Azure Machine Learning ile veri şifreleme
Azure Machine Learning, modellerdeki ve çıkarım gerçekleştirirken çeşitli Azure veri depolama hizmetleri ve işlem kaynakları kullanır. Bunların her biri, bekleyen ve aktarım sırasında veriler için şifreleme sağlamalarına ilişkin kendi hikayesine sahiptir. Bu makalede, senaryolarınız için en iyisi olan her biri hakkında bilgi edinin.
Önemli
eğitim sırasında üretim sınıfı şifrelemesi için, Microsoft Azure Machine Learning işlem kümesi kullanmayı önerir. Microsoft , Microsoft Azure Kubernetes hizmetini kullanarak üretim sınıfı şifrelemesi için önerilir.
Azure Machine Learning işlem örneği bir geliştirme/test ortamıdır. Bunu kullanırken, dosya paylaşımında Not defterleri ve betikler gibi dosyalarınızı depolamanızı öneririz. Verileriniz bir veri deposunda depolanmalıdır.
Bekleme sırasında şifreleme
Önemli
Çalışma alanınız hassas veriler içeriyorsa, çalışma alanınızı oluştururken hbi_workspace bayrağını ayarlamayı öneririz. hbi_workspaceBayrak yalnızca bir çalışma alanı oluşturulduğunda ayarlanabilir. Mevcut bir çalışma alanı için değiştirilemez.
hbi_workspaceBayrak, Microsoft 'un tanılama amacıyla topladığı veri miktarını denetler ve Microsoft tarafından yönetilen ortamlarda ek şifrelemeyeizin vermez. Ayrıca, aşağıdaki eylemleri sunar:
- Azure Machine Learning işlem kümenizde, bu abonelikte daha önceki kümelerin oluşturulmadığından, yerel çalışma diskini şifrelemeye başlar. Aksi takdirde, işlem kümelerinizin karalama diskinin şifrelenmesini etkinleştirmek için bir destek bileti yükseltmeniz gerekir
- Çalıştırmalar arasında yerel karalama diskinizi temizler
- Anahtar kasanızı kullanarak depolama hesabınız, kapsayıcı kayıt defteriniz ve SSH hesabınız için kimlik bilgilerini yürütme katmanından işlem kümelerinize güvenli bir şekilde geçirir
Bu bayrak true olarak ayarlandığında, olası bir etki sorun giderme sorunlarını ortaya çıkarmıştır. Bu durum, bazı telemetri Microsoft 'a gönderilmediği ve başarı oranları ya da sorun türleriyle ilgili daha az görünürlük olduğundan ve bu bayrak doğru olduğunda proaktif olarak tepki sağlayamayabilir.
İpucu
hbi_workspaceBayrak, aktarım sırasında şifrelemeyi etkilemez, yalnızca bekleyen şifreleme olur.
Azure Blob depolama
Azure Machine Learning, Azure Machine Learning çalışma alanına ve aboneliğinize bağlı Azure Blob depolama hesabında anlık görüntüler, çıktılar ve günlükler depolar. Azure Blob depolama alanında depolanan tüm veriler, Microsoft tarafından yönetilen anahtarlarla Rest 'te şifrelenir.
azure Blob depolama alanında depolanan veriler için kendi anahtarlarınızı kullanma hakkında bilgi için, bkz. Azure Key Vault müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesi.
Eğitim verileri genellikle Azure Blob Storage 'da depolanır, böylece işlem hedeflerini eğitmek için erişilebilir. bu depolama Azure Machine Learning tarafından yönetilmez ancak uzak bir dosya sistemi olarak işlem hedeflerine bağlanır.
Anahtarınızı döndürmenize veya iptal etmeniz gerekiyorsa, bunu istediğiniz zaman yapabilirsiniz. Bir anahtar döndürürken depolama hesabı, bekleyen verileri şifrelemek için yeni anahtarı (en son sürüm) kullanmaya başlar. Bir anahtarı iptal ettiğinizde (devre dışı bırakırken), depolama hesabı başarısız istekleri üstlenir. Genellikle döndürme veya İptalin etkili olması için bir saat sürer.
Erişim anahtarlarını yeniden oluşturma hakkında daha fazla bilgi için bkz. depolama erişim anahtarlarını yeniden üretme.
Azure Cosmos DB
Azure Machine Learning meta verileri bir Azure Cosmos DB örneğine depolar. Bu örnek, Azure Machine Learning tarafından yönetilen bir Microsoft aboneliği ile ilişkilendirilir. Azure Cosmos DB depolanan tüm veriler, Microsoft tarafından yönetilen anahtarlarla birlikte geri kalanında şifrelenir.
