Pianificare l'isolamento rete

Questo articolo illustra come pianificare l'isolamento della rete per Azure Machine Learning ed elementi consigliati. Questo articolo è destinato agli amministratori IT che desiderano progettare l'architettura di rete.

L’uso di una rete virtuale gestita offre una configurazione più semplice per l'isolamento della rete. Protegge automaticamente l'area di lavoro e le risorse di calcolo gestite in una rete virtuale gestita. È possibile aggiungere connessioni endpoint privato per altri servizi di Azure su cui si basa l'area di lavoro, ad esempio account di Archiviazione di Microsoft Azure. A seconda delle esigenze, è possibile consentire tutto il traffico in uscita verso la rete pubblica o consentire solo il traffico in uscita approvato. Il traffico in uscita richiesto dal servizio Azure Machine Learning viene abilitato automaticamente per la rete virtuale gestita. È consigliabile usare l'isolamento network gestito dell'area di lavoro per un metodo di isolamento della rete meno predefinito. Sono disponibili due modelli: consentire la modalità Internet in uscita o consentire solo la modalità in uscita approvata.

Consenti modalità Internet in uscita

Usare questa opzione se si vuole consentire ai tecnici di Machine Learning di accedere liberamente a Internet. È possibile creare altre regole in uscita dell'endpoint privato per consentire loro di accedere alle risorse private in Azure.

Diagramma dell'isolamento network gestito configurato per Internet in uscita.

Consenti solo la modalità in uscita approvata

Usare questa opzione se si vuole ridurre al minimo il rischio di esfiltrazione dei dati e controllare a quali tecnici di Machine Learning possono accedere. È possibile controllare le regole in uscita usando endpoint privato, tag di servizio e FQDN.

Diagramma dell'isolamento network gestito configurato per consentire solo il traffico in uscita approvato.

Se si dispone di un requisito specifico o di criteri aziendali che impediscono l'uso di una rete virtuale gestita, è possibile usare un rete virtuale di Azure per l'isolamento della rete.

Il diagramma seguente è l'architettura consigliata per rendere private tutte le risorse, ma consentire l'accesso a Internet in uscita dalla rete virtuale. Questo diagramma descrive l'architettura seguente:

  • Inserire tutte le risorse nella stessa area.
  • Una rete virtuale hub che contiene il firewall.
  • Una rete virtuale spoke che contiene le risorse seguenti:
    • Una subnet di training contiene istanze di calcolo e cluster usati per il training dei modelli di Machine Learning. Queste risorse sono configurate per nessun indirizzo IP pubblico.
    • Una subnet di assegnazione dei punteggi contiene un cluster del servizio Azure Kubernetes.
    • Una subnet "pe" contiene endpoint privati che si connettono all'area di lavoro e alle risorse private usate dall'area di lavoro (archiviazione, insieme di credenziali delle chiavi, registro contenitori e così via)
  • Gli endpoint online gestiti usano l'endpoint privato dell'area di lavoro per elaborare le richieste in ingresso. Un endpoint privato viene usato anche per consentire alle distribuzioni di endpoint online gestiti di accedere all'archiviazione privata.

Questa architettura bilancia la sicurezza di rete e la produttività dei tecnici di ML.

Diagramma dell'architettura di rete consigliata.

È possibile automatizzare la creazione di questi ambienti usando un modello Bicep o modello Terraform. senza endpoint online gestito o servizio Azure Kubernetes. L'endpoint online gestito è la soluzione se non si ha un cluster del servizio Azure Kubernetes esistente per il punteggio del modello di intelligenza artificiale. Per altre informazioni, consultare la documentazione relativa a come proteggere l'endpoint online. Il servizio Azure Kubernetes con l'estensione Azure Machine Learning è la soluzione se si dispone di un cluster del servizio Azure Kubernetes esistente per il punteggio del modello di intelligenza artificiale. Per altre informazioni, consultare la documentazione relativa a come collegare kubernetes.

Rimozione dei requisiti del firewall

Se si vuole rimuovere il requisito del firewall, è possibile usare i gruppi di sicurezza di rete e NAT della rete virtuale di Azure per consentire la connessione Internet in uscita dalle risorse di elaborazione private.

