Azure Machine Learning ile veri şifreleme
Azure Machine Learning, modelleri eğitirken ve çıkarım yaparken çeşitli Azure veri depolama hizmetlerine ve işlem kaynaklarına dayanır. Bu makalede, hem bekleyen hem de aktarımdaki her hizmetin veri şifrelemesi hakkında bilgi edinin.
Eğitim sırasında üretim sınıfı şifreleme için bir Azure Machine Learning işlem kümesi kullanmanızı öneririz. Çıkarım sırasında üretim sınıfı şifreleme için Azure Kubernetes Service (AKS) kullanmanızı öneririz.
Azure Machine Learning işlem örneği bir geliştirme/test ortamıdır. Bunu kullandığınızda, not defterleri ve betikler gibi dosyalarınızı bir dosya paylaşımında depolamanızı öneririz. Verilerinizi bir veri deposunda depolayın.
Bekleme sırasında şifreleme
Azure Machine Learning uçtan uca projeler Azure Blob Depolama, Azure Cosmos DB ve Azure SQL Veritabanı gibi hizmetlerle tümleştirilir. Bu makalede, bu tür hizmetler için şifreleme yöntemleri açıklanmaktadır.
Azure Blob Storage
Azure Machine Learning anlık görüntüleri, çıkışı ve günlükleri Azure Machine Learning çalışma alanına ve aboneliğinize bağlı Azure Blob Depolama hesabında (varsayılan depolama hesabı) depolar. Azure Blob Depolama depolanan tüm veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Azure Blob Depolama depolanan veriler için kendi anahtarlarınızı kullanma hakkında bilgi için bkz. Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesi.
Eğitim verileri genellikle eğitim işlem hedeflerinin bunlara erişebilmesi için Azure Blob Depolama depolanır. Azure Machine Learning bu depolama alanını yönetmez. Bu depolama, uzak dosya sistemi olarak işlem hedeflerine bağlanır.
Anahtarınızı döndürmeniz veya iptal etmeniz gerekiyorsa, bunu istediğiniz zaman yapabilirsiniz. Bir anahtarı döndürdüğünüzde depolama hesabı bekleyen verileri şifrelemek için yeni anahtarı (en son sürüm) kullanmaya başlar. Bir anahtarı iptal ettiğinizde (devre dışı bırakdığınızda), başarısız isteklerle depolama hesabı ilgilenir. Döndürme veya iptal işleminin etkili olması genellikle bir saat sürer.
Erişim anahtarlarını yeniden oluşturma hakkında bilgi için bkz . Depolama hesabı erişim anahtarlarını yeniden oluşturma.
Azure Data Lake Storage
Not
29 Şubat 2024'te Azure Data Lake Storage 1. Nesil kullanımdan kaldırılacaktır. Daha fazla bilgi için resmi duyuruya bakın. Azure Data Lake Storage 1. Nesil kullanıyorsanız, bu tarihten önce Azure Data Lake Storage 2. Nesil geçiş yaptığınızdan emin olun. Nasıl yapılacağını öğrenmek için bkz. Azure portalını kullanarak Azure Data Lake Depolama 1. Nesil'den 2. Nesil'e geçirme.
Azure Data Lake Storage 1. Nesil hesabınız yoksa yeni hesap oluşturamazsınız.
Azure Data Lake Storage 2. Nesil, Azure Blob Depolama üzerine kurulmuştur ve kuruluşlarda büyük veri analizi için tasarlanmıştır. Data Lake Storage 2. Nesil, Azure Machine Learning için veri deposu olarak kullanılır. Azure Blob Depolama gibi bekleyen veriler de Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Azure Data Lake Depolama'de depolanan veriler için kendi anahtarlarınızı kullanma hakkında bilgi için bkz. Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesi.
Azure ilişkisel veritabanları
Azure Machine Learning hizmeti aşağıdaki veri kaynaklarından verileri destekler.
Azure SQL Veritabanı
Saydam veri şifrelemesi, bekleyen verileri şifreleyerek Azure SQL Veritabanı kötü amaçlı çevrimdışı etkinlik tehdidine karşı korumaya yardımcı olur. Varsayılan olarak saydam veri şifrelemesi, Microsoft tarafından yönetilen anahtarları kullanan yeni dağıtılan tüm SQL veritabanları için etkinleştirilir.
Saydam veri şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz. Saydam veri şifrelemesi Azure SQL Veritabanı.
PostgreSQL için Azure Veritabanı
varsayılan olarak, PostgreSQL için Azure Veritabanı Bekleyen verileri Microsoft tarafından yönetilen anahtarları kullanarak şifrelemek için Azure Depolama şifrelemesini kullanır. SQL Server gibi diğer veritabanlarındaki saydam veri şifrelemesine benzer.
Saydam veri şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz. Müşteri tarafından yönetilen anahtarla Tek Sunucu veri şifrelemesi PostgreSQL için Azure Veritabanı.
MySQL için Azure Veritabanı
MySQL için Azure Veritabanı, Microsoft Bulut'taki ilişkisel bir veritabanı hizmetidir. MySQL Community Edition veritabanı altyapısını temel alır. MySQL için Azure Veritabanı hizmeti, bekleyen verilerin şifrelenmesi Depolama Azure için FIPS 140-2 tarafından doğrulanmış şifreleme modülünü kullanır.
Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemek için bkz. Müşteri tarafından yönetilen anahtarla veri şifreleme MySQL için Azure Veritabanı.
Azure Cosmos DB
Azure Machine Learning, meta verileri bir Azure Cosmos DB örneğinde depolar. Bu örnek, Azure Machine Learning'in yönettiği bir Microsoft aboneliğiyle ilişkilendirilmiştir. Azure Cosmos DB'de depolanan tüm veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Azure Cosmos DB örneğini şifrelemek için kendi (müşteri tarafından yönetilen) anahtarlarınızı kullandığınızda, aboneliğinizde Microsoft tarafından yönetilen bir Azure Cosmos DB örneği oluşturulur. Bu örnek, çalışma alanınızın kaynak grubundan farklı olan Microsoft tarafından yönetilen bir kaynak grubunda oluşturulur. Daha fazla bilgi için bkz . Azure Machine Learning için müşteri tarafından yönetilen anahtarlar.
Azure Container Registry
Kapsayıcı kayıt defterinizdeki tüm kapsayıcı görüntüleri (Azure Container Registry örneği) bekleme sırasında şifrelenir. Azure, görüntüyü depolamadan önce otomatik olarak şifreler ve Azure Machine Learning görüntüyü çektiğinde şifresini çözer.
Kapsayıcı kayıt defterinizi şifrelemek için müşteri tarafından yönetilen anahtarları kullanmak için, çalışma alanını sağlarken kapsayıcı kayıt defterini oluşturmanız ve eklemeniz gerekir. Çalışma alanı sağlama sırasında oluşturulan varsayılan örneği şifreleyebilirsiniz.
Önemli
Azure Machine Learning, kapsayıcı kayıt defterinizde yönetici hesabını etkinleştirmenizi gerektirir. Varsayılan olarak, kapsayıcı kayıt defteri oluşturduğunuzda bu ayar devre dışı bırakılır. Yönetici hesabını etkinleştirme hakkında bilgi için bu makalenin devamında yer alan Yönetici hesabına bakın.
Bir çalışma alanı için kapsayıcı kayıt defteri oluşturduktan sonra, bunu silmeyin. Bunu yaptığınızda Azure Machine Learning çalışma alanınız bozulacaktır.
Var olan bir kapsayıcı kayıt defterini kullanarak çalışma alanı oluşturma örnekleri için aşağıdaki makalelere bakın:
- Azure CLI kullanarak Azure Machine Learning için çalışma alanı oluşturma
- Python SDK ile çalışma alanı oluşturma
- Azure Resource Manager şablonu kullanarak Azure Machine Learning için çalışma alanı oluşturma
Azure Container Instances
Önemli
Azure Container Instances dağıtımları, Azure Machine Learning Python SDK'sına ve CLI v1'e dayanır.
