Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen, sichere Netzwerke für KI-Workloads in Azure-Plattformdiensten zu implementieren. Sie benötigen sichere Netzwerke, um vertrauliche KI-Modelle zu schützen, Datenschutz zu gewährleisten und Complianceanforderungen aufrechtzuerhalten. Die richtige Netzwerkkonfiguration steuert den Zugriff auf Foundry- und Azure AI Services und optimiert gleichzeitig die Leistung für Modellschulungen und -bereitstellungen.
Verwenden von virtuellen Netzwerken
Virtuelle Netzwerke schaffen sichere Kommunikationsgrenzen für KI-Dienste und verhindern nicht autorisierten Zugriff von öffentlichen Netzwerken. Private Endpunkte beseitigen die öffentliche Internetexposition, während volle Servicefunktionalität und Leistung aufrechterhalten bleiben. Sie sollten virtuelle Netzwerke mit privaten Endpunkten verwenden, um KI-Modelle, Daten und Dienste vor externen Bedrohungen zu schützen. Gehen Sie dazu wie folgt vor:
Erstellen Sie private Endpunkte für alle KI-Plattformdienste. Private Endpunkte stellen dedizierte Netzwerkschnittstellen in Ihrem virtuellen Netzwerk bereit, die sich direkt mit Azure-Diensten verbinden. Diese Konfiguration entfernt die öffentliche Internetexposition, während die volle Funktionalität und Leistung für Ihre KI-Workloads beibehalten werden. Verwenden Sie einen privaten Link für Foundry , und wenden Sie dieselben Einschränkungen auf Azure AI-Dienste an.
Stellen Sie unterstützende Dienste innerhalb der Netzwerkgrenze bereit. Die Unterstützung von Diensten wie Azure Storage, Azure Key Vault und Azure Container Registry muss innerhalb derselben sicheren Netzwerkgrenze wie Ihre KI-Dienste ausgeführt werden. Diese Konfiguration stellt einen konsistenten Sicherheitsstatus für alle Komponenten sicher, während die richtigen Zugriffssteuerungen für Ihre KI-Workloadabhängigkeiten beibehalten werden. Verwenden Sie private Endpunkte, um diese unterstützenden Dienste mit Ihren verwalteten virtuellen Netzwerken zu verbinden, wie in der Referenzarchitektur des Baseline Foundry-Chats dargestellt.
Steuern des Netzwerkdatenverkehrs
Die Netzwerkdatenverkehrskontrolle definiert, wie Datenflüsse zwischen KI-Diensten und externen Systemen verarbeitet werden. Ordnungsgemäße Datenverkehrseinschränkungen schützen vertrauliche KI-Daten und sorgen für sichere Vorgänge. Sie müssen Datenverkehrskontrollen implementieren, um KI-Workloads zu schützen und die Betriebssicherheit aufrechtzuerhalten. Gehen Sie dazu wie folgt vor:
Stellen Sie sicheren Zugriff mithilfe der Jumpbox-Infrastruktur bereit. Der Jumpbox-Zugriff bietet einen zentralen Einstiegspunkt in Ihre KI-Netzwerkumgebung, während strenge Sicherheitsgrenzen beibehalten werden. Diese Konfiguration verhindert die direkte Gefährdung von KI-Ressourcen in externen Netzwerken, während der sichere Zugriff ermöglicht wird. Verwenden Sie einen Jumpbox innerhalb Ihres virtuellen AI-Workload-Netzwerks oder eines virtuellen Konnektivitätshub-Netzwerks, und konfigurieren Sie Azure Bastion für sichere RDP-/SSH-Konnektivität, ohne virtuelle Computer für das öffentliche Internet verfügbar zu machen.
Ausgehenden Traffic auf freigegebene Ziele beschränken. Einschränkungen des ausgehenden Datenverkehrs verhindern nicht autorisierte Datenexfiltration und ermöglichen gleichzeitig die notwendige Kommunikation für KI-Modellschulungen und -rückschlüsse. Dieser Ansatz schützt KI-Modelle und Schulungsdaten, während die Konnektivität für legitime Vorgänge beibehalten wird. Beschränken Sie ausgehenden Datenverkehr auf genehmigte Dienste und vollqualifizierte Domänennamen (FQDNs), wie für Azure AI-Dienste und Foundry dokumentiert.
Vorbereiten von Diensten zur Auflösung von Domänennamen. Stellen Sie die Azure DNS-Infrastruktur als Teil Ihrer Azure-Zielzone bereit und konfigurieren Sie bedingte Weiterleitungen für geeignete Zonen. Diese Konfiguration gewährleistet eine zuverlässige Namensauflösung für die sichere Kommunikation zwischen KI-Arbeitslasten und externen Systemen.
Konfigurieren von Netzwerkzugriffssteuerelementen. Verwenden Sie Netzwerksicherheitsgruppen (NSGs), um Zugriffsrichtlinien für eingehenden und ausgehenden Datenverkehr zu definieren und zu erzwingen. Diese Kontrollen implementieren das Prinzip der geringsten Rechte und stellen sicher, dass nur die grundlegende Kommunikation zulässig ist.
Verwenden Sie Netzwerküberwachungsdienste. Überwachen Sie die Netzwerkleistung und -integrität mithilfe von Tools wie Azure Monitor Network Insights und Azure Network Watcher. Integrieren Sie Microsoft Sentinel für die erweiterte Bedrohungserkennung und -reaktion in Ihre Azure-Netzwerküberwachungsstrategie.
Stellen Sie Azure Firewall bereit, um ausgehenden Datenverkehr zu sichern. Azure Firewall erzwingt Sicherheitsrichtlinien für ausgehenden Datenverkehr, bevor sie das Internet erreicht. Verwenden Sie sie, um ausgehenden Datenverkehr zu steuern und zu überwachen, SNAT für private IP-Übersetzungen zu aktivieren und sichere und identifizierbare ausgehende Kommunikation sicherzustellen.
Verwenden Sie die Azure Web Application Firewall (WAF) für über das Internet zugängliche Workloads. Azure WAF schützt KI-Workloads vor allgemeinen Webrisiken wie SQL-Einfügungen und websiteübergreifenden Skriptangriffen. Konfigurieren Sie Azure WAF auf dem Anwendungsgateway , um die Sicherheit für Workloads zu verbessern, die bösartigen Webdatenverkehr ausgesetzt sind.
Azure-Ressourcen
| Kategorie | Werkzeug | BESCHREIBUNG |
|---|---|---|
| Netzwerkisolation | Virtuelles Azure-Netzwerk | Erstellt sichere Netzwerkgrenzen und ermöglicht die private Kommunikation zwischen Azure-Ressourcen. |
| Private Konnektivität | Azure Private Link | Bietet privaten Zugriff auf Azure-Dienste über das Microsoft Backbone-Netzwerk |
| Sicherer Zugriff | Azure Bastion | Bietet sichere RDP/SSH-Konnektivität ohne öffentliche IP-Exposition |
| DNS-Verwaltung | Azure Private DNS | Verwaltet private DNS-Zonen für die sichere Namensauflösung in virtuellen Netzwerken |
| API-Gateway | Azure-API-Verwaltung | Zentralisierte API-Verwaltung und -Sicherheit für KI-Dienstendpunkte |
| Websicherheit | Azure-Anwendungsgateway | Bietet sichere HTTPS-Beendigungs- und Webanwendungsfirewallfunktionen |
| Globale Lieferung | Azure Front Door | Bietet globalen Lastenausgleich und sichere Edgekonnektivität für KI-Anwendungen |