Raccomandazioni sulla rete per i carichi di lavoro di intelligenza artificiale in Azure
Questo articolo offre raccomandazioni di rete per le organizzazioni che eseguono carichi di lavoro di intelligenza artificiale in Azure. Si concentra sulle soluzioni PaaS (Platform-as-a-Service) di Azure AI, tra cui Azure AI Foundry, Azure OpenAI, Azure Machine Learning e Servizi di intelligenza artificiale di Azure. Vengono trattati sia carichi di lavoro generativi che non generici di intelligenza artificiale.
La rete consente la connettività sicura ed efficiente alle risorse di intelligenza artificiale critiche ed è fondamentale per l'integrità e la privacy dei dati. Strategie di rete efficaci proteggono i carichi di lavoro di intelligenza artificiale sensibili dall'accesso non autorizzato e consentono di ottimizzare le prestazioni per il training e la distribuzione del modello di intelligenza artificiale.
Configurare le reti virtuali
La configurazione delle reti virtuali si riferisce alla configurazione e alla gestione di ambienti di rete privati e sicuri per le piattaforme di intelligenza artificiale di Azure. Le reti virtuali consentono alle organizzazioni di isolare i carichi di lavoro di intelligenza artificiale e creare canali di comunicazione sicuri. Una configurazione corretta garantisce che solo gli utenti e i sistemi autorizzati possano accedere alle risorse di intelligenza artificiale critiche e riduce al minimo l'esposizione a Internet pubblico.
| Piattaforma per intelligenza artificiale | Raccomandazioni sulla rete virtuale |
|---|---|
| Azure AI Foundry | Configurare la rete virtuale gestita e usare gli endpoint privati . Se necessario, connettere la rete virtuale gestita alle risorse locali . |
| OpenAI di Azure | Limitare l'accesso a determinate reti virtuali o usare endpoint privati . |
| Azure Machine Learning | Creare un'area di lavoro sicura con una rete virtuale. Pianificare l'isolamento della rete. Seguire le procedure consigliate per la sicurezza per Azure Machine Learning. |
| Servizi di Azure AI | Limitare l'accesso a determinate reti virtuali o utilizzare endpoint privati . |
Azure AI Foundry e Azure Machine Learning distribuiscono su reti virtuali gestite da Microsoft e distribuiscono i servizi dipendenti necessari. Le reti virtuali gestite usano endpoint privati per accedere ai servizi di Azure di supporto, ad esempio Archiviazione di Azure, Azure Key Vault e Registro Azure Container. Usare i collegamenti per visualizzare le architetture di rete di questi servizi in modo da poter configurare meglio la rete virtuale.
Protezione delle reti virtuali
La protezione delle reti virtuali comporta l'uso di endpoint privati, l'applicazione delle zone DNS e l'abilitazione di server DNS personalizzati per proteggere i carichi di lavoro di intelligenza artificiale. Queste strategie limitano l'esposizione a Internet pubblico e impediscono l'accesso non autorizzato. Una sicurezza di rete efficace è essenziale per proteggere i modelli di intelligenza artificiale sensibili e garantire la conformità alla privacy.
Prendere in considerazione gli endpoint privati. Nessun servizio PaaS o endpoint del modello di intelligenza artificiale deve essere accessibile dalla rete Internet pubblica. Endpoint privati per fornire connettività privata ai servizi di Azure all'interno di una rete virtuale. Gli endpoint privati aggiungono complessità alle distribuzioni e alle operazioni, ma il vantaggio di sicurezza spesso supera la complessità.
Prendere in considerazione la creazione di endpoint privati per i portali del servizio di intelligenza artificiale. Gli endpoint privati offrono accesso privato e sicuro ai portali PaaS, ad esempio Azure AI Foundry e Azure Machine Learning StudioF. Configurare gli endpoint privati per questi portali globali in una rete virtuale hub. Questa configurazione consente di accedere in modo sicuro alle interfacce del portale pubblico direttamente dai dispositivi utente.