Diagramma dell'architettura di rete consigliata senza firewall.

Uso dell'area di lavoro pubblica

È possibile usare un'area di lavoro pubblica se si ha familiarità con l'autenticazione e l'autorizzazione di Microsoft Entra con l'accesso condizionale. Un'area di lavoro pubblica include alcune funzionalità per mostrare i dati nell'account di archiviazione privato ed è consigliabile usare l'area di lavoro privata.

Questo diagramma mostra l'architettura consigliata per rendere tutte le risorse private e controllare le destinazioni in uscita per evitare l'esfiltrazione dei dati. Questa architettura è consigliabile quando si usa Azure Machine Learning con i dati sensibili nell'ambiente di produzione. Questo diagramma descrive l'architettura seguente:

  • Inserire tutte le risorse nella stessa area.
  • Una rete virtuale hub che contiene il firewall.
    • Oltre ai tag di servizio, il firewall usa FQDN per impedire l'esfiltrazione dei dati.
  • Una rete virtuale spoke che contiene le risorse seguenti:
    • Una subnet di training contiene istanze di calcolo e cluster usati per il training dei modelli di Machine Learning. Queste risorse sono configurate per nessun indirizzo IP pubblico. Inoltre, vengono applicati un endpoint di servizio e i criteri dell'endpoint di servizio per impedire l'esfiltrazione dei dati.
    • Una subnet di assegnazione dei punteggi contiene un cluster del servizio Azure Kubernetes.
    • Una subnet "pe" contiene endpoint privati che si connettono all'area di lavoro e alle risorse private usate dall'area di lavoro (archiviazione, insieme di credenziali delle chiavi, registro contenitori e così via)
  • Gli endpoint online gestiti usano l'endpoint privato dell'area di lavoro per elaborare le richieste in ingresso. Un endpoint privato viene usato anche per consentire alle distribuzioni di endpoint online gestiti di accedere all'archiviazione privata.

Diagramma della rete consigliata con la configurazione di protezione dell'esfiltrazione dei dati.

Le tabelle seguenti elencano i tag del servizio di Azure in uscita e i nomi di dominio completi (FQDN) richiesti con impostazione di protezione esfiltrazione di dati:

Tag del servizio in uscita Protocollo Port
AzureActiveDirectory TCP 80, 443
AzureResourceManager TCP 443
AzureMachineLearning UDP 5831
BatchNodeManagement TCP 443
FQDN in uscita Protocollo Port
mcr.microsoft.com TCP 443
*.data.mcr.microsoft.com TCP 443
ml.azure.com TCP 443
automlresources-prod.azureedge.net TCP 443

Uso dell'area di lavoro pubblica

È possibile usare l'area di lavoro pubblica se si ha familiarità con l'autenticazione e l'autorizzazione di Microsoft Entra con l'accesso condizionale. Un'area di lavoro pubblica include alcune funzionalità per mostrare i dati nell'account di archiviazione privato ed è consigliabile usare l'area di lavoro privata.

Considerazioni chiave per comprendere i dettagli

Azure Machine Learning include risorse IaaS e PaaS

L'isolamento di rete di Azure Machine Learning prevede componenti PaaS (Platform as a Service) e Infrastructure as a Service (IaaS). I servizi PaaS, ad esempio l'area di lavoro di Azure Machine Learning, l'archiviazione, l'insieme di credenziali delle chiavi, il registro contenitori e il monitoraggio, possono essere isolati tramite collegamento privato. I servizi di calcolo IaaS, ad esempio istanze di calcolo/cluster per il training del modello di intelligenza artificiale, e il servizio Azure Kubernetes o gli endpoint online gestiti per il punteggio dei modelli di intelligenza artificiale, possono essere inseriti nella rete virtuale e comunicare con i servizi PaaS tramite collegamento privato. Il diagramma seguente è un esempio di questa architettura.

Diagramma dei componenti IaaS e PaaS.

