1.0.1 |
| Protokoly prostředků ve službě Azure Machine Učení Workspaces by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Zásady je možné nastavit v různých oborech, například na úrovni předplatného nebo skupiny prostředků. Další informace najdete v dokumentaci ke službě Azure Policy.
Přiřazení předdefinovaných zásad
Pokud chcete zobrazit předdefinované definice zásad souvisejících se službou Azure Machine Učení, postupujte následovně:
- Na webu Azure Portal přejděte na Azure Policy.
- Vyberte definice.
- Jako typ vyberte Předdefinované. V kategorii vyberte Učení počítače.
Tady můžete vybrat definice zásad a zobrazit je. Při prohlížení definice můžete pomocí odkazu Přiřadit zásadu přiřadit ke konkrétnímu oboru a nakonfigurovat parametry pro zásadu. Další informace najdete v tématu Vytvoření přiřazení zásady k identifikaci nevyhovujících prostředků pomocí webu Azure Portal.
Zásady můžete také přiřadit pomocí Azure PowerShellu, Azure CLI nebo šablon.
Zásady podmíněného přístupu
Pokud chcete určit, kdo má přístup k vašemu pracovnímu prostoru Azure Machine Učení, použijte podmíněný přístup Microsoft Entra. Pokud chcete použít podmíněný přístup pro pracovní prostory Azure Machine Učení, přiřaďte zásady podmíněného přístupu aplikaci s názvem Azure Machine Učení. ID aplikace je 0736f41a-0425-bdb5-1563eff02385.
Povolení samoobslužné služby pomocí cílových zón
Cílové zóny jsou vzorem architektury, který při nastavování prostředí Azure představuje škálování, zásady správného řízení, zabezpečení a produktivitu. Cílová zóna dat je prostředí nakonfigurované správcem, které tým aplikace používá k hostování dat a analytických úloh.
Účelem cílové zóny je zajistit, aby se při spuštění týmu v prostředí Azure prováděla veškerá práce konfigurace infrastruktury. Například kontrolní mechanismy zabezpečení jsou nastavené v souladu se standardy organizace a je nastavené síťové připojení.
Pomocí vzoru cílových zón můžou týmy strojového učení nasazovat a spravovat vlastní prostředky na samoobslužné bázi. Pomocí zásad Azure jako správce můžete auditovat a spravovat prostředky Azure pro zajištění dodržování předpisů.
Azure Machine Učení se integruje s cílovými zónami dat ve scénáři správy a analýzy architektury přechodu na cloud. Tato referenční implementace poskytuje optimalizované prostředí pro migraci úloh strojového učení do služby Azure Machine Učení a zahrnuje předkonfigurované zásady.
Konfigurace předdefinovaných zásad
Výpočetní instance by měla mít vypnutí nečinnosti.
Tato zásada určuje, jestli má výpočetní instance azure Učení mít povolené nečinné vypnutí. Vypnutí nečinnosti automaticky zastaví výpočetní instanci, když je nečinná po zadané časové období. Tato zásada je užitečná pro úspory nákladů a k zajištění zbytečného využití prostředků.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní instanci bez povoleného vypnutí nečinnosti a v protokolu aktivit se vytvoří událost upozornění.
Výpočetní instance by se měly znovu vytvořit, aby se získaly aktualizace softwaru.
Určuje, jestli mají být výpočetní instance Azure Machine Učení auditovány, aby se zajistilo, že používají nejnovější dostupné aktualizace softwaru. Tato zásada je užitečná k zajištění toho, aby výpočetní instance spouštěly nejnovější aktualizace softwaru pro zajištění zabezpečení a výkonu. Další informace najdete v tématu Správa ohrožení zabezpečení pro službu Azure Machine Učení.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Zakázáno. Pokud je nastavená možnost Audit, v protokolu aktivit se vytvoří událost upozornění, když výpočetní prostředky nepoužívají nejnovější aktualizace softwaru.
Výpočetní cluster a instance by měly být ve virtuální síti.
Řídí auditování výpočetních prostředků clusteru a instancí za virtuální sítí.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní prostředky, které nejsou nakonfigurované za virtuální sítí, a v protokolu aktivit se vytvoří událost upozornění.
Výpočetní prostředky by měly mít zakázané místní metody ověřování.
Určuje, jestli má počítač Azure Učení výpočetní cluster nebo instance zakázat místní ověřování (SSH).
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní prostředky s povoleným SSH a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit výpočetní prostředky, pokud není protokol SSH zakázaný. Při pokusu o vytvoření výpočetních prostředků s povoleným SSH dojde k chybě. Tato chyba se také protokoluje v protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.
Pracovní prostory by měly být šifrované pomocí klíče spravovaného zákazníkem.
Určuje, jestli má být pracovní prostor šifrovaný pomocí klíče spravovaného zákazníkem, nebo pomocí klíče spravovaného Microsoftem za účelem šifrování metrik a metadat. Další informace o použití klíče spravovaného zákazníkem najdete v části Věnované šifrování dat ve službě Azure Cosmos DB .
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez klíče spravovaného zákazníkem a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud neurčí klíč spravovaný zákazníkem. Pokus o vytvoření pracovního prostoru bez klíče spravovaného zákazníkem způsobí chybu podobnou Resource 'clustername' was disallowed by policy této chybě a v protokolu aktivit se vytvoří chyba. Identifikátor zásady se také vrátí jako součást této chyby.
