Zabezpieczanie sieci Azure Machine Learning

Ukończone

Przed rozpoczęciem trenowania modeli należy zabezpieczyć sieć Azure Machine Learning przed włamaniem zewnętrznym. Bez uprzedniego zabezpieczenia sieci możesz pozostawić dane i modele narażone na potencjalnie złośliwe podmioty i prowadzić do kradzieży danych lub ataków, które mogą negatywnie zmienić zachowanie modelu. Te zmiany często mogą być trudne do zauważenia ze względu na często duży charakter zestawów danych lub parametrów wpływających na zachowanie modelu. Zaczniemy od oddzielenia trenowania modelu od szerszej sieci do własnej sieci wirtualnej, aby uniknąć tych problemów.

Sieci wirtualne i grupy zabezpieczeń

Aby zabezpieczyć obszar roboczy Azure Machine Learning i zasoby obliczeniowe, użyjemy sieci wirtualnej. Sieć wirtualna platformy Azure to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia zasobom platformy Azure, takim jak Azure Blob Storage i Azure Container Registry, bezpieczne komunikowanie się ze sobą, internetem i sieciami lokalnymi. Sieć wirtualna jest podobna do tradycyjnej sieci, która będzie działać we własnym centrum danych, ale oferuje dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja. Dzięki sieci wirtualnej można zwiększyć bezpieczeństwo między zasobami platformy Azure i filtrować ruch sieciowy, aby zapewnić tylko zaufanym użytkownikom dostęp do sieci.

Azure vnet network diagram.

Na powyższej ilustracji widać typową strukturę Virtual Network (VNet) składającą się z następujących elementów:

  • Przestrzeń adresów IP: Podczas tworzenia sieci wirtualnej należy określić niestandardową prywatną przestrzeń adresów IP przy użyciu adresów publicznych i prywatnych (RFC 1918).
  • Podsieci: Pokazano powyżej jako oddzielne maszyny wirtualne, podsieci umożliwiają segmentowanie sieci wirtualnej w co najmniej jednej podsieci i przydzielanie części przestrzeni adresowej sieci wirtualnej do każdej podsieci, zwiększając bezpieczeństwo i wydajność.
  • Interfejsy sieciowe są połączeniem między maszyną wirtualną a siecią wirtualną (VNet). Podczas tworzenia maszyny wirtualnej w Azure Portal interfejs sieciowy jest tworzony automatycznie.
  • Sieciowe grupy zabezpieczeń mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego, które umożliwiają filtrowanie ruchu do i z zasobów według źródłowego i docelowego adresu IP, portu i protokołu.
  • Moduły równoważenia obciążenia można skonfigurować tak, aby efektywnie obsługiwały ruch przychodzący i wychodzący do maszyn wirtualnych i sieci wirtualnych, a jednocześnie oferują metryki umożliwiające monitorowanie kondycji maszyn wirtualnych.

Ścieżki do sieci wirtualnej

Integracja usług platformy Azure z siecią wirtualną platformy Azure umożliwia prywatny dostęp do usługi z maszyn wirtualnych lub zasobów obliczeniowych w sieci wirtualnej. Usługi platformy Azure można zintegrować w sieci wirtualnej z następującymi opcjami:

  • Punkty końcowe usługi zapewniają tożsamość sieci wirtualnej do usługi platformy Azure. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz dodać regułę sieci wirtualnej, aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej. Punkty końcowe usługi używają publicznych adresów IP.
  • Prywatne punkty końcowe to interfejsy sieciowe, które bezpiecznie łączą Cię z usługą obsługiwaną przez Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługi platformy Azure do sieci wirtualnej.

Azure Machine Learning vnet diagram with Key Vault, Storage account, and Container Registry.

Możesz połączyć lokalne komputery i sieci z siecią wirtualną za pośrednictwem wirtualnej sieci prywatnej (VPN) na kilka sposobów. Sieć VPN typu punkt-lokacja to połączenie między siecią wirtualną a pojedynczym komputerem w sieci. Komunikacja jest wysyłana za pośrednictwem szyfrowanego tunelu przez Internet. Każdy komputer, który chce nawiązać łączność z siecią wirtualną, musi skonfigurować połączenie, dlatego najlepiej używać go, jeśli masz tylko kilku użytkowników, którzy muszą nawiązać połączenie z siecią wirtualną. Ten typ połączenia jest doskonały, jeśli dopiero zaczynasz pracę, ponieważ wymaga ona niewielkich lub żadnych zmian w istniejącej sieci.

Sieć VPN typu lokacja-lokacja można ustanowić między lokalnym urządzeniem sieci VPN a VPN Gateway platformy Azure wdrożonym w sieci wirtualnej. Ten typ połączenia umożliwia dowolnym zasobom lokalnym, które uzyskają autoryzację, uzyskiwanie dostępu do sieci wirtualnej. Komunikacja między lokalnym urządzeniem VPN i bramą Azure VPN Gateway jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu.

Usługa ExpressRoute może być używana zamiast sieci VPN Jeśli chcesz przyspieszyć tworzenie połączeń prywatnych z usługami platformy Azure. Usługa umożliwia tworzenie prywatnych połączeń między centrami danych firmy Microsoft i infrastrukturą lokalną lub w innym obiekcie. Połączenia usługi ExpressRoute są oddzielone od publicznego Internetu i oferują wysokie zabezpieczenia, niezawodność i szybkość z mniejszym opóźnieniem niż typowe połączenia przez Internet. Usługa ExpressRoute oferuje szereg opcji cenowych w zależności od szacowanych wymagań dotyczących przepustowości.

