Recomendações de sistema de rede para cargas de trabalho de IA no Azure
Este artigo contém recomendações de sistema de rede para organizações que executam cargas de trabalho de IA no Azure. Ele se concentra em soluções paaS (plataforma como serviço) de IA do Azure, incluindo o Azure AI Foundry, o Azure OpenAI, o Azure Machine Learning e os Serviços de IA do Azure. Ele abrange cargas de trabalho de IA generativa e não generativa.
O sistema de rede possibilita uma conectividade segura e eficiente com recursos críticos de IA e é fundamental para a integridade e privacidade dos dados. Estratégias de rede eficazes protegem cargas de trabalho confidenciais de IA contra acesso não autorizado e ajudam a otimizar o desempenho para treinamento e implantação de modelos de IA.
Configurar redes virtuais
A configuração de redes virtuais envolve configurar e gerenciar ambientes de rede privados e seguros para plataformas de IA do Azure. As redes virtuais permitem que as organizações isolem cargas de trabalho de IA e criem canais de comunicação seguros. Uma configuração adequada possibilita que apenas usuários e sistemas autorizados acessem recursos críticos de IA, além de minimizar a exposição à Internet pública.
| Plataforma de inteligência artificial | Recomendações de rede virtual |
|---|---|
| Azure AI Foundry | Configure a rede virtual gerenciada e use pontos de extremidade privados. Se necessário, conecte a rede virtual gerenciada aos recursos locais em ambientes de produção. |
| OpenAI do Azure | Restrinja o acesso para selecionar redes virtuais ou usar pontos de extremidade privados. |
| Azure Machine Learning | Criar um workspace seguro com uma rede virtual. Planejar o isolamento de rede. Siga as práticas recomendadas de segurança para o Azure Machine Learning. |
| Serviços de IA do Azure | Restringir o acesso a algumas redes virtuais ou usar endpoints privados . |
O Azure AI Foundry e o Azure Machine Learning implantam em redes virtuais gerenciadas pela Microsoft e implantam os serviços dependentes necessários. As redes virtuais gerenciadas usam pontos de extremidade privados para acessar serviços do Azure de apoio, como Armazenamento do Azure, Azure Key Vault e Registro de Contêiner do Azure. Use os links para exibir as arquiteturas de rede desses serviços para configurar melhor sua rede virtual.
Redes virtuais seguras
A proteção de redes virtuais envolve o uso de pontos de extremidade privados, a aplicação de zonas DNS e a ativação de servidores DNS personalizados para proteger cargas de trabalho de IA. Essas estratégias limitam a exposição à Internet pública e impedem o acesso não autorizado. A segurança de rede eficaz é essencial para proteger modelos de IA confidenciais e garantir a conformidade com a privacidade.
Considere usar pontos de extremidade privados. Nenhum serviço de PaaS ou ponto de extremidade de modelo de IA deve ser acessível pela Internet pública. Os pontos de extremidade privados oferecem conectividade privada aos serviços do Azure dentro de uma rede virtual. Os pontos de extremidade privados adicionam complexidade às implantações e operações, mas o benefício de segurança geralmente supera a complexidade.
Crie pontos de extremidade privados para portais de serviço de IA. Os pontos de extremidade privados dão acesso seguro e privado a portais de PaaS, como o Azure AI Foundry e o Azure Machine Learning studioF. Configure pontos de extremidade privados para esses portais globais em uma rede virtual de hub. Essa configuração concede acesso seguro a interfaces do portal voltadas para o público diretamente dos dispositivos do usuário.
Aplique zonas de DNS privado. As zonas de DNS privado centralizam e protegem o gerenciamento de DNS para acessar serviços de PaaS em sua rede de IA. Configure políticas do Azure que apliquem zonas de DNS privado e exijam pontos de extremidade privados para garantir resoluções DNS internas seguras. Se você não tiver zonas de DNS privado centrais, o encaminhamento de DNS não funcionará até que você adicione o encaminhamento condicional manualmente. Por exemplo, configure Usar DNS personalizado com hubs do Azure AI Foundry e workspace do Azure Machine Learning.
Habilite servidores DNS personalizados e pontos de extremidade privados para serviços de PaaS. Os servidores DNS personalizados gerenciam a conectividade da PaaS na rede, ignorando o DNS público. Configure zonas de DNS privado no Azure para resolver nomes de serviço de PaaS com segurança e encaminhar todo o tráfego por meio de canais de rede privada.
Gerenciar conectividade
O gerenciamento da conectividade controla como os recursos de IA interagem com sistemas externos. Técnicas como uso de jumpbox e limitação de tráfego de saída ajudam a proteger as cargas de trabalho de IA. O gerenciamento adequado da conectividade minimiza os riscos de segurança e garante operações de IA estáveis e ininterruptas.
Use um jumpbox para acesso. O acesso ao desenvolvimento de IA deve usar um jumpbox dentro da rede virtual da carga de trabalho ou por meio de uma rede virtual do hub de conectividade. Use o Azure Bastion para se conectar com segurança a máquinas virtuais que interagem com serviços de IA. O Azure Bastion fornece conectividade RDP/SSH segura sem expor VMs à Internet pública. Habilite o Azure Bastion para produzir dados de sessão criptografados e proteger o acesso por meio de conexões RDP/SSH baseadas em TLS.
Limite o tráfego de saída de seus recursos de IA. Limitar o tráfego de saída dos pontos de extremidade do modelo de IA ajuda a proteger dados confidenciais e manter a integridade dos modelos de IA. Para minimizar os riscos de exfiltração de dados, restrinja o tráfego de saída a serviços aprovados ou FQDNs (nomes de domínio totalmente qualificados) e mantenha uma lista de fontes confiáveis. Você só deve permitir o tráfego de saída irrestrito da Internet se precisar de acesso a recursos públicos de machine learning, mas monitore e atualize regularmente seus sistemas. Para obter mais informações, consulte serviços de IA do Azure, do Azure AI Foundry e Azure Machine Learning.
Use um gateway de IA generativa. Use o APIM (Gerenciamento de API do Azure) como um gateway de IA generativa em suas redes virtuais. Um gateway de IA generativa fica entre o front-end e os pontos de extremidade de IA. O Gateway de Aplicativo, as políticas do WAF e o APIM na rede virtual são uma arquitetura estabelecida em soluções de IA generativa. Para obter mais informações, consulte Arquitetura de hub de IA e Implantar uma instância de Gerenciamento de API do Azure em várias regiões do Azure.
Use HTTPS para conectividade da Internet com o Azure. Conexões seguras que usam protocolos TLS ajudam a proteger a integridade e a confidencialidade dos dados para cargas de trabalho de IA que se conectam pela Internet. Implemente o HTTPS por meio do Gateway de Aplicativo do Azure ou do Azure Front Door. Os dois serviços fornecem túneis criptografados e seguros para conexões originadas na Internet.