Konfigurace pracovních prostorů pro zakázání přístupu k veřejné síti
Určuje, jestli má pracovní prostor zakázat síťový přístup z veřejného internetu.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor s veřejným přístupem a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, který umožňuje přístup k síti z veřejného internetu.
Pracovní prostory by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě.
Určuje, jestli má pracovní prostor povolit režim V1LegacyMode pro podporu zpětné kompatibility izolace sítě. Tato zásada je užitečná, pokud chcete zachovat data řídicí roviny azure Učení v privátních sítích. Další informace najdete v tématu Změna izolace sítě pomocí nové platformy rozhraní API.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez povolení V1LegacyMode a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud nepovolí režim V1LegacyMode.
Pracovní prostory by měly používat privátní propojení
Určuje, jestli má pracovní prostor používat službu Azure Private Link ke komunikaci se službou Azure Virtual Network. Další informace o použití privátního propojení najdete v tématu Konfigurace privátního koncového bodu pro pracovní prostor azure machine Učení.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez použití privátního propojení a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud nepoužívá privátní propojení. Při pokusu o vytvoření pracovního prostoru bez privátního propojení dojde k chybě. Tato chyba se také protokoluje v protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.
Pracovní prostory by měly používat spravovanou identitu přiřazenou uživatelem.
Určuje, jestli se pracovní prostor vytvoří pomocí spravované identity přiřazené systémem (výchozí) nebo spravované identity přiřazené uživatelem. Spravovaná identita pracovního prostoru se používá pro přístup k přidruženým prostředkům, jako jsou Azure Storage, Azure Container Registry, Azure Key Vault a Aplikace Azure Přehledy. Další informace najdete v tématu Nastavení ověřování mezi službou Azure Machine Učení a dalšími službami.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez zadání spravované identity přiřazené uživatelem. Používá se identita přiřazená systémem a v protokolu aktivit se vytvoří událost upozornění.
Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud během procesu vytváření nezadáte identitu přiřazenou uživatelem. Při pokusu o vytvoření pracovního prostoru bez poskytnutí identity přiřazené uživatelem dojde k chybě. Chyba se také zaprotokoluje do protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.
Konfigurace výpočetních prostředků pro úpravu nebo zakázání místního ověřování
Tato zásada upraví jakýkoli požadavek na vytvoření výpočetního clusteru nebo instance azure Učení tak, aby se zakázalo místní ověřování (SSH).
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Upravit nebo Zakázáno. Pokud nastavíte možnost Upravit, jakékoli vytvoření výpočetního clusteru nebo instance v oboru, ve kterém se zásada použije, automaticky zakáže místní ověřování.
Konfigurace pracovního prostoru pro použití privátních zón DNS
Tato zásada nakonfiguruje pracovní prostor tak, aby používal privátní zónu DNS a přepisuje výchozí překlad DNS pro privátní koncový bod.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists. Nastavte privateDnsZoneId na ID Azure Resource Manageru privátní zóny DNS, která se má použít.
Konfigurace pracovních prostorů pro zakázání přístupu k veřejné síti
Nakonfiguruje pracovní prostor tak, aby zakázal síťový přístup z veřejného internetu. To pomáhá chránit pracovní prostory před riziky úniku dat. Místo toho můžete k pracovnímu prostoru přistupovat vytvořením privátních koncových bodů. Další informace najdete v tématu Konfigurace privátního koncového bodu pro pracovní prostor azure machine Učení.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Upravit nebo Zakázáno. Pokud je nastavená možnost Upravit, jakékoli vytvoření pracovního prostoru v oboru, ve kterém se zásady vztahují, budou mít automaticky zakázaný přístup k veřejné síti.
Konfigurace pracovních prostorů s využitím privátních koncových bodů
Nakonfiguruje pracovní prostor tak, aby v zadané podsíti virtuální sítě Azure vytvořil privátní koncový bod.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists. Nastavte privateEndpointSubnetID na ID Azure Resource Manageru podsítě.
Konfigurace diagnostických pracovních prostorů pro odesílání protokolů do pracovních prostorů log Analytics
Nakonfiguruje nastavení diagnostiky pro pracovní prostor Azure Machine Učení tak, aby odesílala protokoly do pracovního prostoru služby Log Analytics.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists nebo Disabled. Pokud je nastavená možnost DeployIfNotExists, zásada vytvoří nastavení diagnostiky pro odesílání protokolů do pracovního prostoru služby Log Analytics, pokud ještě neexistuje.
Protokoly prostředků v pracovních prostorech by měly být povolené.
Audituje, jestli jsou pro pracovní prostor azure machine Učení povolené protokoly prostředků. Protokoly prostředků poskytují podrobné informace o operacích prováděných s prostředky v pracovním prostoru.
Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na AuditIfNotExists nebo Disabled. Pokud je nastavená možnost AuditIfNotExists, zásady auditují, jestli nejsou pro pracovní prostor povolené protokoly prostředků.
Související obsah
- Dokumentace k Azure Policy
- Předdefinované zásady pro službu Azure Machine Učení
- Práce se zásadami zabezpečení v Microsoft Defenderu pro cloud
- Scénář architektury přechodu na cloud pro správu a analýzy dat popisuje aspekty spouštění úloh dat a analýz v cloudu.
- Cílové zóny architektury přechodu na cloud poskytují referenční implementaci pro správu úloh dat a analýz v Azure.
- Naučte se používat zásady k integraci služby Azure Private Link s zónami Azure Privátní DNS.