Recomendações de segurança para cargas de trabalho de IA na infraestrutura do Azure (IaaS)
Este artigo fornece recomendações de segurança para organizações que executam cargas de trabalho de IA na infraestrutura do Azure (IaaS). A segurança da IA na infraestrutura do Azure envolve a proteção de dados, computação e recursos de rede que suportam cargas de trabalho de IA. A proteção desses componentes garante que as informações confidenciais permaneçam seguras, minimize a exposição a ameaças potenciais e garanta um ambiente operacional estável para modelos e aplicativos de IA.
Proteger os serviços do Azure
A segurança do serviço do Azure requer a configuração de cada serviço do Azure usado em uma arquitetura de IA para atender a padrões e benchmarks de segurança específicos. Para aplicar configurações seguras aos serviços do Azure, use as linhas de base de segurança do Azure para cada serviço em sua arquitetura. Os serviços comuns do Azure em cargas de trabalho de IA na infraestrutura do Azure incluem: máquinas virtuais do Windows, máquinas virtuais Linux, Azure CycleCloud e Key Vault.
Redes seguras
A proteção de redes envolve a configuração de pontos de extremidade privados, NSGs (Grupos de Segurança de Rede) e firewalls para gerenciar e controlar o fluxo de dados no Azure. Esta etapa limita a exposição a ameaças externas e protege dados confidenciais à medida que se movem entre serviços dentro da infraestrutura do Azure.
Use pontos de extremidade privados. Use pontos de extremidade privados disponíveis no Azure Private Link para qualquer solução PaaS em sua arquitetura, como seu armazenamento ou sistema de arquivos.
Use conexões de rede virtual criptografadas para conectividade do Azure com o Azure. As conexões criptografadas entre máquinas virtuais ou conjuntos de dimensionamento de máquinas virtuais nas mesmas redes virtuais ou emparelhadas impedem o acesso não autorizado e a espionagem. Estabeleça essas conexões seguras configurando opções de criptografia na Rede Virtual do Azure para comunicação de máquina virtual.
Implementar grupos de segurança de rede (NSGs). Os NSGs podem ser complexos. Certifique-se de ter uma compreensão clara das regras do NSG e suas implicações ao configurar sua infraestrutura do Azure para cargas de trabalho de IA.
Use grupos de segurança de aplicativos. Se você precisar rotular o tráfego em uma granularidade maior do que a que as redes virtuais fornecem, considere o uso de Grupos de Segurança de Aplicativos.
Entenda as regras de priorização do NSG. As regras do NSG têm uma ordem de prioridade. Entenda essa ordem para evitar conflitos e garantir o bom funcionamento de suas cargas de trabalho de IA.
Use um firewall de rede. Se você estiver usando uma topologia hub-spoke, implante um firewall de rede para inspecionar e filtrar o tráfego de rede entre os raios.
Feche as portas não utilizadas. Limite a exposição à Internet expondo apenas serviços destinados a casos de uso externos e usando conectividade privada para outros serviços.
Proteger dados
A proteção de dados inclui a criptografia de dados em repouso e em trânsito, além de proteger informações confidenciais, como chaves e senhas. Essas medidas garantem que os dados permaneçam privados e inacessíveis a usuários não autorizados, reduzindo o risco de violações de dados e acesso não autorizado a informações confidenciais.
Criptografar dados: criptografe dados em repouso e em trânsito usando tecnologias de criptografia fortes entre cada serviço na arquitetura.
Proteja segredos: proteja segredos armazenando-os em um cofre de chaves ou em um módulo de segurança de hardware e alterne-os rotineiramente.
Acesso seguro
Proteger o acesso significa configurar mecanismos de autenticação e controle de acesso para impor permissões de acesso estritas e verificar as identidades dos usuários. Ao restringir o acesso com base em funções, políticas e autenticação multifator, as organizações podem limitar a exposição a acesso não autorizado e proteger recursos críticos de IA.
Configurar autenticação: habilite a autenticação multifator (MFA) e prefira contas administrativas secundárias ou acesso just-in-time para contas confidenciais. Limite o acesso ao plano de controle usando serviços como o Azure Bastion como pontos de entrada seguros em redes privadas.
Use políticas de acesso condicional. Exigir MFA para acessar recursos críticos de IA para aumentar a segurança. Restrinja o acesso à infraestrutura de IA com base em localizações geográficas ou intervalos de IP confiáveis. Certifique-se de que apenas dispositivos compatíveis (aqueles que atendem aos requisitos de segurança) possam acessar recursos de IA. Implemente políticas de acesso condicional baseadas em risco que respondam a atividades de início de sessão incomuns ou a comportamentos suspeitos. Utilize sinais como a localização do utilizador, o estado do dispositivo e o comportamento de início de sessão para disparar passos de verificação adicionais.
Configure o acesso com privilégios mínimos. Configure o acesso com privilégios mínimos implementando o RBAC (controle de acesso baseado em função) para fornecer acesso mínimo a dados e serviços. Atribua funções a usuários e grupos com base em suas responsabilidades. Use o RBAC do Azure para ajustar o controle de acesso para recursos específicos, como máquinas virtuais e contas de armazenamento. Certifique-se de que os usuários tenham apenas o nível mínimo de acesso necessário para executar suas tarefas. Revise e ajuste regularmente as permissões para evitar o aumento de privilégios.
Prepare-se para a resposta a incidentes
A preparação para a resposta a incidentes envolve a coleta de logs e a integração deles com um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM). Essa abordagem proativa permite que as organizações detetem e respondam a incidentes de segurança rapidamente, reduzindo danos potenciais e minimizando o tempo de inatividade dos sistemas de IA.
Sistemas operativos seguros
Proteger sistemas operacionais requer manter máquinas virtuais e imagens de contêiner atualizadas com os patches mais recentes e executar software antimalware. Essas práticas protegem a infraestrutura de IA contra vulnerabilidades, malware e outras ameaças à segurança. Eles ajudam a manter um ambiente seguro e confiável para operações de IA.
Corrija convidados de máquinas virtuais. Aplique regularmente patches a máquinas virtuais e imagens de contêiner. Considere habilitar a aplicação automática de patches de convidado para suas máquinas virtuais e conjuntos de escala.
Use antimalware. Use o Microsoft Antimalware para Azure em suas máquinas virtuais para protegê-las contra arquivos mal-intencionados, adware e outras ameaças.