Správa ohrožení zabezpečení pro Azure AI Foundry
Důležité
Položky označené (Preview) v tomto článku jsou aktuálně ve verzi Public Preview. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Správa ohrožení zabezpečení zahrnuje detekci, posouzení, zmírnění a generování sestav o všech ohroženích zabezpečení, která existují v systémech a softwaru organizace. Správa ohrožení zabezpečení je sdílená odpovědnost mezi vámi a Microsoftem.
Tento článek popisuje tyto odpovědnosti a popisuje správa ohrožení zabezpečení ovládací prvky, které poskytuje Azure AI Foundry. Naučíte se udržovat instanci služby a aplikace v aktualizovaném stavu s nejnovějšími aktualizacemi zabezpečení a jak minimalizovat okno příležitosti pro útočníky.
Image virtuálních počítačů spravovaných Microsoftem
Microsoft spravuje image hostitelského virtuálního počítače s operačním systémem pro výpočetní instance a bezserverové výpočetní clustery. Frekvence aktualizací je měsíční a obsahuje následující podrobnosti:
Pro každou novou verzi image virtuálního počítače jsou nejnovější aktualizace zdrojové od původního vydavatele operačního systému. Použití nejnovějších aktualizací pomáhá zajistit, abyste získali všechny příslušné opravy související s operačním systémem. Pro Azure AI Foundry je vydavatel kanonický pro všechny image Ubuntu.
Image virtuálních počítačů se aktualizují každý měsíc.
Kromě oprav, které původní vydavatel používá, aktualizuje systémové balíčky Společnosti Microsoft, pokud jsou k dispozici aktualizace.
Microsoft kontroluje a ověřuje všechny balíčky strojového učení, které by mohly vyžadovat upgrade. Ve většině případů obsahují nové image virtuálních počítačů nejnovější verze balíčků.
Všechny image virtuálních počítačů jsou založené na zabezpečených předplatných, která pravidelně spouštějí kontrolu ohrožení zabezpečení. Microsoft označí všechna nesnadná ohrožení zabezpečení a opraví je v příští verzi.
Frekvence je měsíční interval pro většinu obrázků. U výpočetních instancí je verze image v souladu s tempem vydávání verzí sady Azure Machine Learning SDK, která je předinstalovaná v prostředí.
Kromě pravidelného tempa vydávání verzí microsoft použije opravy hotfix, pokud se zobrazí ohrožení zabezpečení. Microsoft zavede opravy hotfix do 72 hodin pro výpočetní clustery bez serveru a do týdne pro výpočetní instance.
Poznámka:
Hostitelský operační systém není verzí operačního systému, kterou byste mohli zadat pro prostředí při trénování nebo nasazení modelu. Prostředí běží uvnitř Dockeru. Docker běží na hostitelském operačním systému.
Image kontejnerů spravovaných Microsoftem
Základní image Dockeru, které Microsoft udržuje pro Azure AI Foundry, často získávají opravy zabezpečení, které řeší nově zjištěná ohrožení zabezpečení.
Microsoft vydává aktualizace podporovaných imagí každých dva týdny, aby se vyřešila ohrožení zabezpečení. Naším cílem je mít v nejnovější verzi podporovaných imagí chyby zabezpečení starší než 30 dnů.
Opravené image se vydávají pod novou neměnnou značkou a aktualizovanou :latest značkou. Použití značky :latest nebo připnutí ke konkrétní verzi image může být kompromisem mezi reprodukovatelností zabezpečení a prostředí pro vaši úlohu strojového učení.
Správa prostředí a imagí kontejnerů
Na portálu Azure AI Foundry se image Dockeru používají k poskytování prostředí runtime pro nasazení toku výzvy. Image jsou vytvořené ze základní image, kterou poskytuje Azure AI Foundry.
I když microsoft opravuje základní image s každou verzí, může být kompromis mezi reprodukovatelností a správa ohrožení zabezpečení. Je vaší zodpovědností zvolit verzi prostředí, kterou používáte pro vaše úlohy nebo nasazení modelu.