Azure Cosmos DB örneğini şifrelemek için kendi (müşteri tarafından yönetilen) anahtarlarınızı kullanmak için, çalışma alanınız ile kullanmak üzere adanmış bir Cosmos DB örneği oluşturabilirsiniz. çalışma geçmişi bilgilerini, Microsoft aboneliğimizde barındırılan çok kiracılı Cosmos DB örneğinin dışında depolamak istiyorsanız bu yaklaşımı öneririz.
abonelikinizde müşteri tarafından yönetilen anahtarlarla Cosmos DB bir örnek sağlamayı etkinleştirmek için aşağıdaki eylemleri gerçekleştirin:
Henüz yapmadıysanız Microsoft. Machinöğrenim ve Microsoft. DocumentDB kaynak sağlayıcılarını aboneliğinize kaydedin.
Azure Machine Learning çalışma alanını oluştururken aşağıdaki parametreleri kullanın. Her iki parametre de zorunludur ve SDK, Azure CLı, REST API 'Ler ve Kaynak Yöneticisi şablonlarda desteklenir.
cmk_keyvault: Bu parametre, aboneliğinizdeki anahtar kasasının kaynak KIMLIĞIDIR. bu anahtar kasasının, Azure Machine Learning çalışma alanı için kullanacağınız bölge ve abonelikte olması gerekir.resource_cmk_uri: Bu parametre, anahtarın sürüm bilgileride dahil olmak üzere, anahtar kasasındaki müşterinin yönettiği anahtarın tam kaynak URI 'sidir.Not
Kasa silme durumunda yanlışlıkla veri kaybına karşı korunmak için, şifrelenmiş bir makine öğrenimi çalışma alanı oluşturmadan önce CMK Anahtar Kasası örneğinde geçici silme ve Temizleme korumasını etkinleştirmek gerekir.
Not
bu anahtar kasası örneği, çalışma alanını sağladığınızda Azure Machine Learning tarafından oluşturulan anahtar kasasından farklı olabilir. Çalışma alanı için aynı Anahtar Kasası örneğini kullanmak istiyorsanız, key_vault parametresinikullanarak çalışma alanını sağlarken aynı anahtar kasasını geçirin.
Önemli
Cosmos DB örneği, aboneliğinizdeki Microsoft tarafından yönetilen bir kaynak grubunda oluşturulur. Aşağıdaki hizmetler de bu kaynak grubunda oluşturulur ve müşteri tarafından yönetilen anahtar yapılandırması tarafından kullanılır:
- Azure Depolama Hesabı
- Azure Search
Bu hizmetler Azure aboneliğinizde oluşturulduğundan, bu hizmet örnekleri için ücretlendirildiğiniz anlamına gelir. aboneliğinizin Azure Cosmos DB hizmeti için yeterli kotası yoksa bir hata oluşur. kotalar hakkında daha fazla bilgi için bkz. Azure Cosmos DB service quotas
Yönetilen kaynak grubu biçiminde adlandırılır <AML Workspace Resource Group Name><GUID> . Azure Machine Learning çalışma alanınız özel bir uç nokta kullanıyorsa, bu kaynak grubunda da bir sanal ağ oluşturulur. bu sanal ağ, bu kaynak grubundaki hizmetler ve Azure Machine Learning çalışma alanınız arasındaki iletişimin güvenliğini sağlamak için kullanılır.
- bu Cosmos DB örneğini içeren kaynak grubunu veya bu grupta otomatik olarak oluşturulan kaynakları silmeyin. kaynak grubunu, Cosmos DB örneğini, vb. silmeniz gerekiyorsa, onu kullanan Azure Machine Learning çalışma alanını silmeniz gerekir. kaynak grubu, Cosmos DB örneği ve diğer otomatik oluşturulan kaynaklar ilişkili çalışma alanı silindiğinde silinir.
- bu Cosmos DB hesap tarafından kullanılan istek birimleri gerektiği şekilde otomatik olarak ölçeklendirilir. En az ru 1200' dir. En büyük ru 12000' dir.
- oluşturulan Cosmos DB örneğiyle birlikte kullanmak için kendi VNet 'i sağlayamezsiniz . Ayrıca sanal ağı değiştiremezsiniz. Örneğin, kullandığı IP adres aralığını değiştiremezsiniz.
Azure Cosmos DB örneğinin ek maliyetini tahmin etmek için Azure fiyatlandırma hesaplayıcısı' nı kullanın.
Anahtarınızı döndürmenize veya iptal etmeniz gerekiyorsa, bunu istediğiniz zaman yapabilirsiniz. bir anahtar döndürürken Cosmos DB, bekleyen verileri şifrelemek için yeni anahtarı (en son sürüm) kullanmaya başlar. bir anahtarı iptal ettiğinizde (devre dışı bırakırken), Cosmos DB başarısız isteklerden yararlanır. Genellikle döndürme veya İptalin etkili olması için bir saat sürer.
