Azure Machine Learning için Enterprise güvenlik ve idare
Bu makalede, Azure Machine Learning için kullanılabilen güvenlik ve idare özellikleri hakkında bilgi edineceksiniz. bu özellikler, şirketler ilkelerinizle uyumlu güvenli bir yapılandırma oluşturmak isteyen yöneticiler, DevOps ve mlops için yararlıdır. Azure Machine Learning ve Azure platformunda şunları yapabilirsiniz:
- Kullanıcı hesabı veya gruplarına göre kaynaklara ve işlemlere erişimi kısıtla
- Gelen ve giden ağ iletişimlerini kısıtla
- Yoldaki ve bekleyen verileri şifreleme
- Güvenlik açıklarını Tara
- Yapılandırma ilkelerini uygula ve denetle
Kaynaklara ve işlemlere erişimi kısıtla
Azure Active Directory (Azure AD) , Azure Machine Learning için kimlik hizmeti sağlayıcıdır. Azure kaynaklarında kimlik doğrulaması yapmak için kullanılan güvenlik nesneleri (Kullanıcı, Grup, hizmet sorumlusu ve yönetilen kimlik) oluşturmanıza ve yönetmenize olanak sağlar. Azure AD bunu kullanacak şekilde yapılandırıldıysa Multi-Factor Authentication desteklenir.
Azure AD 'de multi-factor authentication kullanarak Azure Machine Learning için kimlik doğrulama işlemi aşağıda verilmiştir:
- İstemci Azure AD 'de oturum açar ve bir Azure Resource Manager belirteci alır.
- İstemci belirteci Azure Resource Manager ve tüm Azure Machine Learning gösterir.
- Azure Machine Learning, kullanıcı işlem hedefine bir Machine Learning hizmet belirteci sağlar (örneğin, Azure Machine Learning işlem kümesi). bu belirteç, kullanıcı işlem hedefi tarafından, çalıştırma tamamlandıktan sonra Machine Learning hizmetine geri çağrı yapmak için kullanılır. Kapsam, çalışma alanıyla sınırlıdır.
Her çalışma alanı, çalışma alanıyla aynı ada sahip ilişkili, sistem tarafından atanan bir yönetilen kimliğe sahiptir. Bu yönetilen kimlik, çalışma alanı tarafından kullanılan kaynaklara güvenli bir şekilde erişmek için kullanılır. İlişkili kaynaklar üzerinde aşağıdaki Azure RBAC izinlerine sahiptir:
| Kaynak | İzinler |
|---|---|
| Çalışma alanı | Katılımcı |
| Depolama hesabı | Depolama Blob Verileri Katkıda Bulunanı |
| Key Vault | Tüm anahtarlar, gizlilikler, sertifikalara erişim |
| Azure Container Registry | Katılımcı |
| Çalışma alanını içeren kaynak grubu | Katılımcı |
sistem tarafından atanan yönetilen kimlik Azure Machine Learning ve diğer Azure kaynakları arasında iç hizmetten hizmete kimlik doğrulaması için kullanılır. Kimlik belirtecine kullanıcılar erişemez ve bu kaynaklara erişim kazanmak için bunlar tarafından kullanılamaz. kullanıcılar, yeterli RBAC izinlerine sahip olmaları durumunda yalnızca Azure Machine Learning denetim ve veri düzlemi apı 'leriaracılığıyla kaynaklara erişebilir.
Yönetilen kimliğin ilişkili kaynakları sağlamak ve Web hizmeti uç noktaları için Azure Container Instances dağıtmaküzere çalışma alanını içeren kaynak grubunda katkıda bulunan izinleri olmalıdır.
Yöneticilerin yönetilen kimliğin önceki tabloda bahsedilen kaynaklara erişimini iptal etmemenizi önermiyoruz. Yeniden eşitleme anahtarları işleminikullanarak erişimi geri yükleyebilirsiniz.
Not
Azure Machine Learning çalışma alanlarınızın , 15 mayıs 2021 tarihinden önce oluşturulan işlem hedefleri (işlem kümesi, işlem örneği, Azure kubernetes hizmeti vb.) varsa, ek bir Azure Active Directory hesabınız de olabilir. Hesap adı ile başlar Microsoft-AzureML-Support-App- ve her çalışma alanı bölgesi için aboneliğinize katkıda bulunan düzeyinde erişim sağlar.
Çalışma alanınızın eklenmiş bir Azure Kubernetes hizmeti (AKS) yoksa, bu Azure AD hesabını güvenle silebilirsiniz.
Çalışma alanınız ekli AKS kümelerine sahipse ve bu durum 2021 14 Mayıs 'tan önce oluşturulduysa, Bu Azure AD hesabını silmeyin. Bu senaryoda, Azure AD hesabını silebilmeniz için önce AKS kümesini silip yeniden oluşturmanız gerekir.
Kullanıcı tarafından atanan yönetilen kimliği kullanmak için çalışma alanı sağlayabilir ve yönetilen kimliğe ek roller verebilir, örneğin, temel Docker görüntüleri için kendi Azure Container Registry erişim sağlayabilirsiniz. Daha fazla bilgi için bkz. erişim denetimi için Yönetilen kimlikler kullanma.
yönetilen kimlikleri, Azure Machine Learning işlem kümesiyle kullanılmak üzere de yapılandırabilirsiniz. Bu yönetilen kimlik, çalışma alanı yönetilen kimliğinden bağımsızdır. Bir işlem kümesi ile, yönetilen kimlik, eğitim işini çalıştıran kullanıcının erişimi olmayan güvenli veri depoları gibi kaynaklara erişmek için kullanılır. Daha fazla bilgi için bkz. Azure 'da depolama hizmetlerine kimlik tabanlı veri erişimi.
