Recomendaciones de redes para cargas de trabajo de IA en Azure
Este artículo ofrece recomendaciones de redes para organizaciones que ejecutan cargas de trabajo de IA en Azure. Se centra en las soluciones de plataforma como servicio (PaaS) de IA de Azure, incluidos Inteligencia artificial de Azure Studio, Azure OpenAI, Azure Machine Learning y Azure AI Services. Cubre cargas de trabajo de IA generativas y no generativas.
Las redes permiten una conectividad segura y eficiente a los recursos críticos de IA y son fundamentales para la integridad y privacidad de los datos. Las estrategias de red eficaces protegen las cargas de trabajo de IA sensibles del acceso no autorizado y ayudan a optimizar el rendimiento para la formación y el despliegue de modelos de IA.
Configurar redes virtuales
La configuración de redes virtuales hace referencia a la creación y administración de entornos de red privados y seguros para las plataformas de IA de Azure. Las redes virtuales permiten a las organizaciones aislar las cargas de trabajo de IA y crear canales de comunicación seguros. Una configuración adecuada garantiza que solo los usuarios y sistemas autorizados puedan acceder a los recursos críticos de IA, y minimiza la exposición a la Internet pública.
| Plataforma de inteligencia artificial | Recomendaciones para redes virtuales |
|---|---|
| Azure AI Studio | Configurar la red administrada y utilizar puntos de conexión privados |
| Azure OpenAI | Restringir el acceso a determinadas redes virtuales o utilizar puntos de conexión privados |
| Azure Machine Learning | Cree un espacio de trabajo seguro con una red virtual. Planifique el aislamiento de la red. Siga las prácticas recomendadas de seguridad para Azure Machine Learning |
| Servicios de Azure AI | Restringir el acceso a determinadas redes virtuales o utilizar puntos de conexión privados |
Inteligencia artificial de Azure Studio y Azure Machine Learning se implementan en redes virtuales administradas por Microsoft e implementan los servicios dependientes necesarios. Las redes virtuales administradas utilizan puntos de conexión privados para acceder a servicios de Azure compatibles como Azure Storage, Azure Key Vault y Azure Container Registry. Utilice los enlaces para ver las arquitecturas de red de estos servicios para que pueda configurar mejor su red virtual.
Protección de redes virtuales
La seguridad de las redes virtuales implica el uso de puntos de conexión privados, la aplicación de zonas DNS y la habilitación de servidores DNS personalizados para proteger las cargas de trabajo de IA. Estas estrategias limitan la exposición pública a Internet y evitan el acceso no autorizado. Una seguridad de red eficaz es esencial para salvaguardar los modelos de IA sensibles y garantizar el cumplimiento de la privacidad.
Considere los puntos de conexión privados. Ningún servicio PaaS o punto de conexión de modelos de IA debe ser accesible desde la Internet pública. puntos de conexión privados para proporcionar conectividad privada a los servicios Azure dentro de una red virtual. Los puntos de conexión privados añaden complejidad a los despliegues y las operaciones, pero el beneficio de seguridad a menudo supera la complejidad.
Considere la posibilidad de crear puntos de conexión privados para portales de servicios de IA. Los puntos de conexión privados proporcionan acceso seguro y privado a portales PaaS como Inteligencia artificial de Azure Studio y Azure Machine Learning studioF. Configure puntos de conexión privados para estos portales globales en una red virtual central. Esta configuración proporciona un acceso seguro a las interfaces de los portales públicos directamente desde los dispositivos de usuario.
Considere la posibilidad de aplicar zonas DNS privadas. Las zonas DNS privadas centralizan y aseguran la administración DNS para acceder a los servicios PaaS dentro de su red AI. Configure políticas de Azure que impongan zonas DNS privadas y requieran puntos de conexión privados para garantizar resoluciones DNS internas y seguras. Si no dispone de zonas DNS privadas centrales, el reenvío de DNS no funcionará hasta que añada el reenvío condicional manualmente. Por ejemplo, consulte el uso de DNS personalizados con los concentradores Inteligencia artificial de Azure Studio y el área de trabajo de Azure Machine Learning.
Habilite servidores DNS personalizados y puntos de conexión privados para servicios PaaS. Los servidores DNS personalizados administran la conectividad de PaaS dentro de la red, evitando el DNS público. Configure zonas DNS privadas en Azure para resolver nombres de servicios PaaS de forma segura y enrutar todo el tráfico a través de canales de red privados.
Administrar la conectividad
La administración de la conectividad controla cómo interactúan los recursos de IA con los sistemas externos. Técnicas como el uso de jumpbox y la limitación del tráfico saliente ayudan a proteger las cargas de trabajo de IA. Una administración adecuada de la conectividad minimiza los riesgos de seguridad y garantiza unas operaciones de IA fluidas y sin interrupciones.
Utilice un "jumpbox" para el acceso. El acceso para el desarrollo de IA debe utilizar una caja de salto dentro de la red virtual de la carga de trabajo o a través de una red virtual de concentrador de conectividad. Utilice Azure Bastion para conectarse de forma segura a las máquinas virtuales que interactúan con los servicios de IA. Azure Bastion proporciona conectividad RDP/SSH segura sin exponer las máquinas virtuales a la Internet pública. Active Azure Bastion para garantizar datos de sesión cifrados y proteger el acceso a través de conexiones RDP/SSH basadas en TLS.
Limite el tráfico saliente de sus recursos de IA. Limitar el tráfico saliente desde los puntos de conexión del modelo de IA ayuda a proteger los datos confidenciales y a mantener la integridad de los modelos de IA. Para minimizar los riesgos de filtración de datos, restrinja el tráfico saliente a servicios aprobados o nombres de dominio completos (FQDN) y mantenga una lista de fuentes de confianza. Solo debe permitir el tráfico saliente de Internet sin restricciones si necesita acceder a recursos públicos de aprendizaje automático, pero supervise y actualice regularmente sus sistemas. Para obtener más información, consulte Servicios de Azure AI, Inteligencia artificial de Azure Studio y Azure Machine Learning.
Considere usar una puerta de enlace de IA generativa. Considere el uso de Azure API Management (APIM) como puerta de enlace de IA generativa dentro de sus redes virtuales. Una pasarela de IA generativa se sitúa entre su front-end y los puntos de conexión de IA. Application Gateway, las políticas WAF y APIM dentro de la red virtual es una arquitectura establecida en las soluciones de IA generativa. Para obtener más información, consulte Arquitectura de AI Hub e Implementación de la instancia de Azure API Management en varias regiones de Azure.
Utilice HTTPS para la conectividad de Internet a Azure. Las conexiones seguras que utilizan protocolos TLS ayudan a proteger la integridad y confidencialidad de los datos para las cargas de trabajo de IA que se conectan desde Internet. Implemente HTTPS a través de Azure Application Gateway o Azure Front Door. Ambos servicios proporcionan túneles cifrados y seguros para las conexiones que se originan en Internet.