Zalecenia dotyczące sieci dla obciążeń sztucznej inteligencji na platformie Azure
Ten artykuł zawiera zalecenia dotyczące sieci dla organizacji z obciążeniami sztucznej inteligencji na platformie Azure. Koncentruje się ona na rozwiązaniach typu "platforma jako usługa" (PaaS), w tym azure AI Foundry, Azure OpenAI, Azure Machine Learning i Azure AI Services. Obejmuje ona zarówno obciążenia generowania, jak i niegeneracyjne sztuczną inteligencję.
Sieć umożliwia bezpieczną i wydajną łączność z krytycznymi zasobami sztucznej inteligencji i jest podstawą integralności i prywatności danych. Skuteczne strategie sieciowe chronią poufne obciążenia sztucznej inteligencji przed nieautoryzowanym dostępem i pomagają zoptymalizować wydajność trenowania i wdrażania modelu sztucznej inteligencji.
Konfigurowanie sieci wirtualnych
Konfigurowanie sieci wirtualnych dotyczy konfigurowania prywatnych i bezpiecznych środowisk sieciowych dla platform azure AI oraz zarządzania nimi. Sieci wirtualne umożliwiają organizacjom izolowanie obciążeń sztucznej inteligencji i tworzenie bezpiecznych kanałów komunikacyjnych. Właściwa konfiguracja zapewnia, że tylko autoryzowani użytkownicy i systemy mogą uzyskiwać dostęp do krytycznych zasobów sztucznej inteligencji i minimalizuje narażenie na publiczny Internet.
| Platforma sztucznej inteligencji | Zalecenia dotyczące sieci wirtualnej |
|---|---|
| Azure AI Foundry | Skonfiguruj sieci wirtualnej zarządzanej |
| Azure OpenAI | Ogranicz dostęp do wybranych sieci wirtualnych lub użyj prywatnych punktów końcowych. |
| Azure Machine Learning | Utwórz bezpieczny obszar roboczy z siecią wirtualną. Zaplanuj izolację sieci. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń dla usługi Azure Machine Learning. |
| Usługi platformy Azure AI | Ogranicz dostęp do wybranych sieci wirtualnych lub skorzystaj z prywatnych punktów końcowych. |
usługi Azure AI Foundry i Azure Machine Learning wdrażają się w sieciach wirtualnych zarządzanych przez firmę Microsoft i wdrażają wymagane usługi zależne. Zarządzane sieci wirtualne używają prywatnych punktów końcowych do uzyskiwania dostępu do pomocniczych usług platformy Azure, takich jak Azure Storage, Azure Key Vault i Azure Container Registry. Użyj linków, aby wyświetlić architektury sieci tych usług, aby najlepiej skonfigurować sieć wirtualną.
Zabezpieczanie sieci wirtualnych
Zabezpieczanie sieci wirtualnych obejmuje używanie prywatnych punktów końcowych, wymuszanie stref DNS i włączanie niestandardowych serwerów DNS w celu ochrony obciążeń sztucznej inteligencji. Te strategie ograniczają publiczne narażenie na internet i uniemożliwiają nieautoryzowany dostęp. Skuteczne zabezpieczenia sieci są niezbędne do ochrony poufnych modeli sztucznej inteligencji i zapewnienia zgodności z prywatnością.
Rozważ prywatne punkty końcowe. Żadne usługi PaaS ani punkty końcowe modelu sztucznej inteligencji nie powinny być dostępne z publicznego Internetu. Prywatne punkty końcowe zapewniające prywatną łączność z usługami platformy Azure w sieci wirtualnej. Prywatne punkty końcowe dodają złożoność do wdrożeń i operacji, ale korzyść zabezpieczeń często przewyższa złożoność.
Rozważ utworzenie prywatnych punktów końcowych dla portali usługi sztucznej inteligencji. Prywatne punkty końcowe zapewniają bezpieczny, prywatny dostęp do portali PaaS, takich jak Azure AI Foundry i Azure Machine Learning StudioF. Skonfiguruj prywatne punkty końcowe dla tych globalnych portali w sieci wirtualnej koncentratora. Ta konfiguracja zapewnia bezpieczny dostęp do publicznych interfejsów portalu bezpośrednio z urządzeń użytkowników.
