Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Ten dokument dotyczy tylko portalu Microsoft Foundry (klasycznego).
Ten dokument jest również specyficzny dla projektu opartego na centrum i nie ma zastosowania do projektu Foundry. Zobacz Jak sprawdzić, jaki typ projektu mam? i Utwórz projekt oparty na centrum.
Zarządzanie lukami w zabezpieczeniach to proces wykrywania, oceniania, ograniczania i raportowania luk w zabezpieczeniach w systemach i oprogramowaniu organizacji. Ty i Firma Microsoft podzielają tę odpowiedzialność.
W tym artykule opisano twoje obowiązki i mechanizmy kontroli zarządzania lukami w zabezpieczeniach, które zapewnia usługa Foundry. Dowiedz się, jak utrzymywać instancję usługi i aplikacje na bieżąco dzięki najnowszym aktualizacjom zabezpieczeń oraz jak zmniejszyć okno możliwości dla cyberatakujących.
Wymagania wstępne
Aby zarządzać lukami w zabezpieczeniach w środowisku rozwiązania Foundry, potrzebne są następujące elementy:
- Subskrypcja platformy Azure
- Centrum lub projekt Foundry
- Rola współautora lub właściciela w centrum lub projekcie Foundry w celu zarządzania zasobami obliczeniowymi
- Azure CLI lub dostęp do portalu Foundry w celu zarządzania obliczeniami
- W przypadku ponownego utworzenia wystąpienia obliczeniowego: uprawnienia do tworzenia i usuwania wystąpień obliczeniowych (
Microsoft.MachineLearningServices/workspaces/computes/writeiMicrosoft.MachineLearningServices/workspaces/computes/delete)
Obrazy maszyn wirtualnych zarządzanych przez firmę Microsoft
Firma Microsoft zarządza obrazami maszyn wirtualnych systemu operacyjnego hosta dla wystąpień obliczeniowych i klastrów obliczeniowych bezserwerowych. Aktualizacje są miesięczne i zawierają następujące szczegóły:
Dla każdej nowej wersji obrazu maszyny wirtualnej firma Microsoft źródło najnowszych aktualizacji systemu operacyjnego od oryginalnego wydawcy. Korzystanie z najnowszych aktualizacji pomaga zapewnić, że uzyskasz wszystkie odpowiednie poprawki systemu operacyjnego. W przypadku Foundry firma Canonical publikuje wszystkie obrazy Ubuntu.
Obrazy maszyn wirtualnych są aktualizowane co miesiąc.
Oprócz poprawek wydawcy firma Microsoft aktualizuje pakiety systemowe w miarę udostępniania aktualizacji.
Firma Microsoft sprawdza i weryfikuje wszystkie pakiety uczenia maszynowego, które mogą wymagać uaktualnienia. W większości przypadków nowe obrazy maszyn wirtualnych zawierają najnowsze wersje pakietu.
Wszystkie obrazy maszyn wirtualnych są oparte na bezpiecznych subskrypcjach, które regularnie uruchamiają skanowanie luk w zabezpieczeniach. Firma Microsoft flaguje wszelkie niezaubrane luki w zabezpieczeniach i naprawia je w następnej wersji.
Większość obrazów używa miesięcznego tempa wydania. W przypadku wystąpień obliczeniowych wersja obrazu jest zgodna z cyklem wydania zestawu SDK usługi Azure Machine Learning, który jest wstępnie zainstalowany w środowisku.
Firma Microsoft stosuje również poprawki w przypadku wystąpienia luk w zabezpieczeniach. Firma Microsoft wprowadza poprawki w ciągu 72 godzin dla bezserwerowych klastrów obliczeniowych i w ciągu tygodnia dla wystąpień obliczeniowych.
Uwaga / Notatka
System operacyjny hosta nie jest wersją systemu operacyjnego określaną dla środowiska podczas trenowania lub wdrażania modelu. Środowiska działają wewnątrz platformy Docker. Platforma Docker działa w systemie operacyjnym hosta.
Obrazy kontenerów zarządzanych przez firmę Microsoft
Podstawowe obrazy platformy Docker obsługiwane przez firmę Microsoft dla usługi Foundry otrzymują częste poprawki zabezpieczeń w celu naprawienia nowo odnalezionych luk w zabezpieczeniach.
Firma Microsoft aktualizuje obrazy obsługiwane co dwa tygodnie, aby naprawić luki w zabezpieczeniach. Celem jest zero luk w zabezpieczeniach starszych niż 30 dni w najnowszych obsługiwanych obrazach.
Firma Microsoft publikuje poprawki obrazów z nowym niezmiennym tagiem i zaktualizowanym :latest tagiem. Użycie tagu :latest lub przypinanie określonej wersji obrazu jest kompromisem między zabezpieczeniami a odtwarzalnością środowiska dla zadania uczenia maszynowego.
Zarządzanie środowiskami i obrazami kontenerów
W portalu Foundry obrazy Docker zapewniają środowisko uruchomieniowe dla wdrożeń przepływu monitów. Te obrazy zaczynają się od obrazu podstawowego programu Foundry.
Mimo że firma Microsoft stosuje poprawki obrazów podstawowych w każdej wersji, użycie najnowszego obrazu jest kompromisem między powtarzalnością i zarządzaniem lukami w zabezpieczeniach. Należy wybrać wersję środowiska dla zadań lub wdrożeń modelu.
Domyślnie zależności są nakładane na obrazy podstawowe podczas tworzenia obrazu. Po zainstalowaniu dodatkowych zależności na obrazach dostarczonych przez firmę Microsoft odpowiadasz za zarządzanie lukami w zabezpieczeniach.
