Aanbevelingen voor netwerken voor AI-workloads in Azure
In dit artikel vindt u aanbevelingen voor netwerken voor organisaties die AI-workloads uitvoeren in Azure. Het richt zich op PaaS-oplossingen (Platform-as-a-Service) van Azure AI, waaronder Azure AI Foundry, Azure OpenAI, Azure Machine Learning en Azure AI Services. Het omvat zowel generatieve als niet-generatieve AI-workloads.
Netwerken maken een veilige en efficiënte connectiviteit mogelijk met kritieke AI-resources en vormt een basis voor gegevensintegriteit en privacy. Effectieve netwerkstrategieën beschermen gevoelige AI-workloads tegen onbevoegde toegang en helpen de prestaties te optimaliseren voor training en implementatie van AI-modellen.
Virtuele netwerken configureren
Het configureren van virtuele netwerken verwijst naar het instellen en beheren van privé- en beveiligde netwerkomgevingen voor Azure AI-platforms. Met virtuele netwerken kunnen organisaties AI-workloads isoleren en beveiligde communicatiekanalen maken. De juiste configuratie zorgt ervoor dat alleen geautoriseerde gebruikers en systemen toegang hebben tot kritieke AI-resources en dat de blootstelling aan het openbare internet wordt geminimaliseerd.
| AI-platform | Aanbevelingen voor virtuele netwerken |
|---|---|
| Azure AI Foundry | Configureer het beheerde virtuele netwerk en gebruik privé-eindpunten. Verbind indien nodig het beheerde virtuele netwerk met on-premises resources. |
| Azure OpenAI | Beperk de toegang tot geselecteerde virtuele netwerken of maak gebruik van privé-eindpunten . |
| Azure Machine Learning | Maak een beveiligde werkruimte met een virtueel netwerk. Plannen voor netwerkisolatie. Volg de aanbevolen procedures voor beveiliging voor Azure Machine Learning. |
| Azure AI-services | Beperk de toegang tot virtuele netwerken of gebruik privé-eindpunten. |
Azure AI Foundry en Azure Machine Learning implementeren in door Microsoft beheerde virtuele netwerken en vereiste afhankelijke services implementeren. De beheerde virtuele netwerken maken gebruik van privé-eindpunten voor toegang tot ondersteunende Azure-services, zoals Azure Storage, Azure Key Vault en Azure Container Registry. Gebruik de koppelingen om de netwerkarchitecturen van deze services weer te geven, zodat u uw virtuele netwerk het beste kunt configureren.
Virtuele netwerken beveiligen
Het beveiligen van virtuele netwerken omvat het gebruik van privé-eindpunten, het afdwingen van DNS-zones en het inschakelen van aangepaste DNS-servers om AI-workloads te beveiligen. Deze strategieën beperken de blootstelling van openbare internet en voorkomen onbevoegde toegang. Effectieve netwerkbeveiliging is essentieel voor het beveiligen van gevoelige AI-modellen en het waarborgen van privacynaleving.
Overweeg privé-eindpunten. Er moeten geen PaaS-services of AI-modeleindpunten toegankelijk zijn vanaf het openbare internet. Privé-eindpunten om privéconnectiviteit met Azure-services binnen een virtueel netwerk te bieden. Privé-eindpunten voegen complexiteit toe aan implementaties en bewerkingen, maar het beveiligingsvoordeel weegt vaak op tegen de complexiteit.
Overweeg om privé-eindpunten te maken voor AI-serviceportals. Privé-eindpunten bieden veilige, privétoegang tot PaaS-portals, zoals Azure AI Foundry en Azure Machine Learning StudioF. Privé-eindpunten instellen voor deze globale portals in een virtueel hubnetwerk. Deze configuratie biedt beveiligde toegang tot openbare portalinterfaces rechtstreeks vanaf gebruikersapparaten.
Overweeg het afdwingen van privé-DNS-zones. Privé-DNS zones centraliseren en beveiligen DNS-beheer voor toegang tot PaaS-services binnen uw AI-netwerk. Stel Azure-beleidsregels in die privé-DNS-zones afdwingen en privé-eindpunten vereisen om veilige, interne DNS-oplossingen te garanderen. Als u geen centrale Privé-DNS Zones hebt, werkt het doorsturen via DNS pas als u handmatig voorwaardelijk doorsturen toevoegt. Zie bijvoorbeeld aangepaste DNS- gebruiken met Azure AI Foundry-hubs en Azure Machine Learning-werkruimte.
Schakel aangepaste DNS-servers en privé-eindpunten in voor PaaS-services. Aangepaste DNS-servers beheren PaaS-connectiviteit binnen het netwerk, waarbij openbare DNS wordt overgeslagen. Configureer privé-DNS-zones in Azure om paaS-servicenamen veilig op te lossen en om al het verkeer via privénetwerkkanalen om te leiden.
Connectiviteit beheren
Het beheren van connectiviteit bepaalt hoe AI-resources communiceren met externe systemen. Technieken zoals het gebruik van een jumpbox en het beperken van uitgaand verkeer helpen AI-workloads te beveiligen. Het juiste connectiviteitsbeheer minimaliseert beveiligingsrisico's en zorgt voor soepele, ononderbroken AI-bewerkingen.
Gebruik een jumpbox voor toegang. AI-ontwikkeltoegang moet gebruikmaken van een jumpbox binnen het virtuele netwerk van de workload of via een virtueel connectiviteitshubnetwerk. Gebruik Azure Bastion om veilig verbinding te maken met virtuele machines die communiceren met AI-services. Azure Bastion biedt beveiligde RDP-/SSH-connectiviteit zonder vm's beschikbaar te maken voor het openbare internet. Schakel Azure Bastion in om versleutelde sessiegegevens te garanderen en toegang te beveiligen via RDP-/SSH-verbindingen op basis van TLS.
Beperk uitgaand verkeer van uw AI-resources. Door uitgaand verkeer van uw AI-modeleindpunten te beperken, kunt u gevoelige gegevens beveiligen en de integriteit van uw AI-modellen behouden. Voor het minimaliseren van gegevensexfiltratierisico's beperkt u uitgaand verkeer tot goedgekeurde services of FQDN's (Fully Qualified Domain Names) en onderhoudt u een lijst met vertrouwde bronnen. U moet alleen onbeperkt uitgaand internetverkeer toestaan als u toegang nodig hebt tot openbare machine learning-resources, maar uw systemen regelmatig bewaakt en bijwerkt. Zie Azure AI-services, Azure AI Foundryen Azure Machine Learning voor meer informatie.
Overweeg een generatieve AI-gateway. Overweeg het gebruik van Azure API Management (APIM) als een generatieve AI-gateway binnen uw virtuele netwerken. Een generatieve AI-gateway bevindt zich tussen uw front-end en de AI-eindpunten. Application Gateway, WAF-beleid en APIM binnen het virtuele netwerk is een gevestigde architectuur in generatieve AI-oplossingen. Zie de AI Hub-architectuur en het Azure API Management-exemplaar implementeren in meerdere Azure-regio's voor meer informatie.
HTTPS gebruiken voor internet-naar-Azure-connectiviteit. Beveiligde verbindingen met behulp van TLS-protocollen helpen gegevensintegriteit en vertrouwelijkheid te beschermen voor AI-workloads die verbinding maken via internet. Implementeer HTTPS via Azure-toepassing Gateway of Azure Front Door. Beide services bieden versleutelde, beveiligde tunnels voor verbindingen die afkomstig zijn van internet.