Valutare la possibilità di applicare zone DNS private. DNS privato zone centralizzano e proteggono la gestione DNS per l'accesso ai servizi PaaS all'interno della rete di intelligenza artificiale. Configurare i criteri di Azure che applicano zone DNS private e richiedono endpoint privati per garantire risoluzioni DNS interne sicure. Se non si dispone di zone di DNS privato centrali, l'inoltro DNS non funziona finché non si aggiunge manualmente l'inoltro condizionale. Ad esempio, vedere usando DNS personalizzati con gli hub di Azure AI Foundry e l'area di lavoro di Azure Machine Learning.
Abilitare server DNS personalizzati ed endpoint privati per i servizi PaaS. I server DNS personalizzati gestiscono la connettività PaaS all'interno della rete, ignorando il DNS pubblico. Configurare zone DNS private in Azure per risolvere i nomi dei servizi PaaS in modo sicuro e instradare tutto il traffico attraverso canali di rete privati.
Gestire la connettività
La gestione della connettività controlla il modo in cui le risorse di intelligenza artificiale interagiscono con i sistemi esterni. Tecniche come l'uso di un jumpbox e la limitazione del traffico in uscita consentono di proteggere i carichi di lavoro di intelligenza artificiale. La gestione corretta della connettività riduce al minimo i rischi per la sicurezza e garantisce operazioni di IA senza interruzioni e senza interruzioni.
Usare un jumpbox per l'accesso. L'accesso allo sviluppo di intelligenza artificiale deve usare un jumpbox all'interno della rete virtuale del carico di lavoro o tramite una rete virtuale dell'hub di connettività. Usare Azure Bastion per connettersi in modo sicuro alle macchine virtuali che interagiscono con i servizi di intelligenza artificiale. Azure Bastion offre connettività RDP/SSH sicura senza esporre le macchine virtuali alla rete Internet pubblica. Abilitare Azure Bastion per garantire i dati di sessione crittografati e proteggere l'accesso tramite connessioni RDP/SSH basate su TLS.
Limitare il traffico in uscita dalle risorse di intelligenza artificiale. La limitazione del traffico in uscita dagli endpoint del modello di intelligenza artificiale consente di proteggere i dati sensibili e mantenere l'integrità dei modelli di intelligenza artificiale. Per ridurre al minimo i rischi di esfiltrazione dei dati, limitare il traffico in uscita ai servizi approvati o ai nomi di dominio completi (FQDN) e mantenere un elenco di origini attendibili. È consigliabile consentire il traffico in uscita internet senza restrizioni solo se è necessario accedere alle risorse di Machine Learning pubbliche, ma monitorare e aggiornare regolarmente i sistemi. Per altre informazioni, vedere servizi di intelligenza artificiale di Azure, Azure AI Foundrye Azure Machine Learning.
Si consideri un gateway di intelligenza artificiale generativo. Prendere in considerazione l'uso di Azure Gestione API (APIM) come gateway di intelligenza artificiale generativo all'interno delle reti virtuali. Un gateway di intelligenza artificiale generativo si trova tra il front-end e gli endpoint di intelligenza artificiale. gateway applicazione, criteri WAF e GESTIONE API all'interno della rete virtuale è un'architettura consolidata nelle soluzioni di intelligenza artificiale generative. Per altre informazioni, vedere Architettura dell'hub di intelligenza artificiale e Distribuire l'istanza di Azure Gestione API in più aree di Azure.
Usare HTTPS per la connettività Internet ad Azure. Le connessioni sicure che usano i protocolli TLS consentono di proteggere l'integrità e la riservatezza dei dati per i carichi di lavoro di intelligenza artificiale che si connettono da Internet. Implementare HTTPS tramite gateway di app Azure lication o Frontdoor di Azure. Entrambi i servizi forniscono tunnel crittografati e sicuri per le connessioni di origine Internet.