Dağıtılan bir Azure Container Instances kaynağını müşteri tarafından yönetilen anahtarları kullanarak şifreleyebilirsiniz. Kapsayıcı Örnekleri için kullandığınız müşteri tarafından yönetilen anahtarlar, çalışma alanınızın anahtar kasasında depolanabilir.
ŞUNUN IÇIN GEÇERLIDIR:
Python SDK azureml v1
Container Instances'a model dağıtırken anahtarını kullanmak için kullanarak AciWebservice.deploy_configuration()yeni bir dağıtım yapılandırması oluşturun. Aşağıdaki parametreleri kullanarak anahtar bilgilerini sağlayın:
cmk_vault_base_url: Anahtarı içeren anahtar kasasının URL'si.cmk_key_name: Anahtarın adı.cmk_key_version: Anahtarın sürümü.
Dağıtım yapılandırması oluşturma ve kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Kapsayıcı Örnekleri ile müşteri tarafından yönetilen anahtar kullanma hakkında daha fazla bilgi için bkz . Dağıtım verilerini şifreleme.
Azure Kubernetes Service
Dağıtılan bir Azure Kubernetes Service kaynağını, müşteri tarafından yönetilen anahtarları kullanarak istediğiniz zaman şifreleyebilirsiniz. Daha fazla bilgi için bkz . Azure Kubernetes Service ile kendi anahtarlarınızı getirme.
Bu işlem, Kubernetes kümesinde dağıtılan sanal makinelerin hem verilerini hem de işletim sistemi diskini şifrelemenizi sağlar.
Önemli
Bu işlem yalnızca AKS sürüm 1.17 veya üzeri ile çalışır. Azure Machine Learning, 13 Ocak 2020'de AKS 1.17 desteği ekledi.
Machine Learning işlem
İşlem kümesi
Azure Depolama'da depolanan her işlem düğümü için işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlüdür ve hiçbir iş kuyruğa alınmadığında kümelerin ölçeği genellikle azaltılır. Temel alınan sanal makinenin yetkisi kaldırılır ve işletim sistemi diski silinir.
Azure Disk Şifrelemesi çalışma alanları için varsayılan olarak etkin değildir. çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız işletim sistemi diski şifrelenir.
Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız geçici disk şifrelenir. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
Yönetilen çevrimiçi uç noktalar ve toplu iş uç noktaları arka uçta Azure Machine Learning işlemini kullanır ve aynı şifreleme mekanizmasını izler.
İşlem örneği
İşlem örneğinin işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. parametresi olarak hbi_workspace ayarlanmış TRUEbir çalışma alanı oluşturursanız, işlem örneğindeki yerel işletim sistemi ve geçici diskler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici diskler için desteklenmez.
Daha fazla bilgi için bkz . Azure Machine Learning için müşteri tarafından yönetilen anahtarlar.
Azure Data Factory
Azure Data Factory işlem hattı, Azure Machine Learning ile kullanmak üzere verileri alır. Azure Data Factory, varlık tanımları ve çalıştırmalar devam ederken önbelleğe alınan veriler de dahil olmak üzere bekleyen verileri şifreler. Varsayılan olarak veriler, veri fabrikanıza benzersiz olarak atanmış rastgele oluşturulmuş microsoft tarafından yönetilen bir anahtarla şifrelenir.
Şifreleme için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Azure Data Factory'yi müşteri tarafından yönetilen anahtarlarla şifreleme.
Azure Databricks
Azure Machine Learning işlem hatlarında Azure Databricks'i kullanabilirsiniz. Varsayılan olarak, Azure Databricks'in kullandığı Databricks Dosya Sistemi (DBFS), Microsoft tarafından yönetilen bir anahtar aracılığıyla şifrelenir. Azure Databricks'i müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırmak için bkz . Varsayılan (kök) DBFS'de müşteri tarafından yönetilen anahtarları yapılandırma.