Ve výchozím nastavení jsou závislosti vrstvené nad základními imagemi při vytváření image. Po instalaci dalších závislostí nad imagemi poskytovanými Microsoftem se správa ohrožení zabezpečení stane vaší zodpovědností.
Přidružená k vašemu centru Azure AI Foundry je instance služby Azure Container Registry, která funguje jako mezipaměť pro image kontejnerů. Všechny image, které materializuje, se nasdílí do registru kontejneru. Pracovní prostor ho použije při aktivaci nasazení pro odpovídající prostředí.
Centrum neodstraní žádnou image z registru kontejneru. Zodpovídáte za vyhodnocení potřeby obrázku v průběhu času. Pokud chcete monitorovat a udržovat hygienu prostředí, můžete pomocí programu Microsoft Defender for Container Registry vyhledat ohrožení zabezpečení vašich imagí. Pokud chcete automatizovat procesy na základě triggerů z Programu Microsoft Defender, přečtěte si téma Automatizace odpovědí na nápravu.
Správa ohrožení zabezpečení na hostitelích výpočetních prostředků
Spravované výpočetní uzly na portálu Azure AI Foundry používají image virtuálních počítačů spravovaných Microsoftem s operačním systémem. Když zřídíte uzel, natáhne se nejnovější aktualizovaná image virtuálního počítače. Toto chování platí pro výpočetní instanci, bezserverový výpočetní cluster a možnosti spravovaného odvozování výpočetních prostředků.
I když se image virtuálních počítačů s operačním systémem pravidelně opravují, Microsoft aktivně nekontroluje chyby zabezpečení výpočetních uzlů během jejich používání. Pro další vrstvu ochrany zvažte izolaci sítě vašich výpočetních prostředků.
Ujistěte se, že je vaše prostředí aktuální a že výpočetní uzly používají nejnovější verzi operačního systému, je sdílená odpovědnost mezi vámi a Microsoftem. Uzly, které nejsou nečinné, nejde aktualizovat na nejnovější image virtuálního počítače. Aspekty jednotlivých typů výpočetních prostředků se mírně liší, jak je uvedeno v následujících částech.
Výpočetní instance
Výpočetní instance při zřízení obdrží nejnovější image virtuálních počítačů. Microsoft každý měsíc vydává nové image virtuálních počítačů. Po nasazení výpočetní instance se aktivně neaktualizuje. Pokud chcete udržovat aktuální informace o nejnovějších aktualizacích softwaru a opravách zabezpečení, můžete použít jednu z těchto metod:
Znovu vytvořte výpočetní instanci, abyste získali nejnovější image operačního systému (doporučeno).
Pokud použijete tuto metodu, ztratíte data a vlastní nastavení (například nainstalované balíčky), které jsou uložené na operačním systému a dočasných discích instance.
Další informace o vydaných verzích imagí najdete v poznámkách k verzi image výpočetní instance služby Azure Machine Learning.
Pravidelně aktualizujte balíčky operačního systému a Pythonu.
Pomocí nástrojů pro správu balíčků pro Linux aktualizujte seznam balíčků nejnovějšími verzemi:
sudo apt-get updatePomocí nástrojů pro správu balíčků pro Linux upgradujte balíčky na nejnovější verze. Při použití tohoto přístupu může dojít ke konfliktům balíčků.
sudo apt-get upgradePomocí nástrojů pro správu balíčků Pythonu upgradujte balíčky a zkontrolujte aktualizace:
pip list --outdated
Na výpočetní instanci můžete nainstalovat a spustit další skenovací software, abyste mohli vyhledat problémy se zabezpečením:
- Pomocí trivy můžete zjistit ohrožení zabezpečení na úrovni balíčku operačního systému a Pythonu.
- Ke zjištění malwaru použijte ClamAV . Je předinstalovaný na výpočetních instancích.
Instalace agenta Microsoft Defenderu pro servery se v současné době nepodporuje.
Koncové body
Koncové body automaticky přijímají aktualizace imagí hostitele operačního systému, které zahrnují opravy ohrožení zabezpečení. Frekvence aktualizací obrázků je alespoň jednou za měsíc.
Výpočetní uzly se při vydání této verze automaticky upgradují na nejnovější verzi image virtuálního počítače. Nemusíte nic dělat.