Vállalati biztonság és irányítás az Azure Machine Learninghez

Ebben a cikkben a Azure Machine Learning elérhető biztonsági és irányítási funkciókkal ismerkedhet meg. Ezek a funkciók olyan rendszergazdák, DevOps és MLOps esetén hasznosak, akik olyan biztonságos konfigurációt szeretnének létrehozni, amely megfelel a vállalati szabályzatoknak. A Azure Machine Learning és az Azure platform segítségével:

  • Erőforrásokhoz és műveletekhez való hozzáférés korlátozása felhasználói fiókok vagy csoportok szerint
  • Bejövő és kimenő hálózati kommunikáció korlátozása
  • Átvitel alatt és inaktív állapotban lévő adatok titkosítása
  • Biztonsági rések keresése
  • Konfigurációs szabályzatok alkalmazása és naplózása

Erőforrásokhoz és műveletekhez való hozzáférés korlátozása

A Azure Active Directory (Azure AD) a Azure Machine Learning identitásszolgáltatója. Lehetővé teszi az Azure-erőforrások hitelesítéséhez használt biztonsági objektumok (felhasználó, csoport, szolgáltatásnév és felügyelt identitás) létrehozását és kezelését. A többtényezős hitelesítés akkor támogatott, ha az Azure AD használatára van konfigurálva.

A többtényezős hitelesítést használó Azure Machine Learning hitelesítési folyamata az Azure AD-ben:

  1. Az ügyfél bejelentkezik az Azure AD-be, és lekér egy Azure Resource Manager-jogkivonatot.
  2. Az ügyfél bemutatja a jogkivonatot az Azure Resource Manager és az összes Azure Machine Learning.
  3. Azure Machine Learning Machine Learning szolgáltatásjogkivonatot biztosít a felhasználói számítási célnak (például Azure Machine Learning számítási fürtnek). A felhasználói számítási cél ezt a jogkivonatot használja a Machine Learning szolgáltatásba való visszahíváshoz a futtatás befejezése után. A hatókör a munkaterületre korlátozódik.

Authentication in Azure Machine Learning

Minden munkaterülethez tartozik egy rendszer által hozzárendelt felügyelt identitás , amelynek neve megegyezik a munkaterület nevével. Ez a felügyelt identitás a munkaterület által használt erőforrások biztonságos elérésére szolgál. A társított erőforrásokhoz a következő Azure RBAC-engedélyekkel rendelkezik:

Erőforrás Engedélyek
Munkaterület Közreműködő
Tárfiók Storage-blobadatok közreműködője
Key Vault Hozzáférés az összes kulcshoz, titkos kulcshoz, tanúsítványhoz
Azure Container Registry Közreműködő
A munkaterületet tartalmazó erőforráscsoport Közreműködő

A rendszer által hozzárendelt felügyelt identitás az Azure Machine Learning és más Azure-erőforrások közötti belső szolgáltatásközi hitelesítéshez használatos. Az identitás jogkivonata nem érhető el a felhasználók számára, és nem használhatják őket ezekhez az erőforrásokhoz való hozzáféréshez. A felhasználók csak akkor férhetnek hozzá az erőforrásokhoz Azure Machine Learning vezérlő- és adatsík API-kkal, ha megfelelő RBAC-engedélyekkel rendelkeznek.

A felügyelt identitásnak közreműködői engedélyekre van szüksége a munkaterületet tartalmazó erőforráscsoporthoz a társított erőforrások kiépítéséhez és a webszolgáltatás-végpontok Azure Container Instances üzembe helyezéséhez.

Nem javasoljuk, hogy a rendszergazdák vonják vissza a felügyelt identitás hozzáférését az előző táblázatban említett erőforrásokhoz. A hozzáférést az újraszinkronizálási művelettel állíthatja vissza.

Megjegyzés

Ha a Azure Machine Learning-munkaterületek 2021. május 14. előtt létrehozott számítási célokkal (számítási fürt, számítási példány, Azure Kubernetes Service stb.) rendelkeznek, akkor egy további Azure Active Directory-fiókkal is rendelkezhet. A fiók neve a következővel Microsoft-AzureML-Support-App- kezdődik, és közreműködői szintű hozzáféréssel rendelkezik az előfizetéshez minden munkaterületi régióban.

Ha a munkaterülethez nincs Azure Kubernetes Service (AKS) csatolva, biztonságosan törölheti ezt az Azure AD-fiókot.

Ha a munkaterület csatolt AKS-fürtöket, és 2021. május 14. előtt lettek létrehozva, ne törölje ezt az Azure AD-fiókot. Ebben a forgatókönyvben először törölnie kell és újra létre kell hoznia az AKS-fürtöt, mielőtt törölheti az Azure AD-fiókot.