Twoje centrum zawiera instancję usługi Azure Container Registry, która buforuje obrazy kontenerów. Podczas kompilowania obrazu wypychasz go do rejestru kontenerów. Obszar roboczy używa buforowanego obrazu podczas wdrażania odpowiedniego środowiska.
Centrum nie usuwa żadnego obrazu z rejestru kontenerów. Przejrzyj potrzebę każdego obrazu w czasie. Aby monitorować i utrzymywać higienę środowiska, użyj usługi Microsoft Defender for Container Registry do skanowania obrazów pod kątem luk w zabezpieczeniach. Aby zautomatyzować procesy na podstawie wyzwalaczy usługi Microsoft Defender, zobacz Automatyzowanie odpowiedzi korygowania.
Zarządzanie lukami w zabezpieczeniach na hostach obliczeniowych
Zarządzane węzły obliczeniowe w portalu Foundry używają obrazów maszyn wirtualnych systemu operacyjnego zarządzanego przez firmę Microsoft. Podczas aprowizowania węzła pobiera on najnowszy obraz maszyny wirtualnej. To zachowanie dotyczy wystąpień obliczeniowych, bezserwerowych klastrów obliczeniowych i zarządzanych obliczeń wnioskowania.
Mimo że firma Microsoft regularnie stosuje poprawki obrazów maszyn wirtualnych systemu operacyjnego, nie skanuje aktywnie węzłów obliczeniowych pod kątem luk w zabezpieczeniach, gdy są one używane. Aby uzyskać dodatkową warstwę ochrony, rozważ izolację sieci dla węzłów obliczeniowych.
Upewnienie się, że środowisko jest aktualne, a węzły obliczeniowe korzystają z najnowszej wersji systemu operacyjnego, jest wspólną odpowiedzialnością między Tobą a firmą Microsoft. Usługa nie aktualizuje zajętych węzłów do najnowszego obrazu maszyny wirtualnej. Zagadnienia są nieco inne dla każdego typu obliczeniowego, jak opisano w poniższych sekcjach.
Instancja obliczeniowa
Instancje obliczeniowe pobierają najnowszy obraz maszyny wirtualnej podczas wdrażania. Firma Microsoft publikuje nowe obrazy maszyn wirtualnych co miesiąc. Po wdrożeniu wystąpienia obliczeniowego nie będzie otrzymywać bieżących aktualizacji obrazów. Aby być na bieżąco z najnowszymi aktualizacjami oprogramowania i poprawkami zabezpieczeń, użyj jednej z następujących metod:
Utwórz ponownie wystąpienie obliczeniowe, aby pobrać najnowszy obraz systemu operacyjnego (zalecane).
Jeśli używasz tej metody, utracisz dane i dostosowania (takie jak zainstalowane pakiety) przechowywane na dysku systemu operacyjnego wystąpienia i dysku tymczasowym.
Aby uzyskać więcej informacji na temat wydań obrazów, zobacz informacje o wersji obrazu wystąpienia obliczeniowego usługi Azure Machine Learning.
Regularnie aktualizuj pakiety systemu operacyjnego i języka Python.
Połącz się z terminalem instancji obliczeniowej i uruchom następujące polecenia, aby zaktualizować pakiety:
Zaktualizuj listę pakietów przy użyciu najnowszych wersji:
sudo apt-get updateOczekiwane dane wyjściowe: listy pakietów są odświeżane z repozytoriów.
Uaktualnij pakiety do najnowszych wersji. Konflikty pakietów mogą wystąpić podczas korzystania z tego podejścia:
sudo apt-get upgradeOczekiwane dane wyjściowe: pakiety są pobierane i instalowane. Może zostać wyświetlony monit o potwierdzenie instalacji.
Sprawdź nieaktualne pakiety języka Python:
pip list --outdatedOczekiwane dane wyjściowe: lista pakietów z dostępnymi aktualizacjami lub puste dane wyjściowe, jeśli wszystkie pakiety są aktualne.
Dokumentacjaapt-get, dokumentacja pip list
Aby sprawdzić, czy aktualizacje zostały pomyślnie zastosowane, uruchom polecenie:
# Check for remaining upgradable packages sudo apt list --upgradableOczekiwane dane wyjściowe: brak pakietów na liście oznacza, że wszystkie aktualizacje są stosowane.
Zainstaluj i uruchom dodatkowe oprogramowanie skanujące w wystąpieniu obliczeniowym w celu skanowania pod kątem problemów z zabezpieczeniami:
- Użyj narzędzia Trivy , aby odnaleźć luki w zabezpieczeniach na poziomie pakietów systemu operacyjnego i języka Python. Przykłady szybkiego startu i użycia można znaleźć w dokumentacji narzędzia Trivy.
- Odnajdywanie złośliwego oprogramowania za pomocą programu ClamAV . Jest on wstępnie zainstalowany w wystąpieniach obliczeniowych. Aby uzyskać wskazówki dotyczące użycia, zobacz dokumentację clamAV.
Przykłady automatyzacji łączące Trivy i ClamAV można znaleźć w Przykładowych skryptach konfiguracji wystąpienia obliczeniowego.
Instalowanie agenta usługi Microsoft Defender for Servers nie jest obsługiwane.
Punkty końcowe
Punkty końcowe automatycznie otrzymują aktualizacje obrazu hosta systemu operacyjnego z poprawkami luk w zabezpieczeniach. Firma Microsoft aktualizuje obrazy co najmniej raz w miesiącu.
Węzły obliczeniowe są automatycznie uaktualniane do najnowszej wersji obrazu maszyny wirtualnej po jej wydaniu. Nie musisz podejmować żadnych działań.