Azure Machine Learning için kurumsal güvenlik ve idare
Bu makalede, Azure Machine Learning için kullanılabilen güvenlik ve idare özellikleri hakkında bilgi edinacaksınız. Bu özellikler, bir kuruluşun ilkelerine uygun güvenli bir yapılandırma oluşturmak isteyen yöneticiler, DevOps mühendisleri ve MLOps mühendisleri için kullanışlıdır.
Azure Machine Learning ve Azure platformu ile şunları yapabilirsiniz:
- Kullanıcı hesabına veya gruplara göre kaynaklara ve işlemlere erişimi kısıtlayın.
- Gelen ve giden ağ iletişimlerini kısıtlayın.
- Aktarımdaki ve bekleyen verileri şifreleyin.
- Güvenlik açıklarını tarayın.
- Yapılandırma ilkelerini uygulama ve denetleme.
Kaynaklara ve işlemlere erişimi kısıtlama
Microsoft Entra Id , Azure Machine Learning için kimlik hizmeti sağlayıcısıdır. Azure kaynaklarında kimlik doğrulaması yapmak için kullanılan güvenlik nesnelerini (kullanıcı, grup, hizmet sorumlusu ve yönetilen kimlik) oluşturmak ve yönetmek için bunu kullanabilirsiniz. Microsoft Entra Id bunu kullanacak şekilde yapılandırılmışsa çok faktörlü kimlik doğrulaması (MFA) desteklenir.
Microsoft Entra Id'de MFA aracılığıyla Azure Machine Learning için kimlik doğrulama işlemi aşağıdadır:
- İstemci Microsoft Entra Kimliği'nde oturum açar ve bir Azure Resource Manager belirteci alır.
- İstemci, belirteci Azure Resource Manager'a ve Azure Machine Learning'e sunar.
- Azure Machine Learning, kullanıcı işlem hedefine bir Machine Learning hizmet belirteci sağlar (örneğin, Machine Learning işlem kümesi veya sunucusuz işlem). Kullanıcı işlem hedefi, iş tamamlandıktan sonra Machine Learning hizmetine geri çağrı yapmak için bu belirteci kullanır. Kapsam çalışma alanıyla sınırlıdır.
Her çalışma alanı, çalışma alanıyla aynı ada sahip, sistem tarafından atanan ilişkili bir yönetilen kimliğe sahiptir. Bu yönetilen kimlik, çalışma alanının kullandığı kaynaklara güvenli bir şekilde erişmek için kullanılır. İlişkili kaynaklar üzerinde aşağıdaki Azure rol tabanlı erişim denetimi (RBAC) izinlerine sahiptir:
| Kaynak | İzinler |
|---|---|
| Çalışma alanı | Katılımcı |
| Storage account | Depolama Blobu Veri Katılımcısı |
| Key Vault | Tüm anahtarlara, gizli dizilere, sertifikalara erişim |
| Kapsayıcı kayıt defteri | Katılımcı |
| Çalışma alanını içeren kaynak grubu | Katılımcı |
Sistem tarafından atanan yönetilen kimlik, Azure Machine Learning ile diğer Azure kaynakları arasında hizmet içi kimlik doğrulaması için kullanılır. Kullanıcılar kimlik belirtecine erişemez ve bu kaynaklara erişim elde etmek için bu belirteci kullanamaz. Kullanıcılar kaynaklara yalnızca Azure Machine Learning denetimi ve veri düzlemi API'leri aracılığıyla (yeterli RBAC izinleri varsa) erişebilir.
Yöneticilerin, yönetilen kimliğin önceki tabloda belirtilen kaynaklara erişimini iptal etmelerini önermeyiz. Anahtarları yeniden eşitleme işlemini kullanarak erişimi geri yükleyebilirsiniz.
Not
Azure Machine Learning çalışma alanınızda 14 Mayıs 2021'de oluşturulmuş işlem hedefleri (örneğin işlem kümesi, işlem örneği veya Azure Kubernetes Service [AKS] örneği) varsa, ek bir Microsoft Entra hesabınız olabilir. Hesap adı ile Microsoft-AzureML-Support-App- başlar ve her çalışma alanı bölgesi için aboneliğinize katkıda bulunan düzeyinde erişime sahiptir.
Çalışma alanınızda aks örneği yoksa bu Microsoft Entra hesabını güvenle silebilirsiniz.
Çalışma alanınız ekli bir AKS kümesine sahipse ve 14 Mayıs 2021'de oluşturulduysa, bu Microsoft Entra hesabını silmeyin. Bu senaryoda, Microsoft Entra hesabını silmeden önce AKS kümesini silip yeniden oluşturmanız gerekir.
Kullanıcı tarafından atanan yönetilen kimliği kullanmak için çalışma alanını sağlayabilir ve ardından yönetilen kimliğe ek roller vekleyebilirsiniz. Örneğin, temel Docker görüntüleri için kendi Azure Container Registry örneğine erişmek için bir rol vekleyebilirsiniz.
Yönetilen kimlikleri Azure Machine Learning işlem kümesiyle kullanmak üzere de yapılandırabilirsiniz. Bu yönetilen kimlik, çalışma alanı yönetilen kimliğinden bağımsızdır. bir işlem kümesiyle, yönetilen kimlik, eğitim işini çalıştıran kullanıcının erişemeyebilir olduğu güvenli veri depoları gibi kaynaklara erişmek için kullanılır. Daha fazla bilgi için bkz . Erişim denetimi için yönetilen kimlikleri kullanma.
İpucu
Azure Machine Learning'de Microsoft Entra Id ve Azure RBAC kullanımıyla ilgili özel durumlar vardır:
- İsteğe bağlı olarak Azure Machine Learning işlem örneği ve işlem kümesi gibi işlem kaynaklarına Secure Shell (SSH) erişimini etkinleştirebilirsiniz. SSH erişimi, Microsoft Entra Id'yi değil genel/özel anahtar çiftlerini temel alır. Azure RBAC, SSH erişimini yönetmez.