A munkaterületet felhasználó által hozzárendelt felügyelt identitás használatára építheti ki, és további szerepköröket adhat a felügyelt identitásnak, például hozzáférhet saját Azure Container Registry az alap Docker-rendszerképekhez. További információ: Felügyelt identitások használata hozzáférés-vezérléshez.

A felügyelt identitásokat Azure Machine Learning számítási fürttel való használatra is konfigurálhatja. Ez a felügyelt identitás független a munkaterület által felügyelt identitástól. A számítási fürtökben a felügyelt identitás olyan erőforrások, például biztonságos adattárak elérésére szolgál, amelyekhez a betanítási feladatot futtató felhasználó nem fér hozzá. További információ: Identitásalapú adathozzáférés az Azure-beli tárolási szolgáltatásokhoz.

Tipp

Vannak kivételek az Azure AD és az Azure RBAC Azure Machine Learning való használatára:

  • Opcionálisan engedélyezheti az SSH-hozzáférést olyan számítási erőforrásokhoz, mint Azure Machine Learning számítási példány és számítási fürt. Az SSH-hozzáférés nyilvános/titkos kulcspárokon alapul, nem az Azure AD-n. Az SSH-hozzáférést nem az Azure RBAC szabályozza.
  • A webszolgáltatásként (következtetési végpontként) üzembe helyezett modelleken kulcs - vagy jogkivonat-alapú hitelesítéssel végezhet hitelesítést. A kulcsok statikus sztringek, míg a jogkivonatok egy Azure AD biztonsági objektummal vannak lekérve. További információ: Hitelesítés konfigurálása webszolgáltatásként üzembe helyezett modellekhez.

További információért tekintse át a következő cikkeket:

Hálózati biztonság és elkülönítés

Az Azure Machine Learning erőforrásokhoz való hálózati hozzáférés korlátozásához használhatja az Azure Virtual Network (VNet) szolgáltatást. A virtuális hálózatok lehetővé teszik olyan hálózati környezetek létrehozását, amelyek részben vagy teljesen el vannak különítve a nyilvános internettől. Ez csökkenti a megoldás támadási felületét, valamint az adatkiszivárgás esélyét.

Előfordulhat, hogy egy virtuális magánhálózati (VPN-) átjáró használatával csatlakoztatja az egyes ügyfeleket vagy a saját hálózatát a virtuális hálózathoz

A Azure Machine Learning-munkaterület Azure Private Link használatával hozhat létre privát végpontot a virtuális hálózat mögött. Ez magánhálózati IP-címeket biztosít, amelyekkel a virtuális hálózaton belülről érheti el a munkaterületet. Egyes szolgáltatások, amelyekre Azure Machine Learning támaszkodnak, Azure Private Link is használhatnak, mások azonban hálózati biztonsági csoportokra vagy felhasználó által definiált útválasztásra támaszkodnak.

További információ a következő dokumentumokban található:

Adattitkosítás

Azure Machine Learning számos számítási erőforrást és adattárat használ az Azure platformon. Ha többet szeretne megtudni arról, hogy ezek hogyan támogatják az inaktív és az átvitel alatt álló adattitkosítást, tekintse meg az adattitkosítást Azure Machine Learning.

A modellek webszolgáltatásként való üzembe helyezésekor engedélyezheti az átviteli rétegbeli biztonságot (TLS) az átvitel alatt lévő adatok titkosításához. További információ: Biztonságos webszolgáltatás konfigurálása.

Biztonsági rések vizsgálata

Felhőhöz készült Microsoft Defender egységes biztonságkezelést és fejlett fenyegetésvédelmet biztosít a hibrid felhőbeli számítási feladatokhoz. Az Azure Machine Learning esetében engedélyeznie kell a Azure Container Registry erőforrás és Azure Kubernetes Service erőforrások vizsgálatát. További információ: Azure Container Registry képvizsgálat Felhőhöz készült Defender és az Azure Kubernetes Services és Felhőhöz készült Defender integrációjával.

Naplózás és megfelelőség kezelése

Azure Policy egy olyan irányítási eszköz, amely lehetővé teszi, hogy az Azure-erőforrások megfeleljenek a szabályzatok előírásainak. Szabályzatokat állíthat be adott konfigurációk engedélyezéséhez vagy kikényszerítéséhez, például azt, hogy a Azure Machine Learning-munkaterület privát végpontot használ-e. A Azure Policy kapcsolatos további információkért tekintse meg a Azure Policy dokumentációját. A Azure Machine Learning vonatkozó szabályzatokkal kapcsolatos további információkért lásd a Azure Policy való megfelelőség naplózását és kezelését ismertető témakört.

Következő lépések