In questo diagramma, le istanze di calcolo, i cluster di calcolo e i cluster del servizio Azure Kubernetes si trovano all'interno della rete virtuale. Possono accedere all'area di lavoro di Azure Machine Learning o all'archiviazione usando un endpoint privato. Anziché un endpoint privato, è possibile usare un endpoint di servizio per Archiviazione di Azure e Azure Key Vault. Gli altri servizi non supportano l'endpoint di servizio.

Configurazioni in ingresso e in uscita necessarie

Azure Machine Learning ha diverse configurazioni in ingresso e in uscita necessarie con la rete virtuale. Se si dispone di una rete virtuale autonoma, la configurazione è semplice usando il gruppo di sicurezza di rete. Tuttavia, potrebbe essere disponibile un'architettura di rete hub-spoke o mesh, un firewall, un'appliance virtuale di rete, un proxy e un routing definito dall'utente. In entrambi i casi, assicurarsi di consentire i componenti di sicurezza di rete in ingresso e in uscita.

Diagramma della rete hub-spoke con il firewall in uscita.

In questo diagramma è disponibile un'architettura di rete hub e spoke. La rete virtuale spoke include risorse per Azure Machine Learning. La rete virtuale dell'hub ha un firewall che controlla Internet in uscita dalle reti virtuali. In questo caso, il firewall deve consentire le risorse necessarie in uscita e le risorse di calcolo nella rete virtuale spoke devono essere in grado di raggiungere il firewall.

Suggerimento

Nel diagramma l'istanza di calcolo e il cluster di calcolo sono configurati per nessun indirizzo IP pubblico. Se invece si usa un'istanza di calcolo o un cluster con IP pubblico, è necessario consentire l'ingresso dal tag del servizio Azure Machine Learning usando un gruppo di sicurezza di rete (NSG) e il routing definito dall'utente per ignorare il firewall. Questo traffico in ingresso proviene da un servizio Microsoft (Azure Machine Learning). Tuttavia, è consigliabile usare l'opzione nessun indirizzo IP pubblico per rimuovere questo requisito in ingresso.

Se si ha un server DNS ospitato in Azure o in locale, è necessario creare un server d'inoltro condizionale nel server DNS. Il server d'inoltro condizionale invia richieste DNS al DNS di Azure per tutti i servizi PaaS abilitati per il collegamento privato. Per altre informazioni, vedere gli articoli Scenari di configurazione DNS e Configurazione DNS specifica di Azure Machine Learning.

Protezione dall'esfiltrazione di dati

Abbiamo due tipi di uscita; di sola lettura e di lettura/scrittura. La sola lettura in uscita non può essere sfruttata da soggetti malintenzionati, ma può essere di lettura/scrittura in uscita. Archiviazione di Azure e Frontdoor di Azure (tag del servizio frontdoor.frontend) sono in uscita di lettura/scrittura nel nostro caso.

È possibile attenuare questo rischio di esfiltrazione dei dati usando la nostra soluzione di prevenzione dell'esfiltrazione dei dati. I criteri degli endpoint di servizio vengono usati con un alias di Azure Machine Learning per consentire l'uscita solo agli account di archiviazione gestiti di Azure Machine Learning. Non è necessario aprire l'archiviazione in uscita nel firewall.

Diagramma della rete con configurazione di protezione esfiltrazione.

In questo diagramma l'istanza di calcolo e il cluster devono accedere agli account di archiviazione gestiti di Azure Machine Learning per ottenere script di configurazione. Anziché aprire l'archiviazione in uscita, è possibile usare i criteri degli endpoint di servizio con l'alias di Azure Machine Learning per consentire l'accesso alle risorse di archiviazione solo agli account di archiviazione di Azure Machine Learning.

Le tabelle seguenti elencano i tag del servizio di Azure in uscita e i nomi di dominio completi (FQDN) richiesti con impostazione di protezione esfiltrazione di dati:

Tag del servizio in uscita Protocollo Port
AzureActiveDirectory TCP 80, 443
AzureResourceManager TCP 443
AzureMachineLearning UDP 5831
BatchNodeManagement TCP 443
FQDN in uscita Protocollo Port
mcr.microsoft.com TCP 443
*.data.mcr.microsoft.com TCP 443
ml.azure.com TCP 443
automlresources-prod.azureedge.net TCP 443

Endpoint online gestito

La sicurezza per le comunicazioni in ingresso e in uscita viene configurata separatamente per gli endpoint online gestiti.