Microsoft tarafından oluşturulan veriler
Azure Machine Learning gibi hizmetleri kullandığınızda, Microsoft birden çok modeli eğitecek geçici, önceden işlenmiş veriler oluşturabilir. Bu veriler çalışma alanınızdaki bir veri deposunda depolanır, böylece erişim denetimlerini ve şifrelemeyi uygun şekilde zorunlu kılabilirsiniz.
Ayrıca, dağıtılan uç noktanızdan Application Analizler'a kaydedilen tanılama bilgilerini şifrelemek isteyebilirsiniz.
Aktarım sırasında şifreleme
Azure Machine Learning, çeşitli Azure Machine Learning mikro hizmetleri arasındaki iç iletişimin güvenliğini sağlamaya yardımcı olmak için Aktarım Katmanı Güvenliği(TLS) kullanır. Tüm Azure Depolama erişimi de güvenli bir kanal üzerinden gerçekleşir.
Azure Machine Learning, puanlama uç noktasına yapılan dış çağrıların güvenliğini sağlamaya yardımcı olmak için TLS kullanır. Daha fazla bilgi için bkz. TLS kullanarak Azure Machine Learning aracılığıyla web hizmetinin güvenliğini sağlama.
Veri toplama ve işleme
Tanılama amacıyla Microsoft, kullanıcıları tanımlamayan bilgiler toplayabilir. Örneğin, Microsoft kaynak adlarını (örneğin, veri kümesi adı veya makine öğrenmesi deneme adı) veya iş ortamı değişkenlerini toplayabilir. Bu tür tüm veriler, Microsoft tarafından yönetilen anahtarlar aracılığıyla Microsoft'a ait aboneliklerde barındırılan depolama alanında depolanır. Depolama , Microsoft'un standart gizlilik ilkesine ve veri işleme standartlarına uyar. Bu veriler çalışma alanınızla aynı bölgede kalır.
Hassas bilgileri (hesap anahtarı gizli dizileri gibi) ortam değişkenlerinde depolamamanızı öneririz. Microsoft ortam değişkenlerini günlüğe kaydeder, şifreler ve depolar. Benzer şekilde, işlerinizi adlandırdığınızda, kullanıcı adları veya gizli proje adları gibi hassas bilgileri dahil etmekten kaçının. Bu bilgiler, Microsoft destek mühendislerinin erişebileceği telemetri günlüklerinde görünebilir.
Çalışma alanını sağlarken parametresini TRUE olarak ayarlayarak hbi_workspace tanılama verilerinin toplanmasını geri çevirebilirsiniz. Bu işlevsellik, Azure Machine Learning Python SDK'sını, Azure CLI'yı, REST API'leri veya Azure Resource Manager şablonlarını kullandığınızda desteklenir.
Azure Key Vault'ta kimlik bilgisi depolama
Azure Machine Learning, çeşitli türlerdeki kimlik bilgilerini depolamak için çalışma alanıyla ilişkili Azure Key Vault örneğini kullanır:
- Depolama hesabı için ilişkili bağlantı dizesi
- Azure Container Registry örneklerinin parolaları
- Veri depolarına Bağlan dizeleri
Azure HDInsight ve sanal makineler gibi işlem hedeflerine yönelik Secure Shell (SSH) parolaları ve anahtarları, Microsoft aboneliğiyle ilişkili ayrı bir anahtar kasasında depolanır. Azure Machine Learning, kullanıcıların sağladığı parolaları veya anahtarları depolamaz. Bunun yerine, sanal makinelere bağlanmak için kendi SSH anahtarlarını ve denemeleri çalıştırmak için HDInsight'ı oluşturur, yetkiler ve depolar.
Her çalışma alanı, çalışma alanıyla aynı ada sahip, sistem tarafından atanan ilişkili bir yönetilen kimliğe sahiptir. Bu yönetilen kimlik, anahtar kasasındaki tüm anahtarlara, gizli dizilere ve sertifikalara erişebilir.