Sdílet prostřednictvím

Doporučení zabezpečení pro úlohy AI v infrastruktuře Azure (IaaS)

  • Článek

Tento článek obsahuje doporučení zabezpečení pro organizace, které provozují úlohy AI v infrastruktuře Azure (IaaS). Zabezpečení umělé inteligence v infrastruktuře Azure zahrnuje ochranu dat, výpočetních a síťových prostředků, které podporují úlohy AI. Zabezpečení těchto komponent zajišťuje, že citlivé informace zůstanou v bezpečí, minimalizují vystavení potenciálním hrozbám a zajistí stabilní provozní prostředí pro modely a aplikace umělé inteligence.

Zabezpečení služeb Azure

Zabezpečení služeb Azure vyžaduje konfiguraci každé služby Azure používané v architektuře AI tak, aby splňovaly konkrétní standardy zabezpečení a srovnávací testy. Pokud chcete použít zabezpečené konfigurace pro služby Azure, použijte standardní hodnoty zabezpečení Azure pro každou službu ve vaší architektuře. Mezi běžné služby Azure v infrastruktuře Azure v infrastruktuře Azure patří: virtuální počítače s Windows, virtuální počítače s Linuxem, Azure CycleCloud a Key Vault.

Zabezpečení sítí

Zabezpečení sítí zahrnuje nastavení privátních koncových bodů, skupin zabezpečení sítě (NSG) a bran firewall pro správu a řízení toku dat v Azure. Tento krok omezuje vystavení externím hrozbám a chrání citlivá data při přesouvání mezi službami v rámci infrastruktury Azure.

  • Použijte privátní koncové body. Pro jakékoli řešení PaaS ve vaší architektuře, jako je úložiště nebo systém souborů, použijte privátní koncové body dostupné ve službě Azure Private Link .

  • Použijte šifrovaná připojení virtuální sítě pro Azure k připojení k Azure. Šifrovaná připojení mezi virtuálními počítači nebo škálovacími sadami virtuálních počítačů ve stejných nebo partnerských virtuálních sítích brání neoprávněnému přístupu a odposlouchávání. Vytvořte tato zabezpečená připojení konfigurací možností šifrování ve službě Azure Virtual Network pro komunikaci virtuálních počítačů.

  • Implementace skupin zabezpečení sítě (NSG). Skupiny zabezpečení sítě můžou být složité. Při nastavování infrastruktury Azure pro úlohy AI se ujistěte, že rozumíte pravidlům NSG a jejich důsledkům.

  • Použijte skupiny zabezpečení aplikací. Pokud potřebujete označit provoz s větší členitostí, než jaké virtuální sítě poskytují, zvažte použití skupin zabezpečení aplikací.

  • Seznamte se s pravidly stanovení priority skupiny zabezpečení sítě. Pravidla NSG mají pořadí priority. Porozumíte tomuto pořadí, abyste se vyhnuli konfliktům a zajistili hladký průběh úloh umělé inteligence.

  • Použijte síťovou bránu firewall. Pokud používáte hvězdicovou topologii, nasaďte síťovou bránu firewall pro kontrolu a filtrování síťového provozu mezi paprsky.

  • Zavřete nepoužívané porty. Omezte riziko vystavení internetu zveřejněním pouze služeb určených pro případy externího použití a použitím privátního připojení pro jiné služby.

Zabezpečení dat

Zabezpečení dat zahrnuje šifrování neaktivních uložených a přenášených dat spolu s ochranou citlivých informací, jako jsou klíče a hesla. Tato opatření zajišťují, aby data zůstala soukromá a nepřístupná neoprávněným uživatelům, což snižuje riziko porušení zabezpečení dat a neoprávněného přístupu k citlivým informacím.

  • Šifrování dat: Šifrování neaktivních uložených dat a přenosu pomocí technologií silného šifrování mezi jednotlivými službami v architektuře

  • Ochrana tajných kódů: Chraňte tajné kódy tím, že je uložíte do trezoru klíčů nebo modulu hardwarového zabezpečení a budete je pravidelně obměňovat.

Zabezpečený přístup

Zabezpečení přístupu znamená konfiguraci mechanismů ověřování a řízení přístupu k vynucení striktních přístupových oprávnění a ověření identit uživatelů. Omezením přístupu na základě rolí, zásad a vícefaktorového ověřování můžou organizace omezit vystavení neoprávněnému přístupu a chránit důležité prostředky AI.

  • Konfigurace ověřování: Povolte vícefaktorové ověřování (MFA) a upřednostněte sekundární účty pro správu nebo přístup za běhu pro citlivé účty. Omezte přístup k rovině řízení pomocí služeb, jako je Azure Bastion, jako jsou zabezpečené vstupní body do privátních sítí.

  • Použijte zásady podmíněného přístupu. Pokud chcete zvýšit zabezpečení, vyžadovat vícefaktorové ověřování pro přístup k důležitým prostředkům AI. Omezte přístup k infrastruktuře AI na základě geografických umístění nebo důvěryhodných rozsahů IP adres. Ujistěte se, že přístup k prostředkům AI mají přístup jenom vyhovující zařízení (ty, které splňují požadavky na zabezpečení). Implementujte zásady podmíněného přístupu na základě rizika, které reagují na neobvyklou přihlašovací aktivitu nebo podezřelé chování. Pomocí signálů, jako je umístění uživatele, stav zařízení a chování při přihlašování, aktivujte další kroky ověření.

  • Nakonfigurujte přístup s nejnižšími oprávněními. Nakonfigurujte přístup s nejnižšími oprávněními implementací řízení přístupu na základě role (RBAC), abyste zajistili minimální přístup k datům a službám. Přiřaďte role uživatelům a skupinám na základě jejich zodpovědností. Pomocí Azure RBAC můžete doladit řízení přístupu pro konkrétní prostředky, jako jsou virtuální počítače a účty úložiště. Zajistěte, aby uživatelé měli pouze minimální úroveň přístupu potřebnou k provádění svých úkolů. Pravidelně kontrolujte a upravujte oprávnění, aby se zabránilo plýžení oprávnění.

Příprava na reakci na incidenty

Příprava na reakci na incidenty zahrnuje shromažďování protokolů a jejich integraci se systémem SIEM (Security Information and Event Management). Tento proaktivní přístup organizacím umožňuje rychle zjišťovat bezpečnostní incidenty a reagovat na ně, snižovat potenciální škody a minimalizovat výpadky systémů AI.

Zabezpečení operačních systémů

Zabezpečení operačních systémů vyžaduje udržování virtuálních počítačů a imagí kontejnerů v aktualizovaném stavu s nejnovějšími opravami a spouštěním antimalwarového softwaru. Tyto postupy chrání infrastrukturu AI před ohroženími zabezpečení, malwarem a dalšími bezpečnostními hrozbami. Pomáhají udržovat zabezpečené a spolehlivé prostředí pro operace AI.

  • Opravte hosty virtuálního počítače. Pravidelně aplikujte opravy na virtuální počítače a image kontejnerů. Zvažte povolení automatických oprav hosta pro vaše virtuální počítače a škálovací sady.

  • Použijte antimalware. Pomocí Microsoft Antimalware pro Azure na virtuálních počítačích je můžete chránit před škodlivými soubory, adwarem a dalšími hrozbami.

Další krok

Řízení AI