Azure AI Studio için güvenlik açığı yönetimi

  • Makale

Önemli

Bu makalede işaretlenen (önizleme) öğeler şu anda genel önizleme aşamasındadır. Bu önizleme, hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Güvenlik açığı yönetimi, bir kuruluşun sistemlerinde ve yazılımlarında mevcut olan güvenlik açıklarını algılamayı, değerlendirmeyi, azaltmayı ve raporlamayı içerir. Güvenlik açığı yönetimi, sizinle Microsoft arasında paylaşılan bir sorumluluktur.

Bu makalede bu sorumluluklar ele alınmaktadır ve Azure AI Studio'nun sağladığı güvenlik açığı yönetimi denetimleri özetlenmektedir. Hizmet örneğinizi ve uygulamalarınızı en son güvenlik güncelleştirmeleriyle güncel tutmayı ve saldırganlar için fırsat penceresini en aza indirmeyi öğreneceksiniz.

Microsoft tarafından yönetilen VM görüntüleri

Microsoft, işlem örnekleri ve sunucusuz işlem kümeleri için konak işletim sistemi sanal makinesi (VM) görüntülerini yönetir. Güncelleştirme sıklığı aylıktır ve aşağıdaki ayrıntıları içerir:

  • Her yeni VM görüntüsü sürümü için en son güncelleştirmeler işletim sisteminin özgün yayımcısından alınır. En son güncelleştirmeleri kullanmak, işletim sistemiyle ilgili tüm geçerli düzeltme eklerini aldığınızdan emin olmanıza yardımcı olur. Azure AI Studio için yayımcı, tüm Ubuntu görüntüleri için Kurallı'dır.

  • VM görüntüleri aylık olarak güncelleştirilir.

  • Microsoft, özgün yayımcının uyguladığı düzeltme eklerine ek olarak, güncelleştirmeler kullanılabilir olduğunda sistem paketlerini güncelleştirir.

  • Microsoft, yükseltme gerektirebilecek makine öğrenmesi paketlerini denetler ve doğrular. Çoğu durumda, yeni VM görüntüleri en son paket sürümlerini içerir.

  • Tüm VM görüntüleri, düzenli olarak güvenlik açığı taraması çalıştıran güvenli abonelikler üzerine kurulmuştur. Microsoft, yetkisiz güvenlik açıklarını bayrakla işaretleyip sonraki sürümde düzeltir.

  • Sıklık, çoğu görüntü için aylık aralıktır. İşlem örnekleri için görüntü sürümü, ortama önceden yüklenmiş olan Azure Machine Learning SDK'sının yayın temposuyla uyumlu hale gelir.

Microsoft, normal sürüm temposunun yanı sıra güvenlik açıkları ortaya çıkarsa düzeltmeler uygular. Microsoft, sunucusuz işlem kümeleri için 72 saat içinde ve işlem örnekleri için bir hafta içinde düzeltmeler dağıtır.

Not

Konak işletim sistemi, bir modeli eğitirken veya dağıtırken bir ortam için belirteceğiniz işletim sistemi sürümü değildir. Ortamlar Docker içinde çalışır. Docker konak işletim sisteminde çalışır.

Microsoft tarafından yönetilen kapsayıcı görüntüleri

Microsoft'un Azure AI Studio için koruduğu temel docker görüntüleri , yeni bulunan güvenlik açıklarını gidermek için sık sık güvenlik düzeltme ekleri alır.

Microsoft, güvenlik açıklarını gidermek için desteklenen görüntülere yönelik güncelleştirmeleri iki haftada bir yayımlar. Taahhüt olarak, desteklenen görüntülerin en son sürümünde 30 günden eski bir güvenlik açığı olmamasını hedefliyoruz.

Düzeltme eki uygulanmış görüntüler yeni sabit bir etiket ve güncelleştirilmiş :latest bir etiket altında yayınlanır. Etiketi kullanmak :latest veya belirli bir görüntü sürümüne sabitlemek, makine öğrenmesi işiniz için güvenlik ve ortam yeniden üretilebilirliği arasında bir denge olabilir.

Ortamları ve kapsayıcı görüntülerini yönetme

Azure AI Studio'da Docker görüntüleri, istem akışı dağıtımları için bir çalışma zamanı ortamı sağlamak için kullanılır. Görüntüler, Azure AI Studio tarafından sunulan temel bir görüntüden oluşturulur.

Microsoft her sürümde temel görüntülere yama eklese de, en son görüntüyü kullanıp kullanmadığınız, yeniden üretilebilirlik ile güvenlik açığı yönetimi arasında bir denge olabilir. İşleriniz veya model dağıtımlarınız için kullandığınız ortam sürümünü seçmek sizin sorumluluğunuzdadır.

