Recomendações de segurança para cargas de trabalho de IA na infraestrutura do Azure (IaaS)
Este artigo contém recomendações de segurança para organizações que executam cargas de trabalho de IA na infraestrutura do Azure (IaaS). A segurança da IA na infraestrutura do Azure envolve proteção de dados, computação e recursos de rede que dão suporte a cargas de trabalho de IA. A proteção desses componentes garante que a segurança das informações confidenciais, minimiza a exposição a possíveis ameaças e promove um ambiente operacional estável para modelos e aplicativos de IA.
Proteger serviços do Azure
A segurança do serviço do Azure envolve a configuração de todos os serviços usados em uma arquitetura de IA para atender a padrões e parâmetros de comparação de segurança específicos. Para aplicar configurações seguras aos serviços do Azure, use as linhas de base de segurança do Azure para todos os serviços em sua arquitetura. Os serviços comuns do Azure em cargas de trabalho de IA na infraestrutura do Azure incluem: máquinas virtuais do Windows, máquinas virtuais do Linux, Azure CycleCloud e Key Vault.
Proteger redes
A proteção das redes envolve a configuração de pontos de extremidade privados, NSGs (Grupos de Segurança de Rede) e firewalls para gerenciar e controlar o fluxo de dados no Azure. Esta etapa limita a exposição a ameaças externas e protege dados confidenciais à medida que eles percorrem os serviços na infraestrutura do Azure.
Use pontos de extremidade privados. Use pontos de extremidade privados disponíveis no Link privado do Azure para qualquer solução de PaaS em sua arquitetura, como armazenamento ou sistema de arquivos.
Use conexões de rede virtual criptografadas para conectividade do Azure com o Azure. As conexões criptografadas entre máquinas virtuais ou conjuntos de dimensionamento de máquinas virtuais na mesma rede virtual ou em redes virtuais emparelhadas impedem o acesso não autorizado e ações de espionagem. Para estabelecer essas conexões seguras, configure opções de criptografia na Rede Virtual do Azure para fins de comunicação da máquina virtual.
Implemente os NSGs (Grupos de Segurança de Rede). Os NSGs podem ser complexos. É necessário entender claramente as regras do NSG e suas implicações ao configurar sua infraestrutura do Azure para cargas de trabalho de IA.
Use grupos de segurança de aplicativos. Se for necessário rotular o tráfego em uma granularidade superior à fornecida pelas redes virtuais, use Grupos de Segurança de Aplicativos.
Entenda as regras de priorização do NSG. As regras do NSG seguem uma ordem de prioridade. Convém entender essa ordem para evitar conflitos e garantir o bom funcionamento de suas cargas de trabalho de IA.
Use um firewall de rede. Se você estiver usando uma topologia hub-spoke, implante um firewall de rede para inspecionar e filtrar o tráfego de rede entre os spokes.
Feche portas não utilizadas. Limite a exposição à Internet: exponha apenas serviços destinados a casos de uso externos e use uma conectividade privada para outros serviços.
Proteger dados
A proteção dos dados inclui a criptografia de dados em repouso e em trânsito, além de abranger informações confidenciais, como chaves e senhas. Com essas medidas, os dados permanecem privados e inacessíveis a usuários não autorizados, reduzindo o risco de violações de dados e acesso não autorizado a informações confidenciais.
Criptografar dados: Criptografe dados em repouso e em trânsito usando tecnologias de criptografia fortes entre cada serviço na arquitetura.
Proteger segredos: Proteja os segredos armazenando-os em um cofre de chaves ou em um módulo de segurança de hardware. Lembre-se de alterná-los de tempos em tempos.
Proteger o acesso
Proteger o acesso significa configurar mecanismos de autenticação e controle de acesso para aplicar permissões estritas e verificar as identidades dos usuários. Com a restrição do acesso com base em funções, políticas e autenticação multifator, as organizações podem limitar a exposição ao acesso não autorizado e proteger recursos críticos de IA.
Configurar autenticação: Habilite a MFA (autenticação multifator) e dê preferência a contas administrativas secundárias ou acesso just-in-time para contas confidenciais. Limite o acesso ao painel de controle usando serviços como o Azure Bastion como pontos de entrada seguros em redes privadas.
Use políticas de acesso condicional. Exija a MFA para acessar recursos críticos de IA para aumentar a segurança. Restrinja o acesso à infraestrutura de IA com base em localizações geográficas ou intervalos de IP confiáveis. Conceda acesso aos recursos de IA somente para dispositivos compatíveis (que atendem aos requisitos de segurança). Implemente políticas de acesso condicional baseadas em risco que respondam a atividades de entrada incomuns ou a comportamento suspeito. Use sinais como localização do usuário, estado do dispositivo e comportamento de login para acionar etapas extras de verificação.
Configure o acesso com privilégios mínimos. Configure o acesso com privilégios mínimos implementando o RBAC (controle de acesso baseado em função) para conceder acesso mínimo a dados e serviços. Atribua funções a usuários e grupos com base em suas responsabilidades. Use o RBAC do Azure para ajustar o controle de acesso para recursos específicos, como máquinas virtuais e contas de armazenamento. Conceda aos usuários apenas o nível mínimo de acesso necessário para realizar suas tarefas. Revise e ajuste regularmente as permissões para evitar o aumento de privilégios.
Preparar-se para a resposta a incidentes
A preparação para a resposta a incidentes envolve coletar logs e integrá-los a um sistema SIEM (Gerenciamento de Eventos e Informações de Segurança). Com essa abordagem proativa, as organizações detectam e respondem rapidamente a incidentes de segurança, reduzindo possíveis danos e minimizando o tempo de inatividade dos sistemas de IA.
Proteger sistemas operacionais
A proteção de sistemas operacionais envolve manter as máquinas virtuais e as imagens de contêiner atualizadas com os patches mais recentes e executar o software antimalware. Essas práticas protegem a infraestrutura de IA contra vulnerabilidades, malware e outras ameaças à segurança. Elas colaboram com a proteção e a confiabilidade do ambiente para operações de IA.
Aplique patches nas máquinas virtuais convidadas. Aplique patches regularmente nas máquinas virtuais e imagens de contêiner. Habilite a aplicação automática de patches nas máquinas virtuais convidadas e conjuntos de dimensionamento.
Use antimalware. Use o Microsoft Antimalware para Azure para proteger as máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças.