Recommandations de mise en réseau pour les charges de travail d’IA sur Azure
Cet article propose des recommandations de mise en réseau pour les organisations exécutant des charges de travail d’IA sur Azure. Il se concentre sur les solutions de plateforme en tant que service (PaaS) Azure AI, y compris Azure AI Studio, Azure OpenAI, Azure Machine Learning, et Azure AI Services. Il couvre à la fois les charges de travail d’IA générative et non générative.
La mise en réseau permet une connectivité sécurisée et efficace aux ressources critiques d’IA et constitue une base pour l’intégrité et la confidentialité des données. Des stratégies de mise en réseau efficaces protègent les charges de travail d’IA sensibles contre les accès non autorisés et contribuent à optimiser les performances pour l’entraînement et le déploiement des modèles d’IA.
Configurer des réseaux virtuels
Configurer des réseaux virtuels fait référence à l’établissement et à la gestion d’environnements de mise en réseau privés et sécurisés pour les plateformes Azure AI. Les réseaux virtuels permettent aux organisations d’isoler les charges de travail d’IA et de créer des canaux de communication sécurisés. Une configuration appropriée garantit que seuls les utilisateurs et systèmes autorisés peuvent accéder aux ressources critiques d’IA, tout en minimisant l’exposition à Internet public.
| Plateforme Intelligence artificielle | Recommandations pour les réseaux virtuels |
|---|---|
| Azure AI Studio | Configurez le réseau géré et utilisez des points de terminaison privés. |
| Azure OpenAI | Restreignez l’accès à des réseaux virtuels sélectionnés ou utilisez des points de terminaison privés. |
| Azure Machine Learning | Créez un espace de travail sécurisé avec un réseau virtuel. Planifier l’isolement réseau Suivez les bonnes pratiques de sécurité pour Azure Machine Learning. |
| Azure AI services | Restreignez l’accès à des réseaux virtuels sélectionnés ou utilisez des points de terminaison privés. |
Azure AI Studio et Azure Machine Learning se déploient dans des réseaux virtuels gérés par Microsoft et déploient les services dépendants requis. Les réseaux virtuels gérés utilisent des points de terminaison privés pour accéder aux services Azure de support tels qu’Azure Storage, Azure Key Vault et Azure Container Registry. Utilisez les liens pour consulter les architectures réseau de ces services afin de mieux configurer votre réseau virtuel.
Sécuriser les réseaux virtuels
Sécuriser les réseaux virtuels implique d’utiliser des points de terminaison privés, d’appliquer des zones DNS et d’activer des serveurs DNS personnalisés pour protéger les charges de travail d’IA. Ces stratégies limitent l’exposition à Internet public et empêchent l’accès non autorisé. Une sécurité réseau efficace est essentielle pour protéger les modèles d’IA sensibles et garantir la conformité en matière de confidentialité.
Envisagez les points de terminaison privés. Aucun service PaaS ou point de terminaison de modèle d’IA ne doit être accessible depuis Internet public. Des points de terminaison privés pour fournir une connectivité privée aux services Azure au sein d’un réseau virtuel. Les points de terminaison privés ajoutent de la complexité aux déploiements et aux opérations, mais le bénéfice en matière de sécurité l’emporte souvent sur cette complexité.
Envisagez de créer des points de terminaison privés pour les portails de services d’IA. Les points de terminaison privés offrent un accès sécurisé et privé aux portails PaaS comme Azure AI Studio et Azure Machine Learning Studio. Configurez des points de terminaison privés pour ces portails globaux dans un réseau virtuel central. Cette configuration offre un accès sécurisé aux interfaces de portail accessibles au public directement depuis les appareils des utilisateurs.
Envisagez d’appliquer des zones DNS privées. Les zones DNS privées centralisent et sécurisent la gestion DNS pour accéder aux services PaaS au sein de votre réseau d’IA. Mettez en place des politiques Azure qui appliquent des zones DNS privées et exigent des points de terminaison privés pour garantir des résolutions DNS internes sécurisées. Si vous n’avez pas de zones DNS privées centralisées, le transfert DNS ne fonctionne pas tant que vous n’avez pas ajouté manuellement le transfert conditionnel. Par exemple, consultez l’utilisation de DNS personnalisés avec les hubs Azure AI Studio et l’espace de travail Azure Machine Learning.
Activez des serveurs DNS personnalisés et des points de terminaison privés pour les services PaaS. Les serveurs DNS personnalisés gèrent la connectivité PaaS au sein du réseau, contournant le DNS public. Configurez des zones DNS privées dans Azure pour résoudre les noms de services PaaS en toute sécurité et acheminer tout le trafic par des canaux de mise en réseau privés.
Gérer la connectivité
Gérer la connectivité contrôle comment les ressources d’IA interagissent avec les systèmes externes. Des techniques comme l’utilisation d’une jump box et la limitation du trafic sortant aident à protéger les charges de travail d’IA. Une bonne gestion de la connectivité minimise les risques de sécurité et garantit des opérations d’IA fluides et ininterrompues.
Utilisez une jump box pour l’accès. L’accès au développement de l’IA doit utiliser une jump box au sein du réseau virtuel de la charge de travail ou via un réseau virtuel de connectivité central. Utilisez Azure Bastion pour vous connecter de manière sécurisée aux machines virtuelles interagissant avec les services d’IA. Azure Bastion fournit une connectivité RDP/SSH sécurisée sans exposer les VM à Internet public. Activez Azure Bastion pour garantir que les données de session sont chiffrées et protéger l’accès via des connexions RDP/SSH basées sur TLS.
Limitez le trafic sortant de vos ressources d’IA. Limiter le trafic sortant de vos points de terminaison de modèle d’IA aide à protéger les données sensibles et à maintenir l’intégrité de vos modèles d’IA. Pour minimiser les risques d’exfiltration de données, restreignez le trafic sortant aux services approuvés ou aux noms de domaine pleinement qualifiés (FQDN) et maintenez une liste de sources de confiance. Vous ne devez autoriser un trafic sortant Internet non restreint que si vous avez besoin d’accéder à des ressources d’apprentissage automatique publiques, mais surveillez et mettez régulièrement à jour vos systèmes. Pour plus d’informations, consultez les services Azure AI, Azure AI Studio et Azure Machine Learning.
Envisagez un portail d’IA génératif. Envisagez d’utiliser Azure API Management (APIM) comme passerelle d’IA générative au sein de vos réseaux virtuels. Une passerelle d’IA générative se situe entre votre interface frontale et les points de terminaison d’IA. Application Gateway, les politiques WAF et APIM au sein du réseau virtuel constituent une architecture établie dans les solutions d’IA générative. Pour plus d’informations, consultez l’architecture AI Hub et Déployer une instance Azure API Management dans plusieurs régions Azure.
Utilisez HTTPS pour la connectivité Internet à Azure. Des connexions sécurisées utilisant des protocoles TLS aident à protéger l’intégrité et la confidentialité des données pour les charges de travail d’IA se connectant depuis Internet. Mettez en œuvre HTTPS via Azure Application Gateway ou Azure Front Door. Ces deux services fournissent des tunnels sécurisés et chiffrés pour les connexions d’origine Internet.