İpucu
Azure Machine Learning içinde Azure AD ve Azure RBAC kullanımı için bazı özel durumlar mevcuttur:
- isteğe bağlı olarak, Azure Machine Learning işlem örneği ve işlem kümesi gibi işlem kaynaklarına SSH erişimini etkinleştirebilirsiniz. SSH erişimi, Azure AD değil ortak/özel anahtar çiftlerini temel alır. SSH erişimi, Azure RBAC tarafından yönetilmez.
- Anahtar veya belirteç tabanlı kimlik doğrulaması kullanarak Web Hizmetleri (çıkarım uç noktaları) olarak dağıtılan modellerle kimlik doğrulaması yapabilirsiniz. Anahtarlar statik dizelerdir, ancak belirteçler bir Azure AD güvenlik nesnesi kullanılarak alınır. Daha fazla bilgi için bkz. Web hizmeti olarak dağıtılan modeller için kimlik doğrulamasını yapılandırma.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Azure Machine Learning çalışma alanı için kimlik doğrulaması
- Azure Machine Learning erişimini Yönet
- depolama hizmetlerine Bağlan
- Eğitim sırasında gizli diziler için Azure Key Vault kullanın
- Azure Machine Learning ile Azure AD yönetilen kimliğini kullanma
- Web hizmetinizdeki Azure AD yönetilen kimliğini kullanın
Ağ güvenliği ve yalıtımı
Azure Machine Learning kaynaklara ağ erişimini kısıtlamak için Azure sanal ağ (VNet)kullanabilirsiniz. VNET 'ler, genel İnternet 'ten kısmen veya tamamen yalıtılmış olan ağ ortamları oluşturmanıza olanak tanır. Bu, çözümünüz için saldırı yüzeyini ve veri kaybı olasılığını azaltır.
Tek tek istemcileri veya kendi ağınızı VNet 'e bağlamak için bir sanal özel ağ (VPN) ağ geçidi kullanabilirsiniz
Azure Machine Learning çalışma alanı, VNet 'in arkasında özel bir uç nokta oluşturmak için Azure özel bağlantısını kullanabilir. Bu, sanal ağ içinden çalışma alanına erişmek için kullanılabilecek özel IP adresleri kümesi sağlar. Azure Machine Learning bağlı olan hizmetlerden bazıları Azure özel bağlantısı 'nı da kullanabilir, ancak bazıları ağ güvenlik gruplarını veya kullanıcı tanımlı yönlendirmeyi kullanır.
Daha fazla bilgi için, aşağıdaki belgelere bakın:
- Sanal ağ yalıtımı ve gizliliği genel bakış
- Güvenli çalışma alanı kaynakları
- Güvenli eğitim ortamı
- Güvenli çıkarım ortamı
- Güvenli bir sanal ağda Studio 'yu kullanma
- Özel DNS kullanma
- Güvenlik duvarını yapılandırma
Veri şifrelemesi
Azure Machine Learning, Azure platformunda çeşitli işlem kaynaklarını ve veri depolarını kullanır. Her birinin, bekleyen ve aktarım sırasında veri şifrelemesini nasıl desteklediğine ilişkin daha fazla bilgi edinmek için bkz. Azure Machine Learning Ile veri şifreleme.
Modelleri Web Hizmetleri olarak dağıttığınızda, Aktarım Katmanı Güvenliği 'ni (TLS) yoldaki verileri şifrelemek için etkinleştirebilirsiniz. Daha fazla bilgi için bkz. güvenli bir Web hizmeti yapılandırma.
Güvenlik açığı taraması
Bulut Için Microsoft Defender , karma bulut iş yükleri arasında Birleşik güvenlik yönetimi ve Gelişmiş tehdit koruması sağlar. Azure Machine Learning için Azure Container Registry kaynağınızın ve Azure Kubernetes hizmet kaynaklarınızın taranmasını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. bulut için Defender tarafından Azure Container Registry görüntü taraması ve bulut Için Defender Ile Azure Kubernetes Hizmetleri Tümleştirmesi.
Uyumluluğu denetleme ve yönetme
Azure ilkesi , Azure kaynaklarının ilkelerinizle uyumlu olduğundan emin olmanızı sağlayan bir idare aracıdır. Azure Machine Learning çalışma alanınızın özel bir uç nokta kullanıp kullanmadığını gibi belirli yapılandırmalara izin vermek veya zorlamak için ilkeler ayarlayabilirsiniz. Azure Ilkesi hakkında daha fazla bilgi için bkz. Azure ilkesi belgeleri. Azure Machine Learning özgü ilkeler hakkında daha fazla bilgi için bkz. Azure ilkesiyle uyumluluğu denetleme ve yönetme.
Sonraki adımlar
- Azure Machine Learning kurumsal güvenlik için en iyi yöntemler
- TLS ile güvenli Azure Machine Learning web hizmetleri
- web hizmeti olarak dağıtılan bir Machine Learning modeli kullanma
- Azure güvenlik duvarı ile Azure Machine Learning kullanma
- Azure sanal ağ ile Azure Machine Learning kullanma
- REST ve iletim sırasında veri şifrelemesi
- Azure 'da gerçek zamanlı bir öneri API 'SI oluşturun