Cosmos DB ile müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz. Azure Cosmos DB hesabınız için müşteri tarafından yönetilen anahtarları yapılandırma.
Azure Container Registry
Kayıt defterinizde (Azure Container Registry) bulunan tüm kapsayıcı görüntüleri, bekleyen olarak şifrelenir. Azure, bir görüntüyü depolamadan önce otomatik olarak şifreler ve Azure Machine Learning görüntüyü aldığında şifresini çözer.
Azure Container Registry şifrelemek için kendi (müşteri tarafından yönetilen) anahtarlarınızı kullanmak için, kendi ACR 'nizi oluşturmanız ve çalışma alanını sağlarken veya çalışma alanı sağlama sırasında oluşturulan varsayılan örneği şifrelemeniz gerekir.
Önemli
Azure Machine Learning, yönetici hesabının Azure Container Registry etkinleştirilmesini gerektirir. Varsayılan olarak, bir kapsayıcı kayıt defteri oluşturduğunuzda bu ayar devre dışıdır. Yönetici hesabını etkinleştirme hakkında daha fazla bilgi için bkz. yönetici hesabı.
Bir çalışma alanı için Azure Container Registry oluşturulduktan sonra silmeyin. bunu yapmak Azure Machine Learning çalışma alanınızı bozacaktır.
Mevcut bir Azure Container Registry kullanarak çalışma alanı oluşturma örneği için aşağıdaki makalelere bakın:
- Azure clı ile Azure Machine Learning için bir çalışma alanı oluşturun.
- Python SDK ile bir çalışma alanı oluşturun.
- Azure Machine Learning için bir çalışma alanı oluşturmak üzere Azure Resource Manager şablonu kullanma
Azure Container Örneği
Dağıtılan bir Azure Container Instance (acı) kaynağını, müşteri tarafından yönetilen anahtarları kullanarak şifreleyebilirsiniz. ACI için kullanılan müşteri tarafından yönetilen anahtar, çalışma alanınızın Azure Key Vault depolanabilir. Anahtar oluşturma hakkında bilgi için bkz. müşteri tarafından yönetilen bir anahtarla verileri şifreleme.
Azure Container Instance 'a model dağıttığınızda anahtarı kullanmak için kullanarak yeni bir dağıtım yapılandırması oluşturun AciWebservice.deploy_configuration() . Aşağıdaki parametreleri kullanarak anahtar bilgilerini sağlayın:
cmk_vault_base_url: Anahtarı içeren anahtar kasasının URL 'SI.cmk_key_name: Anahtarın adı.cmk_key_version: Anahtarın sürümü.
Dağıtım yapılandırması oluşturma ve kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- AciWebservice.deploy_configuration () başvurusu
- Dağıtım nereye ve nasıl yapılır?
- Modeli Azure Container Instances’a dağıtma
ACI ile müşteri tarafından yönetilen anahtar kullanma hakkında daha fazla bilgi için bkz. müşteri tarafından yönetilen bir anahtarla verileri şifreleme.
Azure Kubernetes Service
Dağıtılan bir Azure Kubernetes hizmeti kaynağını, müşteri tarafından yönetilen anahtarları dilediğiniz zaman kullanarak şifreleyebilirsiniz. Daha fazla bilgi için bkz. Azure Kubernetes hizmeti ile kendi anahtarlarınızı getirme.
Bu işlem, Kubernetes kümesindeki dağıtılan sanal makinelerin hem verilerini hem de işletim sistemi diskini şifrelemenizi sağlar.
Önemli
Bu işlem yalnızca AKS K8s sürüm 1,17 veya üzeri sürümlerle kullanılabilir. 13 ocak 2020 ' de aks 1,17 için destek eklendi Azure Machine Learning.
Machine Learning Hesaplamasını
İşlem kümesi Azure Depolama 'de depolanan her işlem düğümü için işletim sistemi diski, Azure Machine Learning depolama hesaplarında Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlü ve hiçbir çalışma sıraya alınmaz kümeler genellikle ölçeği aşağı ölçeklendirilir. Temel alınan sanal makine de sağlanmamıştır ve işletim sistemi diski silinir. Azure disk şifrelemesi, işletim sistemi diski için desteklenmez.
Her bir sanal makinenin işletim sistemi işlemleri için yerel bir geçici diski de vardır. İsterseniz eğitim verilerini hazırlamak için diski kullanabilirsiniz. Çalışma alanı, hbi_workspace olarak ayarlanmış parametresi ile oluşturulduysa TRUE , geçici disk şifrelenir. Bu ortam kısa süreli (yalnızca çalıştıralım süresi için) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
İşlem örneği işlem örneği için işletim sistemi diski, Azure Machine Learning depolama hesaplarında Microsoft tarafından yönetilen anahtarlarla şifrelenir. Çalışma alanı hbi_workspace parametresiyle ayarlanmış parametresi ile oluşturulduysa TRUE , işlem örneği üzerindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi, işletim sistemi ve geçici disk için desteklenmez.
