Udostępnij za pośrednictwem

Zalecenia dotyczące zabezpieczeń obciążeń sztucznej inteligencji w infrastrukturze platformy Azure (IaaS)

  • Artykuł

Ten artykuł zawiera zalecenia dotyczące zabezpieczeń dla organizacji z obciążeniami sztucznej inteligencji w infrastrukturze platformy Azure (IaaS). Zabezpieczenia sztucznej inteligencji w infrastrukturze platformy Azure obejmują ochronę danych, zasobów obliczeniowych i sieciowych obsługujących obciążenia sztucznej inteligencji. Zabezpieczenie tych składników zapewnia bezpieczeństwo poufnych informacji, minimalizuje narażenie na potencjalne zagrożenia i zapewnia stabilne środowisko operacyjne dla modeli i aplikacji sztucznej inteligencji.

Zabezpieczanie usług platformy Azure

Zabezpieczenia usługi platformy Azure wymagają skonfigurowania każdej usługi platformy Azure używanej w architekturze sztucznej inteligencji w celu spełnienia określonych standardów zabezpieczeń i testów porównawczych. Aby zastosować bezpieczne konfiguracje do usług platformy Azure, użyj punktów odniesienia zabezpieczeń platformy Azure dla każdej usługi w architekturze. Typowe usługi platformy Azure w obciążeniach sztucznej inteligencji w infrastrukturze platformy Azure obejmują maszyny wirtualne z systemem Windows, maszyny wirtualne z systemem Linux, usługę Azure CycleCloud i usługę Key Vault.

Zabezpieczanie sieci

Zabezpieczanie sieci obejmuje konfigurowanie prywatnych punktów końcowych, sieciowych grup zabezpieczeń i zapór w celu zarządzania przepływem danych i kontrolowania go na platformie Azure. Ten krok ogranicza narażenie na zagrożenia zewnętrzne i chroni poufne dane podczas przechodzenia między usługami w ramach infrastruktury platformy Azure.

  • Użyj prywatnych punktów końcowych. Użyj prywatnych punktów końcowych dostępnych w usłudze Azure Private Link dla dowolnego rozwiązania PaaS w architekturze, takiego jak magazyn lub system plików.

  • Użyj zaszyfrowanych połączeń sieci wirtualnych na potrzeby łączności platformy Azure z platformą Azure. Szyfrowane połączenia między maszynami wirtualnymi lub zestawami skalowania maszyn wirtualnych w tych samych lub równorzędnych sieciach wirtualnych uniemożliwiają nieautoryzowany dostęp i podsłuchiwanie. Ustanów te bezpieczne połączenia, konfigurując opcje szyfrowania w usłudze Azure Virtual Network na potrzeby komunikacji maszyn wirtualnych.

  • Zaimplementuj sieciowe grupy zabezpieczeń. Sieciowe grupy zabezpieczeń mogą być złożone. Upewnij się, że masz jasne informacje na temat reguł sieciowej grupy zabezpieczeń i ich implikacji podczas konfigurowania infrastruktury platformy Azure dla obciążeń sztucznej inteligencji.

  • Użyj grup zabezpieczeń aplikacji. Jeśli musisz oznaczyć ruch w większym stopniu szczegółowości niż zapewniane sieci wirtualne, rozważ użycie grup zabezpieczeń aplikacji.

  • Omówienie reguł priorytetyzacji sieciowej grupy zabezpieczeń. Reguły sieciowej grupy zabezpieczeń mają kolejność priorytetu. Zapoznaj się z tą kolejnością, aby uniknąć konfliktów i zapewnić bezproblemowe działanie obciążeń sztucznej inteligencji.

  • Użyj zapory sieciowej. Jeśli używasz topologii piasty i szprych, wdróż zaporę sieciową, aby sprawdzić i filtrować ruch sieciowy między szprychami.

  • Zamknij nieużywane porty. Ogranicz ekspozycję internetową, ujawniając tylko usługi przeznaczone dla przypadków użycia zewnętrznych i korzystając z łączności prywatnej dla innych usług.

Zabezpieczanie danych

Zabezpieczanie danych obejmuje szyfrowanie danych magazynowanych i przesyłanych oraz ochronę poufnych informacji, takich jak klucze i hasła. Te środki zapewniają, że dane pozostają prywatne i niedostępne dla nieautoryzowanych użytkowników, zmniejszając ryzyko naruszenia danych i nieautoryzowany dostęp do poufnych informacji.