Zabezpieczanie obszaru roboczego i zasobów

Aby rozpocząć zabezpieczanie sieci, należy połączyć się z obszarem roboczym za pośrednictwem prywatnego punktu końcowego (prywatnego adresu IP), który omówimy w następnym ćwiczeniu. Prywatny punkt końcowy można dodać do obszaru roboczego za pomocą Azure Machine Learning zestawu SDK języka Python, interfejsu wiersza polecenia platformy Azure lub na karcie Sieć Azure Portal. Z tego miejsca można ograniczyć dostęp do obszaru roboczego, aby występował tylko za pośrednictwem prywatnych adresów IP.

Jednak to samo nie zapewni kompleksowego zabezpieczeń, dlatego upewnij się, że inne usługi platformy Azure, z których komunikujesz się, znajdują się również za siecią wirtualną. Ponieważ komunikacja z obszarem roboczym ma być dozwolona tylko z sieci wirtualnej, wszystkie środowiska programistyczne korzystające z obszaru roboczego muszą być członkami sieci wirtualnej, chyba że sieć została skonfigurowana tak, aby zezwalała na połączenia z publicznymi adresami IP.

Następujące metody mogą służyć do nawiązywania połączenia z bezpiecznym obszarem roboczym:

  • Brama sieci VPN platformy Azure — łączy sieci lokalne z siecią wirtualną za pośrednictwem połączenia prywatnego. Połączenie odbywa się za pośrednictwem publicznego Internetu. Istnieją dwa typy bram sieci VPN, których można użyć:

    • Punkt-lokacja: Każdy komputer kliencki używa klienta sieci VPN do nawiązywania połączenia z siecią wirtualną.
    • Lokacja-lokacja: Urządzenie sieci VPN łączy sieć wirtualną z siecią lokalną.
  • ExpressRoute — łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

  • Azure Bastion — w tym scenariuszu tworzysz maszynę wirtualną platformy Azure (czasami nazywaną urządzeniem przesiadkowym) wewnątrz sieci wirtualnej. Następnie połączysz się z maszyną wirtualną przy użyciu usługi Azure Bastion. Usługa Bastion umożliwia nawiązanie połączenia z maszyną wirtualną przy użyciu sesji protokołu RDP lub SSH z lokalnej przeglądarki internetowej. Następnie użyj pola przesiadkowego jako środowiska deweloperskiego. Ponieważ znajduje się ona w sieci wirtualnej, może ona uzyskiwać bezpośredni dostęp do obszaru roboczego.

Grupy zabezpieczeń i ruch

Możesz użyć sieciowej grupy zabezpieczeń platformy Azure do filtrowania ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Sieciowe grupy zabezpieczeń są przydatne do kontrolowania przepływu ruchu między podsieciami maszyn wirtualnych lub ograniczania komunikacji wychodzącej przez zasoby w sieci wirtualnej platformy Azure do Internetu, która jest domyślnie włączona.

Poniższa ilustracja przedstawia różne scenariusze dotyczące sposobu wdrażania grup zabezpieczeń sieci w celu zezwolenia na ruch sieciowy do i z Internetu przez port TCP 80:

Azure vnet diagram with different subnets.

Grupy zabezpieczeń aplikacji (ASG) mogą również służyć do konfigurowania zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala grupować maszyny wirtualne i definiować zasady zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Platforma obsługuje złożoność jawnych adresów IP i wielu zestawów reguł, co znacznie upraszcza proces definicji reguły sieciowej grupy zabezpieczeń.

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Tagi usługi można używać zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń w celu zdefiniowania kontroli dostępu do sieci w sieciowych grup zabezpieczeń lub Azure Firewall. Określając nazwę tagu usługi, taką jak ApiManagement, w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi.

Azure Network Security Group diagram.

Obszar roboczy Azure Machine Learning może użyć Azure Private Link do utworzenia prywatnego punktu końcowego za siecią wirtualną. Azure Private Link to technologia przeznaczona do zapewnienia łączności z wybranymi usługami PaaS. Zapewnia to zestaw prywatnych adresów IP, których można użyć do uzyskiwania dostępu do obszaru roboczego z poziomu sieci wirtualnej. Niektóre usługi, na których Azure Machine Learning polegają, mogą również korzystać z Azure Private Link, ale niektóre polegają na sieciowych grupach zabezpieczeń lub routingu zdefiniowanym przez użytkownika.

Istnieją dwa kluczowe składniki Azure Private Link:

  • Prywatny punkt końcowy — interfejs sieciowy połączony z siecią wirtualną, przypisany do prywatnego adresu IP. Służy do łączenia się prywatnie i bezpiecznie z usługą obsługiwaną przez Azure Private Link lub usługę Private Link, którą ty lub partner może być właścicielem.
  • Private Link Service — twoja własna usługa obsługiwana przez Azure Private Link, która działa za usługa Load Balancer w warstwie Standardowa platformy Azure, włączona na potrzeby dostępu Private Link. Ta usługa może być prywatnie połączona i używana przy użyciu prywatnych punktów końcowych wdrożonych w sieci wirtualnej użytkownika.

Podczas tworzenia prywatnego punktu końcowego dla zasobu platformy Azure zapewnia bezpieczną łączność między klientami w sieci wirtualnej i zasobem platformy Azure. Za pomocą prywatnych punktów końcowych można komunikować się i przechodzić zdarzenia bezpośrednio z sieci wirtualnej do zasobów platformy Azure bezpiecznie za pośrednictwem łącza prywatnego bez korzystania z publicznego Internetu, zwiększając bezpieczeństwo. Prywatny punkt końcowy jest przypisany do adresu IP z zakresu adresów IP sieci wirtualnej. Usługa jest elastyczna, umożliwiając połączenia między sieciami wirtualnymi z nakładającymi się przestrzeniami adresowymi i łączeniem zasobów działających w innych regionach, oferując zasięg globalny.

Azure Private Link diagram.