Comunicazione in ingresso

Azure Machine Learning usa un endpoint privato per proteggere le comunicazioni in ingresso a un endpoint online gestito. Impostare il flag di public_network_access dell'endpoint su disabled per impedire l'accesso pubblico. Quando questo flag è disabilitato, l'endpoint può essere accessibile solo tramite l'endpoint privato dell'area di lavoro di Azure Machine Learning e non può essere raggiunto dalle reti pubbliche.

Comunicazione in uscita

Per proteggere le comunicazioni in uscita da una distribuzione alle risorse, Azure Machine Learning usa una rete virtuale gestita dell'area di lavoro. La distribuzione deve essere creata nella rete virtuale gestita dell'area di lavoro in modo che possa usare gli endpoint privati della rete virtuale gestita dell'area di lavoro per la comunicazione in uscita.

Il diagramma dell'architettura seguente illustra come il flusso delle comunicazioni passa attraverso gli endpoint privati verso l'endpoint online gestito. Le richieste di assegnazione in ingresso dalla rete virtuale di un client passano attraverso l'endpoint privato dell'area di lavoro all'endpoint online gestito. La comunicazione in uscita dalle distribuzioni ai servizi viene gestita tramite endpoint privati dalla rete virtuale gestita dell'area di lavoro a tali istanze del servizio.

Diagramma che mostra la comunicazione in ingresso tramite un endpoint privato dell'area di lavoro e la comunicazione in uscita tramite endpoint privati di una rete virtuale gestita dell'area di lavoro.

Per altre informazioni, vedere Isolamento di rete con gli endpoint online gestiti.

Carenza di indirizzi IP privati nella rete principale

Azure Machine Learning richiede indirizzi IP privati; un INDIRIZZO IP per istanza di calcolo, nodo del cluster di calcolo ed endpoint privato. Sono necessari anche molti indirizzi IP se si usa il servizio Azure Kubernetes. La rete hub-spoke connessa alla rete locale potrebbe non avere uno spazio di indirizzi IP privato sufficiente. In questo scenario è possibile usare reti virtuali isolate senza peering per le risorse di Azure Machine Learning.

Diagramma delle reti connesse da endpoint privati anziché peering.

In questo diagramma la rete virtuale principale richiede gli indirizzi IP per gli endpoint privati. È possibile avere reti virtuali hub-spoke per più aree di lavoro di Azure Machine Learning con spazi indirizzi di grandi dimensioni. Uno svantaggio di questa architettura consiste nel raddoppiare il numero di endpoint privati.

Imposizione dei criteri di rete

È possibile usare criteri predefiniti se si vogliono controllare i parametri di isolamento della rete con l'area di lavoro self-service e la creazione delle risorse di calcolo.

Altre considerazioni minori

Impostazione di calcolo della compilazione di immagini per Registro Azure Container dietro la rete virtuale

Se si inserisce il Registro contenitori di Azure dietro l'endpoint privato, il Registro Azure Container non può compilare le immagini Docker. Per creare immagini, è necessario usare l'istanza di calcolo o il cluster di calcolo. Per altre informazioni, vedere l'articolo come impostare il calcolo per la compilazione di immagini.

Se si prevede di usare studio di Azure Machine Learning, sono necessari passaggi di configurazione aggiuntivi. Questi passaggi consentono di impedire eventuali scenari di esfiltrazione di dati. Per altre informazioni, consultare l’articolo relativo a come usare studio di Azure Machine Learning in una rete virtuale di Azure.

Passaggi successivi

Per altre informazioni sull'uso di una rete virtuale gestita, vedere i seguenti articoli:

Per altre informazioni sull'uso di una rete virtuale di Azure, vedere gli articoli seguenti: