Säkerhetsrekommendationer för AI-arbetsbelastningar i Azure-infrastruktur (IaaS)
Den här artikeln innehåller säkerhetsrekommendationer för organisationer som kör AI-arbetsbelastningar i Azure-infrastrukturen (IaaS). Säkerhet för AI i Azure-infrastruktur innebär att skydda data,beräknings- och nätverksresurser som stöder AI-arbetsbelastningar. Genom att skydda dessa komponenter säkerställs att känslig information förblir säker, minimerar exponeringen för potentiella hot och säkerställer en stabil driftsmiljö för AI-modeller och program.
Skydda Azure-tjänster
Azure-tjänstsäkerhet kräver att du konfigurerar varje Azure-tjänst som används i en AI-arkitektur för att uppfylla specifika säkerhetsstandarder och riktmärken. Om du vill tillämpa säkra konfigurationer på Azure-tjänster använder du Azure-säkerhetsbaslinjerna för varje tjänst i din arkitektur. Vanliga Azure-tjänster i AI-arbetsbelastningar i Azure-infrastrukturen är: Virtuella Windows-datorer, virtuella Linux-datorer, Azure CycleCloud och Key Vault.
Säkra nätverk
Att skydda nätverk innebär att konfigurera privata slutpunkter, nätverkssäkerhetsgrupper (NSG:er) och brandväggar för att hantera och kontrollera dataflödet i Azure. Det här steget begränsar exponeringen för externa hot och skyddar känsliga data när de flyttas mellan tjänster i Azure-infrastrukturen.
Använd privata slutpunkter. Använd privata slutpunkter som är tillgängliga i Azure Private Link för alla PaaS-lösningar i din arkitektur, till exempel ditt lagrings- eller filsystem.
Använd krypterade virtuella nätverksanslutningar för Azure till Azure-anslutning. Krypterade anslutningar mellan virtuella datorer eller vm-skalningsuppsättningar i samma eller peerkopplade virtuella nätverk förhindrar obehörig åtkomst och avlyssning. Upprätta dessa säkra anslutningar genom att konfigurera krypteringsalternativ i Azure Virtual Network för kommunikation med virtuella datorer.
Implementera nätverkssäkerhetsgrupper (NSG:er). NSG:er kan vara komplexa. Se till att du har en tydlig förståelse för NSG-reglerna och deras konsekvenser när du konfigurerar din Azure-infrastruktur för AI-arbetsbelastningar.
Använd programsäkerhetsgrupper. Om du behöver märka trafik med större kornighet än vad virtuella nätverk tillhandahåller kan du överväga att använda programsäkerhetsgrupper.
Förstå NSG-prioriteringsregler. NSG-regler har en prioritetsordning. Förstå den här ordningen för att undvika konflikter och säkerställa att dina AI-arbetsbelastningar körs smidigt.
Använd en nätverksbrandvägg. Om du använder en topologi med nav-ekrar distribuerar du en nätverksbrandvägg för att inspektera och filtrera nätverkstrafik mellan ekrarna.
Stäng oanvända portar. Begränsa internetexponeringen genom att endast exponera tjänster som är avsedda för externa användningsfall och använda privata anslutningar för andra tjänster.
Skydda data
Att skydda data omfattar kryptering av vilande data och under överföring, tillsammans med skydd av känslig information som nycklar och lösenord. Dessa åtgärder säkerställer att data förblir privata och otillgängliga för obehöriga användare, vilket minskar risken för dataintrång och obehörig åtkomst till känslig information.
Kryptera data: Kryptera vilande data och under överföring med hjälp av starka krypteringstekniker mellan varje tjänst i arkitekturen.
Skydda hemligheter: Skydda hemligheter genom att lagra dem i ett nyckelvalv eller en maskinvarusäkerhetsmodul och rotera dem rutinmässigt.
Säker åtkomst
Att skydda åtkomst innebär att konfigurera autentiserings- och åtkomstkontrollmekanismer för att framtvinga strikta åtkomstbehörigheter och verifiera användaridentiteter. Genom att begränsa åtkomsten baserat på roller, principer och multifaktorautentisering kan organisationer begränsa exponeringen för obehörig åtkomst och skydda viktiga AI-resurser.
Konfigurera autentisering: Aktivera multifaktorautentisering (MFA) och föredra sekundära administrativa konton eller just-in-time-åtkomst för känsliga konton. Begränsa åtkomsten till kontrollplanet med hjälp av tjänster som Azure Bastion som säkra startpunkter i privata nätverk.
Använd principer för villkorlig åtkomst. Kräv MFA för åtkomst till viktiga AI-resurser för att förbättra säkerheten. Begränsa åtkomsten till AI-infrastruktur baserat på geografiska platser eller betrodda IP-intervall. Se till att endast kompatibla enheter (de som uppfyller säkerhetskraven) kan komma åt AI-resurser. Implementera riskbaserade principer för villkorlig åtkomst som svarar på ovanlig inloggningsaktivitet eller misstänkt beteende. Använd signaler som användarplats, enhetstillstånd och inloggningsbeteende för att utlösa extra verifieringssteg.
Konfigurera åtkomst med minst behörighet. Konfigurera åtkomst med minst behörighet genom att implementera rollbaserad åtkomstkontroll (RBAC) för att ge minimal åtkomst till data och tjänster. Tilldela roller till användare och grupper baserat på deras ansvarsområden. Använd Azure RBAC för att finjustera åtkomstkontroll för specifika resurser, till exempel virtuella datorer och lagringskonton. Se till att användarna bara har den lägsta åtkomstnivå som krävs för att utföra sina uppgifter. Granska och justera behörigheter regelbundet för att förhindra krypning av privilegier.
Förbereda för incidenthantering
Förberedelse för incidenthantering innebär att samla in loggar och integrera dem med ett SIEM-system (Security Information and Event Management). Med den här proaktiva metoden kan organisationer snabbt identifiera och reagera på säkerhetsincidenter, minska potentiella skador och minimera stilleståndstiden för AI-system.
Säkra operativsystem
Att skydda operativsystem kräver att virtuella datorer och containeravbildningar hålls uppdaterade med de senaste korrigeringarna och kör program mot skadlig kod. Dessa metoder skyddar AI-infrastrukturen från sårbarheter, skadlig kod och andra säkerhetshot. De bidrar till att upprätthålla en säker och tillförlitlig miljö för AI-åtgärder.
Korrigera virtuella datorgäster. Tillämpa regelbundet korrigeringar på virtuella datorer och containeravbildningar. Överväg att aktivera automatisk gästkorrigering för dina virtuella datorer och skalningsuppsättningar.
Använd program mot skadlig kod. Använd Microsoft Antimalware för Azure på dina virtuella datorer för att skydda dem mot skadliga filer, adware och andra hot.