Aanbevelingen voor beveiliging voor AI-workloads in Azure-infrastructuur (IaaS)
Dit artikel bevat aanbevelingen voor beveiliging voor organisaties die AI-workloads uitvoeren op Azure-infrastructuur (IaaS). Beveiliging voor AI in de Azure-infrastructuur omvat het beveiligen van gegevens, reken- en netwerkresources die AI-workloads ondersteunen. Het beveiligen van deze onderdelen zorgt ervoor dat gevoelige informatie veilig blijft, de blootstelling aan potentiële bedreigingen minimaliseert en zorgt voor een stabiele operationele omgeving voor AI-modellen en -toepassingen.
Azure-services beveiligen
Azure-servicebeveiliging vereist het configureren van elke Azure-service die wordt gebruikt in een AI-architectuur om te voldoen aan specifieke beveiligingsstandaarden en benchmarks. Als u beveiligde configuraties wilt toepassen op Azure-services, gebruikt u de Azure-beveiligingsbasislijnen voor elke service in uw architectuur. Algemene Azure-services in AI-workloads in de Azure-infrastructuur zijn onder andere: Virtuele Windows-machines, virtuele Linux-machines, Azure CycleCloud en Key Vault.
Beveiligde netwerken
Het beveiligen van netwerken omvat het instellen van privé-eindpunten, netwerkbeveiligingsgroepen (NSG's) en firewalls voor het beheren en beheren van gegevensstromen in Azure. Met deze stap wordt de blootstelling aan externe bedreigingen beperkt en worden gevoelige gegevens beschermd wanneer deze worden verplaatst tussen services binnen de Azure-infrastructuur.
Gebruik privé-eindpunten. Gebruik privé-eindpunten die beschikbaar zijn in Azure Private Link voor elke PaaS-oplossing in uw architectuur, zoals uw opslag of bestandssysteem.
Gebruik versleutelde virtuele netwerkverbindingen voor Azure-naar-Azure-connectiviteit. Versleutelde verbindingen tussen virtuele machines of virtuele-machineschaalsets in dezelfde of gekoppelde virtuele netwerken verhinderen onbevoegde toegang en afluisteren. Maak deze beveiligde verbindingen door versleutelingsopties in Azure Virtual Network te configureren voor communicatie met virtuele machines.
Netwerkbeveiligingsgroepen (NSG's) implementeren. NSG's kunnen complex zijn. Zorg ervoor dat u duidelijk inzicht hebt in de NSG-regels en de gevolgen ervan bij het instellen van uw Azure-infrastructuur voor AI-workloads.
Gebruik toepassingsbeveiligingsgroepen. Als u verkeer met een grotere granulariteit wilt labelen dan wat virtuele netwerken bieden, kunt u overwegen om toepassingsbeveiligingsgroepen te gebruiken.
Informatie over NSG-prioriteitsregels. NSG-regels hebben een prioriteitsvolgorde. Begrijp deze volgorde om conflicten te voorkomen en ervoor te zorgen dat uw AI-workloads soepel worden uitgevoerd.
Gebruik een netwerkfirewall. Als u een stertopologie gebruikt, implementeert u een netwerkfirewall om netwerkverkeer tussen de spokes te controleren en te filteren.
Sluit ongebruikte poorten. Beperk de blootstelling aan internet door alleen services beschikbaar te stellen die zijn bedoeld voor externe gebruikssituaties en het gebruik van privéconnectiviteit voor andere services.
Beveiligde gegevens
Het beveiligen van gegevens omvat het versleutelen van data-at-rest en in transit, samen met het beveiligen van gevoelige informatie, zoals sleutels en wachtwoorden. Deze maatregelen zorgen ervoor dat gegevens privé blijven en niet toegankelijk blijven voor onbevoegde gebruikers, waardoor het risico op gegevensschendingen en onbevoegde toegang tot gevoelige informatie wordt beperkt.
Gegevens versleutelen: Versleutel data-at-rest en in transit met behulp van sterke versleutelingstechnologieën tussen elke service in de architectuur.
Geheimen beveiligen: bescherm geheimen door ze op te slaan in een sleutelkluis of een hardwarebeveiligingsmodule en ze regelmatig te roteren.
Beveiligde toegang
Het beveiligen van de toegang betekent het configureren van verificatie- en toegangsbeheermechanismen om strikte toegangsmachtigingen af te dwingen en gebruikersidentiteiten te verifiëren. Door de toegang te beperken op basis van rollen, beleid en meervoudige verificatie, kunnen organisaties de blootstelling aan onbevoegde toegang beperken en kritieke AI-resources beveiligen.
Verificatie configureren: Meervoudige verificatie (MFA) inschakelen en de voorkeur geven aan secundaire beheerdersaccounts of Just-In-Time-toegang voor gevoelige accounts. Beperk de toegang tot het besturingsvlak met behulp van services zoals Azure Bastion als beveiligde toegangspunten in privénetwerken.
Beleid voor voorwaardelijke toegang gebruiken. MFA vereisen voor toegang tot kritieke AI-resources om de beveiliging te verbeteren. Beperk de toegang tot AI-infrastructuur op basis van geografische locaties of vertrouwde IP-bereiken. Zorg ervoor dat alleen compatibele apparaten (die voldoen aan beveiligingsvereisten) toegang hebben tot AI-resources. Implementeer beleid voor voorwaardelijke toegang op basis van risico's dat reageert op ongebruikelijke aanmeldingsactiviteiten of verdacht gedrag. Gebruik signalen zoals gebruikerslocatie, apparaatstatus en aanmeldingsgedrag om extra verificatiestappen te activeren.
Configureer toegang tot minimale bevoegdheden. Configureer minimale toegangsrechten door op rollen gebaseerd toegangsbeheer (RBAC) te implementeren om minimale toegang tot gegevens en services te bieden. Rollen toewijzen aan gebruikers en groepen op basis van hun verantwoordelijkheden. Gebruik Azure RBAC om toegangsbeheer af te stemmen voor specifieke resources, zoals virtuele machines en opslagaccounts. Zorg ervoor dat gebruikers alleen het minimale toegangsniveau hebben dat nodig is om hun taken uit te voeren. Controleer en pas de machtigingen regelmatig aan om bevoegdheden te voorkomen.
Voorbereiden op reactie op incidenten
Het voorbereiden van incidentrespons omvat het verzamelen van logboeken en het integreren ervan met een SIEM-systeem (Security Information and Event Management). Deze proactieve aanpak stelt organisaties in staat om snel beveiligingsincidenten te detecteren en erop te reageren, potentiële schade te verminderen en downtime voor AI-systemen te minimaliseren.
Beveiligde besturingssystemen
Voor het beveiligen van besturingssystemen moeten virtuele machines en containerinstallatiekopieën up-to-date blijven met de nieuwste patches en antimalwaresoftware worden uitgevoerd. Deze procedures beschermen AI-infrastructuur tegen beveiligingsproblemen, malware en andere beveiligingsrisico's. Ze helpen bij het onderhouden van een veilige en betrouwbare omgeving voor AI-bewerkingen.
Patch virtuele-machinegasten. Pas regelmatig patches toe op virtuele machines en containerinstallatiekopieën. Overweeg automatische gastpatching in te schakelen voor uw virtuele machines en schaalsets.
Antimalware gebruiken. Gebruik Microsoft Antimalware voor Azure op uw virtuele machines om ze te beschermen tegen schadelijke bestanden, adware en andere bedreigingen.