  • Szyfruj dane: Szyfruj dane magazynowane i przesyłane przy użyciu technologii silnego szyfrowania między poszczególnymi usługami w architekturze.

  • Ochrona wpisów tajnych: ochrona wpisów tajnych przez przechowywanie ich w magazynie kluczy lub sprzętowym module zabezpieczeń i rutynowe obracanie ich.

Bezpieczny dostęp

Zabezpieczanie dostępu oznacza konfigurowanie mechanizmów uwierzytelniania i kontroli dostępu w celu wymuszania rygorystycznych uprawnień dostępu i weryfikowania tożsamości użytkowników. Ograniczając dostęp na podstawie ról, zasad i uwierzytelniania wieloskładnikowego, organizacje mogą ograniczyć narażenie na nieautoryzowany dostęp i chronić krytyczne zasoby sztucznej inteligencji.

  • Konfigurowanie uwierzytelniania: włącz uwierzytelnianie wieloskładnikowe (MFA) i preferuj pomocnicze konta administracyjne lub dostęp just in time dla poufnych kont. Ogranicz dostęp do płaszczyzny sterowania przy użyciu usług takich jak Azure Bastion jako bezpieczne punkty wejścia do sieci prywatnych.

  • Użyj zasad dostępu warunkowego. Wymagaj uwierzytelniania wieloskładnikowego na potrzeby uzyskiwania dostępu do krytycznych zasobów sztucznej inteligencji w celu zwiększenia bezpieczeństwa. Ogranicz dostęp do infrastruktury sztucznej inteligencji na podstawie lokalizacji geograficznych lub zaufanych zakresów adresów IP. Upewnij się, że tylko zgodne urządzenia (spełniające wymagania dotyczące zabezpieczeń) mogą uzyskiwać dostęp do zasobów sztucznej inteligencji. Zaimplementuj oparte na ryzyku zasady dostępu warunkowego, które reagują na nietypowe działania logowania lub podejrzane zachowanie. Użyj sygnałów, takich jak lokalizacja użytkownika, stan urządzenia i zachowanie logowania, aby wyzwolić dodatkowe kroki weryfikacji.

  • Skonfiguruj dostęp z najmniejszymi uprawnieniami. Skonfiguruj dostęp z najmniejszymi uprawnieniami, implementując kontrolę dostępu opartą na rolach (RBAC), aby zapewnić minimalny dostęp do danych i usług. Przypisz role do użytkowników i grup na podstawie ich obowiązków. Kontrola dostępu oparta na rolach platformy Azure umożliwia dostosowanie kontroli dostępu do określonych zasobów, takich jak maszyny wirtualne i konta magazynu. Upewnij się, że użytkownicy mają tylko minimalny poziom dostępu niezbędny do wykonywania swoich zadań. Regularne przeglądanie i dostosowywanie uprawnień, aby zapobiec pełzaniu uprawnień.

Przygotowanie do reagowania na zdarzenia

Przygotowanie do reagowania na zdarzenia obejmuje zbieranie dzienników i integrowanie ich z systemem zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Takie proaktywne podejście umożliwia organizacjom szybkie wykrywanie zdarzeń zabezpieczeń i reagowanie na nie, zmniejszanie potencjalnych szkód i minimalizowanie przestojów w systemach sztucznej inteligencji.

Bezpieczne systemy operacyjne

Zabezpieczanie systemów operacyjnych wymaga zapewnienia aktualności maszyn wirtualnych i obrazów kontenerów przy użyciu najnowszych poprawek i uruchamiania oprogramowania chroniącego przed złośliwym oprogramowaniem. Te rozwiązania chronią infrastrukturę sztucznej inteligencji przed lukami w zabezpieczeniach, złośliwym oprogramowaniem i innymi zagrożeniami bezpieczeństwa. Pomagają one zachować bezpieczne i niezawodne środowisko dla operacji sztucznej inteligencji.

  • Poprawianie gości maszyny wirtualnej. Regularne stosowanie poprawek do maszyn wirtualnych i obrazów kontenerów. Rozważ włączenie automatycznego stosowania poprawek gościa dla maszyn wirtualnych i zestawów skalowania.

  • Użyj oprogramowania chroniącego przed złośliwym kodem. Użyj programu Microsoft Antimalware dla platformy Azure na maszynach wirtualnych, aby chronić je przed złośliwymi plikami, oprogramowaniem adware i innymi zagrożeniami.

Następny krok

Zarządzanie sztuczną inteligencją