Doporučení pro sítě pro úlohy AI v Azure
Tento článek nabízí síťová doporučení pro organizace, které provozují úlohy AI v Azure. Zaměřuje se na řešení Azure AI typu platforma jako služba (PaaS), včetně Služeb Azure AI Foundry, Azure OpenAI, Azure Machine Learning a Azure AI Services. Zahrnuje úlohy generující i negenerativní umělé inteligence.
Sítě umožňují zabezpečené a efektivní připojení k důležitým prostředkům umělé inteligence a jsou základem integrity dat a ochrany osobních údajů. Efektivní síťové strategie chrání citlivé úlohy AI před neoprávněným přístupem a pomáhají optimalizovat výkon pro trénování a nasazení modelu AI.
Konfigurace virtuálních sítí
Konfigurace virtuálních sítí se týká nastavení a správy privátních a zabezpečených síťových prostředí pro platformy Azure AI. Virtuální sítě umožňují organizacím izolovat úlohy umělé inteligence a vytvářet zabezpečené komunikační kanály. Správná konfigurace zajišťuje, že k důležitým prostředkům AI mají přístup jenom autorizovaní uživatelé a systémy a minimalizuje vystavení veřejnému internetu.
| Platforma AI | Doporučení pro virtuální síť |
|---|---|
| Azure AI Foundry | Nakonfigurujte spravované virtuální sítě |
| Azure OpenAI | Omezit přístup k vybraným virtuálním sítím nebo použít privátní koncové body. |
| Azure Machine Learning | Vytvořte zabezpečený pracovní prostor s virtuální sítí. Plánování izolace sítě Postupujte podle osvědčených postupů zabezpečení pro Azure Machine Learning. |
| Služby Azure AI | Omezit přístup k vybraným virtuálním sítím nebo použít privátní koncové body . |
Azure AI Foundry a také Azure Machine Learning jsou nasazovány do virtuálních sítí spravovaných Microsoftem a nasazují požadované závislé služby. Spravované virtuální sítě používají privátní koncové body pro přístup k podpůrným službám Azure, jako je Azure Storage, Azure Key Vault a Azure Container Registry. Pomocí odkazů můžete zobrazit síťové architektury těchto služeb, abyste mohli nejlépe nakonfigurovat virtuální síť.
Zabezpečení virtuálních sítí
Zabezpečení virtuálních sítí zahrnuje použití privátních koncových bodů, vynucování zón DNS a povolení vlastních serverů DNS k ochraně úloh AI. Tyto strategie omezují vystavení veřejného internetu a brání neoprávněnému přístupu. Efektivní zabezpečení sítě je nezbytné pro ochranu citlivých modelů AI a zajištění dodržování předpisů v oblasti ochrany osobních údajů.
Zvažte privátní koncové body. Z veřejného internetu by neměly být přístupné žádné služby PaaS ani koncové body modelu AI. Privátní koncové body pro poskytování privátního připojení ke službám Azure ve virtuální síti. Privátní koncové body přidávají ke složitým nasazením a operacím složitost, ale výhody zabezpečení často převáží nad složitostí.
Zvažte vytvoření privátních koncových bodů pro portály služeb AI. Privátní koncové body poskytují zabezpečený privátní přístup k portálům PaaS, jako jsou Azure AI Foundry a Azure Machine Learning StudioF. Nastavte privátní koncové body pro tyto globální portály ve virtuální síti centra. Tato konfigurace poskytuje zabezpečený přístup k rozhraním veřejného portálu přímo ze zařízení uživatelů.
Zvažte vynucování privátních zón DNS. Privátní DNS zón centralizuje a zabezpečuje správu DNS pro přístup ke službám PaaS v rámci vaší sítě AI. Nastavte zásady Azure, které vynucují privátní zóny DNS a vyžadují privátní koncové body k zajištění zabezpečených interních překladů DNS. Pokud nemáte centrální Privátní DNS zóny, předávání DNS nefunguje, dokud ručně nepřidáte podmíněné předávání. Podívejte se například na s vlastními servery DNS, s využitím center Azure AI Foundry a pracovního prostoru Azure Machine Learning.
Povolte vlastní servery DNS a privátní koncové body pro služby PaaS. Vlastní servery DNS spravují připojení PaaS v síti a obcházejí veřejné DNS. Nakonfigurujte privátní zóny DNS v Azure tak, aby bezpečně přeložily názvy služeb PaaS a směrovali veškerý provoz přes privátní síťové kanály.
Správa připojení
Správa připojení řídí způsob interakce prostředků AI s externími systémy. Techniky, jako je použití jumpboxu a omezení odchozího provozu, pomáhají chránit úlohy AI. Správná správa připojení minimalizuje rizika zabezpečení a zajišťuje bezproblémové a nepřerušované operace umělé inteligence.
Pro přístup použijte jumpbox. Přístup k vývoji umělé inteligence by měl používat jumpbox ve virtuální síti úlohy nebo prostřednictvím virtuální sítě centra připojení. Pomocí služby Azure Bastion se můžete bezpečně připojit k virtuálním počítačům, které pracují se službami AI. Azure Bastion poskytuje zabezpečené připojení RDP/SSH bez vystavení virtuálních počítačů veřejnému internetu. Povolte Azure Bastion, abyste zajistili šifrovaná data relací a chránili přístup prostřednictvím připojení RDP/SSH založených na protokolu TLS.
Omezte odchozí provoz z prostředků umělé inteligence. Omezení odchozího provozu z koncových bodů modelu AI pomáhá chránit citlivá data a udržovat integritu modelů AI. Pokud chcete minimalizovat rizika exfiltrace dat, omezte odchozí provoz na schválené služby nebo plně kvalifikované názvy domén (FQDN) a udržujte seznam důvěryhodných zdrojů. Pokud potřebujete přístup k veřejným prostředkům strojového učení, měli byste povolit jenom neomezený internetový odchozí provoz, ale pravidelně monitorujte a aktualizujte své systémy. Další informace najdete v tématu služby Azure AI, Azure AI Foundrya Azure Machine Learning.
Zvažte generování brány AI. Zvažte použití služby Azure API Management (APIM) jako generující brány AI ve vašich virtuálních sítích. Mezi front-endem a koncovými body AI se nachází generující brána AI. Application Gateway, zásady WAF a APIM v rámci virtuální sítě jsou zavedenou architekturou v řešeních generující AI. Další informace najdete v tématu Architektura AI Hubu a nasazení instance služby Azure API Management do několika oblastí Azure.
Pro připojení k Azure použijte protokol HTTPS. Zabezpečení připojení pomocí protokolů TLS pomáhá chránit integritu dat a důvěrnost pro úlohy AI připojující se z internetu. Implementujte HTTPS prostřednictvím brány Aplikace Azure lication nebo služby Azure Front Door. Obě služby poskytují šifrované zabezpečené tunely pro připojení pocházející z internetu.