Rozważ wymuszanie prywatnych stref DNS. Prywatna strefa DNS stref scentralizowane i bezpieczne zarządzanie systemem DNS na potrzeby uzyskiwania dostępu do usług PaaS w sieci sztucznej inteligencji. Skonfiguruj zasady platformy Azure, które wymuszają prywatne strefy DNS i wymagają prywatnych punktów końcowych w celu zapewnienia bezpiecznych, wewnętrznych rozwiązań DNS. Jeśli nie masz centralnych stref Prywatna strefa DNS, przekazywanie DNS nie będzie działać do momentu ręcznego dodania przekazywania warunkowego. Na przykład zobacz przy użyciu niestandardowego DNS z koncentratorami Azure AI Foundry i obszarem roboczym Azure Machine Learning.
Włącz niestandardowe serwery DNS i prywatne punkty końcowe dla usług PaaS. Niestandardowe serwery DNS zarządzają łącznością PaaS w sieci, pomijając publiczny system DNS. Skonfiguruj prywatne strefy DNS na platformie Azure, aby bezpiecznie rozpoznawać nazwy usług PaaS i kierować cały ruch przez prywatne kanały sieciowe.
Zarządzanie łącznością
Zarządzanie łącznością steruje sposobem interakcji zasobów sztucznej inteligencji z systemami zewnętrznymi. Techniki, takie jak używanie serwera przesiadkowego i ograniczanie ruchu wychodzącego, pomagają chronić obciążenia sztucznej inteligencji. Właściwe zarządzanie łącznością minimalizuje zagrożenia bezpieczeństwa i zapewnia bezproblemowe, nieprzerwane operacje sztucznej inteligencji.
Użyj serwera przesiadkowego, aby uzyskać dostęp. Dostęp do programowania sztucznej inteligencji powinien używać serwera przesiadkowego w sieci wirtualnej obciążenia lub za pośrednictwem sieci wirtualnej koncentratora łączności. Usługa Azure Bastion umożliwia bezpieczne łączenie się z maszynami wirtualnymi korzystającymi z usług sztucznej inteligencji. Usługa Azure Bastion zapewnia bezpieczną łączność RDP/SSH bez uwidaczniania maszyn wirtualnych w publicznym Internecie. Włącz usługę Azure Bastion, aby zapewnić zaszyfrowane dane sesji i chronić dostęp za pośrednictwem połączeń RDP/SSH opartych na protokole TLS.
Ogranicz ruch wychodzący z zasobów sztucznej inteligencji. Ograniczanie ruchu wychodzącego z punktów końcowych modelu AI pomaga chronić poufne dane i zachować integralność modeli sztucznej inteligencji. Aby zminimalizować ryzyko eksfiltracji danych, ogranicz ruch wychodzący do zatwierdzonych usług lub w pełni kwalifikowanych nazw domen (FQDN) i zachowaj listę zaufanych źródeł. Należy zezwolić tylko na nieograniczony ruch wychodzący z Internetu, jeśli potrzebujesz dostępu do publicznych zasobów uczenia maszynowego, ale regularnie monitoruj i aktualizuj systemy. Aby uzyskać więcej informacji, zobacz azure AI services, Azure AI Foundryi Azure Machine Learning.
Rozważ generowanie bramy sztucznej inteligencji. Rozważ użycie usługi Azure API Management (APIM) jako bramy generowania sztucznej inteligencji w sieciach wirtualnych. Brama generowania sztucznej inteligencji znajduje się między frontonem a punktami końcowymi sztucznej inteligencji. Usługa Application Gateway, zasady zapory aplikacji internetowej i usługa APIM w sieci wirtualnej to ustanowiona architektura w rozwiązaniach generacyjnych sztucznej inteligencji . Aby uzyskać więcej informacji, zobacz Architektura usługi AI Hub i Wdrażanie wystąpienia usługi Azure API Management w wielu regionach świadczenia usługi Azure.
Użyj protokołu HTTPS do łączności z Internetem na platformie Azure. Bezpieczne połączenia przy użyciu protokołów TLS pomagają chronić integralność danych i poufność obciążeń sztucznej inteligencji łączących się z Internetem. Zaimplementuj protokół HTTPS za pośrednictwem bramy aplikacja systemu Azure lub usługi Azure Front Door. Obie usługi zapewniają szyfrowane, bezpieczne tunele dla połączeń pochodzących z Internetu.