- Anahtar tabanlı veya belirteç tabanlı kimlik doğrulamasını kullanarak çevrimiçi uç nokta olarak dağıtılan modellerde kimlik doğrulaması yapabilirsiniz. Anahtarlar statik dizelerdir, ancak belirteçler bir Microsoft Entra güvenlik nesnesine alınır. Daha fazla bilgi için bkz . Çevrimiçi uç noktalar için istemcilerin kimliğini doğrulama.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Azure Machine Learning kaynakları ve iş akışları için kimlik doğrulamasını ayarlama
- Azure Machine Learning çalışma alanına erişimi yönetme
- Veri depolarını kullanma
- Azure Machine Learning işlerinde kimlik doğrulaması kimlik bilgileri gizli dizilerini kullanma
- Azure Machine Learning ile diğer hizmetler arasında kimlik doğrulamayı ayarlama
Ağ güvenliği ve yalıtımı sağlama
Azure Machine Learning kaynaklarına ağ erişimini kısıtlamak için Azure Machine Learning yönetilen sanal ağını veya Azure Sanal Ağ örneğini kullanabilirsiniz. Sanal ağ kullanmak, çözümünüz için saldırı yüzeyini ve veri sızdırma olasılığını azaltır.
Birini veya diğerini seçmeniz gerekmez. Örneğin, yönetilen işlem kaynaklarının ve yönetilmeyen kaynaklarınız için bir Azure Sanal Ağ örneğinin güvenliğini sağlamaya yardımcı olmak veya çalışma alanına istemci erişiminin güvenliğini sağlamaya yardımcı olmak için Azure Machine Learning yönetilen sanal ağını kullanabilirsiniz.
Azure Machine Learning yönetilen sanal ağı: Çalışma alanınız ve yönetilen işlem kaynaklarınız için ağ yalıtımı sağlayan tam olarak yönetilen bir çözüm sağlar. Diğer Azure hizmetleriyle iletişimin güvenliğini sağlamaya yardımcı olmak için özel uç noktaları kullanabilir ve giden iletişimi kısıtlayabilirsiniz. Aşağıdaki yönetilen işlem kaynaklarının güvenliğini sağlamaya yardımcı olması için yönetilen bir sanal ağ kullanın:
- Sunucusuz işlem (Spark sunucusuz dahil)
- İşlem kümesi
- İşlem örneği
- Yönetilen çevrimiçi uç nokta
- Batch çevrimiçi uç noktası
Daha fazla bilgi için bkz . Çalışma alanı tarafından yönetilen sanal ağ yalıtımı.
Azure Sanal Ağ örneği: Daha özelleştirilebilir bir sanal ağ teklifi sağlar. Ancak, yapılandırma ve yönetim sizin sorumluluğundadır. Giden iletişimi kısıtlamak için ağ güvenlik gruplarını, kullanıcı tanımlı yolları veya güvenlik duvarını kullanmanız gerekebilir.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Sanal ağları kullanarak Azure Machine Learning çalışma alanı kaynaklarının güvenliğini sağlama
- Sanal ağlarla Azure Machine Learning çalışma alanının güvenliğini sağlama
- Sanal ağlarla Azure Machine Learning eğitim ortamının güvenliğini sağlama
- Sanal ağlarla Azure Machine Learning çıkarım ortamının güvenliğini sağlama
- Azure sanal ağında Azure Machine Learning stüdyosu kullanın
- Çalışma alanınızı özel DNS sunucusuyla kullanma
- Gelen ve giden ağ trafiğini yapılandırma
Veri şifreleme
Azure Machine Learning, Azure platformunda çeşitli işlem kaynaklarını ve veri depolarını kullanır. Bu kaynakların her birinin bekleyen ve aktarım sırasında veri şifrelemeyi nasıl desteklediği hakkında daha fazla bilgi edinmek için bkz . Azure Machine Learning ile veri şifreleme.
Veri sızdırmayı önleme
Azure Machine Learning'in çeşitli gelen ve giden ağ bağımlılıkları vardır. Bu bağımlılıklardan bazıları, kuruluşunuzdaki kötü amaçlı aracılar tarafından veri sızdırma riskini ortaya çıkarabilir. Bu riskler Azure Depolama, Azure Front Door ve Azure İzleyici'ye giden gereksinimlerle ilişkilidir. Bu riski azaltmaya yönelik öneriler için bkz . Azure Machine Learning veri sızdırma önleme.
Güvenlik açıklarını tarama
Bulut için Microsoft Defender, hibrit bulut iş yükleri arasında birleşik güvenlik yönetimi ve gelişmiş tehdit koruması sağlar. Azure Machine Learning için Azure Container Registry kaynağınızın ve AKS kaynaklarınızın taranmasını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Kapsayıcı kayıt defterleri için Microsoft Defender'a giriş ve Kubernetes için Microsoft Defender'a giriş.
Uyumluluğu denetleme ve yönetme
Azure İlkesi, Azure kaynaklarının ilkelerinize uygun olduğundan emin olmanıza yardımcı olan bir idare aracıdır. Azure Machine Learning çalışma alanınızın özel uç nokta kullanıp kullanmadığı gibi belirli yapılandırmalara izin vermek veya bunları zorunlu kılmak için ilkeler ayarlayabilirsiniz.
Azure İlkesi hakkında daha fazla bilgi için Azure İlkesi belgelerine bakın. Azure Machine Learning'e özgü ilkeler hakkında daha fazla bilgi için bkz . Azure Machine Learning'i denetleme ve yönetme.