Varsayılan olarak, bir görüntü oluştururken bağımlılıklar temel görüntülerin üzerine katmanlanır. Microsoft tarafından sağlanan görüntülerin üzerine daha fazla bağımlılık yükledikten sonra güvenlik açığı yönetimi sizin sorumluluğunuzda olur.

AI Studio hub'ınız ile ilişkili, kapsayıcı görüntüleri için önbellek olarak çalışan bir Azure Container Registry örneğidir. Gerçekleştirilmiş tüm görüntüler kapsayıcı kayıt defterine gönderilir. Çalışma alanı, ilgili ortam için dağıtım tetiklendiğinde bunu kullanır.

Hub, kapsayıcı kayıt defterinizdeki hiçbir görüntüyü silmez. Zaman içinde görüntü gereksinimini değerlendirmek sizin sorumluluğundadır. Ortam hijyenini izlemek ve korumak için, görüntülerinizi güvenlik açıklarına karşı taramaya yardımcı olmak üzere Kapsayıcı Kayıt Defteri için Microsoft Defender'ı kullanabilirsiniz. Microsoft Defender'ın tetikleyicilerini temel alarak işlemlerinizi otomatikleştirmek için bkz . Düzeltme yanıtlarını otomatikleştirme.

İşlem konaklarında güvenlik açığı yönetimi

Azure AI Studio'daki yönetilen işlem düğümleri, Microsoft tarafından yönetilen işletim sistemi VM görüntülerini kullanır. Bir düğüm sağladığınızda en son güncelleştirilmiş VM görüntüsünü çeker. Bu davranış işlem örneği, sunucusuz işlem kümesi ve yönetilen çıkarım işlem seçenekleri için geçerlidir.

İşletim sistemi VM görüntülerine düzenli olarak düzeltme eki uygulansa da, Microsoft kullanımdayken işlem düğümlerini güvenlik açıkları için etkin bir şekilde taramaz. Ek bir koruma katmanı için işlemlerinizin ağ yalıtımını göz önünde bulundurun.

Ortamınızın güncel olduğundan ve işlem düğümlerinin en son işletim sistemi sürümünü kullandığından emin olmak, sizinle Microsoft arasında paylaşılan bir sorumluluktur. Boşta olmayan düğümler en son VM görüntüsüne güncelleştirilemez. Aşağıdaki bölümlerde listelendiği gibi, her işlem türü için dikkat edilmesi gerekenler biraz farklıdır.

İşlem örneği

İşlem örnekleri, sağlama sırasında en son VM görüntülerini alır. Microsoft her ay yeni VM görüntüleri yayınlar. İşlem örneğini dağıttığınızda etkin olarak güncelleştirilmez. En son yazılım güncelleştirmelerini ve güvenlik düzeltme eklerini güncel tutmak için şu yöntemlerden birini kullanabilirsiniz:

  • En son işletim sistemi görüntüsünü almak için bir işlem örneğini yeniden oluşturun (önerilir).

    Bu yöntemi kullanırsanız, örneğin işletim sisteminde ve geçici disklerde depolanan verileri ve özelleştirmeleri (yüklü paketler gibi) kaybedersiniz.

    Görüntü sürümleri hakkında daha fazla bilgi için bkz . Azure Machine Learning işlem örneği görüntüsü sürüm notları.

  • İşletim sistemi ve Python paketlerini düzenli olarak güncelleştirin.

    • Paket listesini en son sürümlerle güncelleştirmek için Linux paket yönetimi araçlarını kullanın:

      sudo apt-get update

    • Paketleri en son sürümlere yükseltmek için Linux paket yönetimi araçlarını kullanın. Bu yaklaşımı kullandığınızda paket çakışmaları oluşabilir.

      sudo apt-get upgrade

    • Paketleri yükseltmek ve güncelleştirmeleri denetlemek için Python paket yönetimi araçlarını kullanın:

      pip list --outdated

Güvenlik sorunlarını taramak için işlem örneğine ek tarama yazılımı yükleyip çalıştırabilirsiniz:

  • İşletim sistemi ve Python paket düzeyi güvenlik açıklarını keşfetmek için Trivy'yi kullanın.
  • Kötü amaçlı yazılımları bulmak için ClamAV kullanın. İşlem örneklerine önceden yüklenmiş olarak gelir.

Sunucular için Microsoft Defender aracı yüklemesi şu anda desteklenmiyor.

Uç Noktalar

Uç noktalar, güvenlik açığı düzeltmelerini içeren işletim sistemi ana bilgisayar görüntüsü güncelleştirmelerini otomatik olarak alır. Görüntülerin güncelleştirme sıklığı ayda en az bir kezdir.

İşlem düğümleri, sürüm yayımlandığında otomatik olarak en son VM görüntüsü sürümüne yükseltilir. Herhangi bir işlem yapmanız gerekmez.

Sonraki adımlar