Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga zaimplementować bezpieczną sieć dla obciążeń sztucznej inteligencji w usługach platformy Azure. Potrzebujesz bezpiecznej sieci, aby chronić poufne modele sztucznej inteligencji, zapewnić prywatność danych i zachować wymagania dotyczące zgodności. Właściwa konfiguracja sieci kontroluje dostęp do usług Foundry i Azure AI Services podczas optymalizowania wydajności trenowania i wdrażania modelu.
Używanie sieci wirtualnych
Sieci wirtualne ustanawiają bezpieczne granice komunikacji dla usług sztucznej inteligencji i uniemożliwiają nieautoryzowany dostęp z sieci publicznych. Prywatne punkty końcowe eliminują publiczne narażenie na internet przy zachowaniu pełnej funkcjonalności i wydajności usługi. Sieci wirtualne z prywatnymi punktami końcowymi należy używać do ochrony modeli, danych i usług sztucznej inteligencji przed zagrożeniami zewnętrznymi. Oto, jak to zrobić:
Tworzenie prywatnych punktów końcowych dla wszystkich usług platformy sztucznej inteligencji. Prywatne punkty końcowe zapewniają dedykowane interfejsy sieciowe w ramach sieci wirtualnej, które łączą się bezpośrednio z usługami platformy Azure. Ta konfiguracja usuwa publiczne narażenie na internet przy zachowaniu pełnej funkcjonalności i wydajności obciążeń sztucznej inteligencji. Użyj linku prywatnego dla rozwiązania Foundry i zastosuj te same ograniczenia do usług azure AI.
Wdrażanie usług pomocniczych w granicach sieci. Usługi pomocnicze, takie jak Azure Storage, Azure Key Vault i Azure Container Registry, muszą działać w ramach tej samej bezpiecznej granicy sieci co usługi sztucznej inteligencji. Konfiguracja ta zapewnia spójne podejście do zabezpieczeń we wszystkich składnikach, jednocześnie utrzymując odpowiednie mechanizmy kontroli dostępu dla zależności związanych z obciążeniem pracą AI. Użyj prywatnych punktów końcowych, aby połączyć te usługi pomocnicze z zarządzanymi sieciami wirtualnymi, jak pokazano w architekturze referencyjnej czatu rozwiązania Baseline Foundry.
Sterowanie ruchem sieciowym
Kontrola ruchu sieciowego definiuje sposób przepływu danych między usługami sztucznej inteligencji i systemami zewnętrznymi. Odpowiednie ograniczenia ruchu chronią poufne dane sztucznej inteligencji i zapewniają bezpieczne operacje. Należy zaimplementować mechanizmy kontroli ruchu w celu ochrony obciążeń sztucznej inteligencji i zapewnienia bezpieczeństwa operacyjnego. Oto, jak to zrobić:
Wdrażanie bezpiecznego dostępu przy użyciu infrastruktury serwera przesiadkowego. Dostęp do serwera Jumpbox zapewnia scentralizowany punkt wejścia do środowiska sieciowego sztucznej inteligencji, jednocześnie utrzymując ścisłe granice bezpieczeństwa. Ta konfiguracja uniemożliwia bezpośrednie narażenie zasobów sztucznej inteligencji na sieci zewnętrzne przy jednoczesnym włączeniu bezpiecznego dostępu. Użyj serwera przesiadkowego w ramach sieci wirtualnej obciążenia sztucznej inteligencji lub sieci wirtualnej koncentratora łączności, a następnie skonfiguruj usługę Azure Bastion pod kątem bezpiecznej łączności RDP/SSH bez uwidaczniania maszyn wirtualnych w publicznym Internecie.
Ogranicz ruch wychodzący do zatwierdzonych miejsc docelowych. Ograniczenia ruchu wychodzącego uniemożliwiają nieautoryzowaną eksfiltrację danych, umożliwiając jednocześnie niezbędną komunikację na potrzeby trenowania i wnioskowania modelu sztucznej inteligencji. Takie podejście chroni modele sztucznej inteligencji i dane szkoleniowe przy zachowaniu łączności dla legalnych operacji. Ogranicz ruch wychodzący do zatwierdzonych usług i w pełni kwalifikowanych nazw domen (FQDNs), zgodnie z dokumentacją dla usług Azure AI i Foundry.
Przygotowywanie usług rozpoznawania nazw domen. Wdróż infrastrukturę usługi Azure DNS w ramach strefy docelowej platformy Azure i skonfiguruj usługi przesyłania dalej warunkowego dla odpowiednich stref. Ta konfiguracja zapewnia niezawodne rozpoznawanie nazw w celu zapewnienia bezpiecznej komunikacji między obciążeniami sztucznej inteligencji a systemami zewnętrznymi.
Konfigurowanie kontroli dostępu do sieci. Użyj sieciowych grup zabezpieczeń , aby zdefiniować i wymusić zasady dostępu dla ruchu przychodzącego i wychodzącego. Te mechanizmy kontroli implementują zasadę najniższych uprawnień, zapewniając, że dozwolona jest tylko niezbędna komunikacja.
Korzystanie z usług monitorowania sieci. Monitorowanie wydajności i kondycji sieci przy użyciu narzędzi, takich jak Azure Monitor Network Insights i Azure Network Watcher. Aby uzyskać zaawansowane wykrywanie zagrożeń i reagowanie na nie, zintegruj usługę Microsoft Sentinel ze strategią monitorowania sieci platformy Azure.
Wdróż usługę Azure Firewall, aby zabezpieczyć ruch wychodzący. Usługa Azure Firewall wymusza zasady zabezpieczeń dla ruchu wychodzącego przed dotarciem do Internetu. Służy do kontrolowania i monitorowania ruchu wychodzącego, włączania protokołu SNAT na potrzeby translacji prywatnych adresów IP oraz zapewnienia bezpiecznej i możliwej do zidentyfikowania komunikacji wychodzącej.
Użyj usługi Azure Web Application Firewall (WAF) dla obciążeń internetowych. Azure WAF chroni obciążenia sztucznej inteligencji przed typowymi lukami w zabezpieczeniach internetowych, takimi jak wstrzyknięcia kodu SQL i ataki typu cross-site scripting. Skonfiguruj Azure WAF na Application Gateway w celu poprawy bezpieczeństwa obciążeń narażonych na złośliwy ruch webowy.
Zasoby platformy Azure
| Kategoria | Narzędzie | Opis |
|---|---|---|
| Izolacja sieci | Azure Virtual Network | Tworzy bezpieczne granice sieci i umożliwia prywatną komunikację między zasobami platformy Azure |
| Łączność prywatna | Link prywatny platformy Azure | Zapewnia prywatny dostęp do usług platformy Azure za pośrednictwem sieci szkieletowej firmy Microsoft |
| Bezpieczny dostęp | Azure Bastion | Zapewnia bezpieczną łączność RDP/SSH bez ujawnienia publicznych adresów IP |
| Zarządzanie systemem DNS | Prywatna usługa DNS platformy Azure | Zarządza prywatnymi strefami DNS na potrzeby bezpiecznego rozpoznawania nazw w sieciach wirtualnych |
| brama interfejsów API | Azure API Management | Scentralizowanie zarządzania interfejsem API i zabezpieczeń dla punktów końcowych usługi sztucznej inteligencji |
| Zabezpieczenia sieci Web | Azure Application Gateway | Zapewnia bezpieczne zakończenie HTTPS i funkcjonalność zapory aplikacji webowych |
| Dostarczanie globalne | Azure Front Door | Oferuje globalne równoważenie obciążenia i bezpieczną łączność brzegową dla aplikacji sztucznej inteligencji |