Azure Databricks
Azure Databricks, Azure Machine Learning işlem hatları içinde kullanılabilir. Varsayılan olarak, Azure Databricks tarafından kullanılan Databricks dosya sistemi (DBFS), Microsoft tarafından yönetilen bir anahtar kullanılarak şifrelenir. Azure Databricks, müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırmak için, bkz. varsayılan (root) için müşteri tarafından yönetilen anahtarları yapılandırma.
Microsoft tarafından oluşturulan veriler
Microsoft, otomatik Machine Learning gibi hizmetleri kullanırken, birden çok modeli eğitmek için geçici, önceden işlenmiş bir veri oluşturabilir. Bu veriler, çalışma alanınızdaki bir veri deposunda depolanır ve bu da erişim denetimlerini ve şifrelemeyi uygun şekilde zorlamanıza olanak sağlar.
dağıtılmış uç noktanıza kaydedilen tanılama bilgilerini Azure Application Insights örneğinize şifrelemek da isteyebilirsiniz.
Aktarım sırasında şifreleme
Azure Machine Learning, çeşitli Azure Machine Learning mikro hizmetler arasında iç iletişimin güvenliğini sağlamak için TLS kullanır. tüm Azure Depolama erişimi, güvenli bir kanal üzerinden de gerçekleşir.
puanlama uç noktasına yapılan dış çağrıların güvenliğini sağlamak için Azure Machine Learning TLS kullanır. Daha fazla bilgi için bkz. Azure Machine Learning aracılığıyla bir Web hizmetini güvenli hale getirmek IÇIN TLS kullanma.
Veri toplama ve işleme
Microsoft tarafından toplanan veriler
Microsoft, kaynak adları (örneğin, veri kümesi adı veya makine öğrenimi deneme adı) gibi kullanıcı olmayan tanımlama bilgilerini veya tanılama amacıyla iş ortamı değişkenlerini toplayabilir. Bu tür veriler, Microsoft 'un sahip olduğu aboneliklerde barındırılan depolamada Microsoft tarafından yönetilen anahtarlar kullanılarak depolanır ve Microsoft 'un standart Gizlilik ilkesi ve veri işleme standartlarınıizler. Bu veriler, çalışma alanınızın bulunduğu bölge içinde tutulur.
Microsoft ayrıca, önemli bilgileri (örneğin, hesap anahtarı gizli dizileri) ortam değişkenlerine depolamamanızı da önerir. Ortam değişkenleri günlüğe kaydedilir, şifrelenir ve bizimle saklanır. Benzer şekilde run_idadlandırırken, Kullanıcı adları veya gizli proje adları gibi hassas bilgileri de eklemekten kaçının. Bu bilgiler, Microsoft Desteği mühendislerine erişilebilen telemetri günlüklerinde görünebilir.
hbi_workspaceÇalışma alanını sağlarken parametresini olarak ayarlayarak, toplanan tanılama verilerinden bu verileri devre dışı kalabilirsiniz TRUE . Bu işlev, AzureML Python SDK 'Sı, Azure CLı, REST API 'Leri veya Azure Resource Manager şablonları kullanılırken desteklenir.
Azure Key Vault kullanma
Azure Machine Learning, çeşitli türlerdeki kimlik bilgilerini depolamak için çalışma alanıyla ilişkili Azure Key Vault örneğini kullanır:
- İlişkili depolama hesabı bağlantı dizesi
- Azure Container Repository deposu örneklerine parolalar
- Veri depolarına yönelik bağlantı dizeleri
Azure HDInsight ve VM 'Ler gibi hedefleri hesaplamak için SSH parolaları ve anahtarları, Microsoft aboneliğiyle ilişkili ayrı bir anahtar kasasında depolanır. Azure Machine Learning, kullanıcılar tarafından sunulan herhangi bir parolayı veya anahtarı depolamaz. Bunun yerine, denemeleri çalıştırmak için VM 'Leri ve HDInsight 'a bağlanmak üzere kendi SSH anahtarlarını oluşturur, yetkilendirir ve depolar.
Her çalışma alanı, çalışma alanıyla aynı ada sahip ilişkili, sistem tarafından atanan bir yönetilen kimliğe sahiptir. Bu yönetilen kimliğin, anahtar kasasındaki tüm anahtar, gizli dizi ve sertifikalara erişimi vardır.