Recommandations de sécurité pour les charges de travail d’IA sur l’infrastructure Azure (IaaS)
Cet article fournit des recommandations de sécurité pour les organisations exécutant des charges de travail d’IA sur l’infrastructure Azure (IaaS). La sécurité de l’IA sur l’infrastructure Azure implique la protection des données, des ressources de calcul et des ressources réseau qui soutiennent les charges de travail d’IA. Sécuriser ces composants garantit que les informations sensibles restent protégées, minimise l’exposition aux menaces potentielles et assure un environnement opérationnel stable pour les modèles et applications d’IA.
Sécuriser les services Azure
La sécurité des services Azure nécessite de configurer chaque service Azure utilisé dans une architecture IA pour répondre aux normes et référentiels de sécurité spécifiques. Pour appliquer des configurations sécurisées aux services Azure, utilisez les référentiels de sécurité Azure pour chaque service dans votre architecture. Les services Azure couramment utilisés dans les charges de travail d’IA sur l’infrastructure Azure incluent : machines virtuelles Windows, machines virtuelles Linux, Azure CycleCloud et Key Vault.
Sécuriser les réseaux
Sécuriser les réseaux implique la mise en place de points de terminaison privés, de groupes de sécurité réseau (NSG) et de pare-feu pour gérer et contrôler le flux de données au sein d’Azure. Cette étape limite l’exposition aux menaces externes et protège les données sensibles lors de leur circulation entre les services au sein de l’infrastructure Azure.
Utiliser des points de terminaison privés. Utilisez des points de terminaison privés disponibles dans Azure Private Link pour toute solution PaaS dans votre architecture, comme votre stockage ou système de fichiers.
Utilisez des connexions de réseau virtuel chiffrées pour la connectivité entre services Azure. Les connexions chiffrées entre machines virtuelles ou groupes de machines virtuelles dans des réseaux virtuels identiques ou appairés empêchent l’accès non autorisé et l’espionnage. Établissez ces connexions sécurisées en configurant les options de chiffrement dans le réseau virtuel Azure pour la communication entre machines virtuelles.
Implémentez des groupes de sécurité réseau (NSG). Les NSG peuvent être complexes. Assurez-vous de bien comprendre les règles NSG et leurs implications lors de la configuration de votre infrastructure Azure pour les charges de travail IA.
Utilisez les groupes de sécurité d’application. Si vous devez étiqueter le trafic avec une granularité plus fine que celle fournie par les réseaux virtuels, envisagez d’utiliser les groupes de sécurité d’application.
Comprenez les règles de priorisation des NSG. Les règles NSG ont un ordre de priorité. Comprenez cet ordre pour éviter les conflits et garantir le bon fonctionnement de vos charges de travail IA.
Utilisez un pare-feu réseau. Si vous utilisez une topologie hub-spoke, déployez un pare-feu réseau pour inspecter et filtrer le trafic réseau entre les spokes.
Fermez les ports inutilisés. Limitez l’exposition à Internet en exposant uniquement les services destinés aux cas d’usage externe et en utilisant la connectivité privée pour les autres services.
Sécuriser les données
Sécuriser les données inclut le chiffrement des données au repos et en transit, ainsi que la protection des informations sensibles telles que les clés et mots de passe. Ces mesures garantissent que les données restent privées et inaccessibles aux utilisateurs non autorisés, réduisant ainsi le risque de violation de données et d’accès non autorisé à des informations sensibles.
Chiffrez les données : Chiffrez les données au repos et en transit en utilisant des technologies de chiffrement robustes entre chaque service de l’architecture.
Protégez les secrets : Protégez les secrets en les stockant dans un coffre de clés ou un module de sécurité matériel et en les renouvelant régulièrement.
Accès sécurisé
Sécuriser l’accès signifie configurer des mécanismes d’authentification et de contrôle d’accès pour imposer des permissions strictes et vérifier les identités des utilisateurs. En restreignant l’accès selon des rôles, des politiques et une authentification multifactorielle, les organisations peuvent limiter l’exposition aux accès non autorisés et protéger les ressources IA critiques.
Configurez l’authentification : Activez l’authentification multifactorielle (MFA) et privilégiez des comptes administratifs secondaires ou un accès temporaire pour les comptes sensibles. Limitez l’accès au plan de contrôle en utilisant des services comme Azure Bastion comme points d’entrée sécurisés dans les réseaux privés.
Utilisez les politiques d’accès conditionnel. Exigez la MFA pour accéder aux ressources IA critiques pour renforcer la sécurité. Restreignez l’accès à l’infrastructure IA en fonction des emplacements géographiques ou des plages d’IP de confiance. Assurez-vous que seuls les appareils conformes (ceux qui répondent aux exigences de sécurité) peuvent accéder aux ressources IA. Implémentez des politiques d’accès conditionnel basées sur le risque qui répondent à une activité de connexion inhabituelle ou suspecte. Utilisez des signaux comme l’emplacement de l’utilisateur, l’état de l’appareil et le comportement de connexion pour déclencher des étapes de vérification supplémentaires.
Configurez un accès de moindre privilège. Configurez un accès de moindre privilège en implémentant le contrôle d’accès basé sur les rôles (RBAC) pour fournir un accès minimal aux données et aux services. Attribuez des rôles aux utilisateurs et aux groupes en fonction de leurs responsabilités. Utilisez Azure RBAC pour affiner le contrôle d’accès pour des ressources spécifiques telles que les machines virtuelles et les comptes de stockage. Assurez-vous que les utilisateurs n’ont que le niveau minimal d’accès nécessaire pour accomplir leurs tâches. Révisez et ajustez régulièrement les permissions pour éviter l’accumulation de privilèges.
Préparation à la réponse aux incidents
La préparation à la réponse aux incidents implique la collecte de journaux et leur intégration dans un système de gestion des informations et des événements de sécurité (SIEM). Cette approche proactive permet aux organisations de détecter et de répondre rapidement aux incidents de sécurité, réduisant ainsi les dommages potentiels et minimisant les interruptions pour les systèmes IA.
Sécuriser les systèmes d’exploitation
Sécuriser les systèmes d’exploitation nécessite de maintenir les machines virtuelles et les images de conteneur à jour avec les derniers correctifs et de faire fonctionner un logiciel anti-malware. Ces pratiques protègent l’infrastructure IA contre les vulnérabilités, les logiciels malveillants et d’autres menaces de sécurité. Elles aident à maintenir un environnement sûr et fiable pour les opérations IA.
Corrigez les machines virtuelles invitées. Appliquez régulièrement les correctifs aux machines virtuelles et aux images de conteneur. Envisagez d’activer la mise à jour automatique des invités pour vos machines virtuelles et groupes de machines virtuelles.
Utilisez un anti-malware. Utilisez Microsoft Antimalware pour Azure sur vos machines virtuelles pour les protéger contre les fichiers malveillants, les adwares et autres menaces.