Azure Machine Learning için kurumsal güvenlik ve idare

Bu makalede, Azure Machine Learning için kullanılabilen güvenlik ve idare özellikleri hakkında bilgi edinacaksınız. Bu özellikler, bir kuruluşun ilkelerine uygun güvenli bir yapılandırma oluşturmak isteyen yöneticiler, DevOps mühendisleri ve MLOps mühendisleri için kullanışlıdır.

Azure Machine Learning ve Azure platformu ile şunları yapabilirsiniz:

  • Kullanıcı hesabına veya gruplara göre kaynaklara ve işlemlere erişimi kısıtlayın.
  • Gelen ve giden ağ iletişimlerini kısıtlayın.
  • Aktarımdaki ve bekleyen verileri şifreleyin.
  • Güvenlik açıklarını tarayın.
  • Yapılandırma ilkelerini uygulama ve denetleme.

Kaynaklara ve işlemlere erişimi kısıtlama

Microsoft Entra Id , Azure Machine Learning için kimlik hizmeti sağlayıcısıdır. Azure kaynaklarında kimlik doğrulaması yapmak için kullanılan güvenlik nesnelerini (kullanıcı, grup, hizmet sorumlusu ve yönetilen kimlik) oluşturmak ve yönetmek için bunu kullanabilirsiniz. Microsoft Entra Id bunu kullanacak şekilde yapılandırılmışsa çok faktörlü kimlik doğrulaması (MFA) desteklenir.

Microsoft Entra Id'de MFA aracılığıyla Azure Machine Learning için kimlik doğrulama işlemi aşağıdadır:

  1. İstemci Microsoft Entra Kimliği'nde oturum açar ve bir Azure Resource Manager belirteci alır.
  2. İstemci, belirteci Azure Resource Manager'a ve Azure Machine Learning'e sunar.
  3. Azure Machine Learning, kullanıcı işlem hedefine bir Machine Learning hizmet belirteci sağlar (örneğin, Machine Learning işlem kümesi veya sunucusuz işlem). Kullanıcı işlem hedefi, iş tamamlandıktan sonra Machine Learning hizmetine geri çağrı yapmak için bu belirteci kullanır. Kapsam çalışma alanıyla sınırlıdır.

Azure Machine Learning'de kimlik doğrulamayı gösteren diyagram.

Her çalışma alanı, çalışma alanıyla aynı ada sahip, sistem tarafından atanan ilişkili bir yönetilen kimliğe sahiptir. Bu yönetilen kimlik, çalışma alanının kullandığı kaynaklara güvenli bir şekilde erişmek için kullanılır. İlişkili kaynaklar üzerinde aşağıdaki Azure rol tabanlı erişim denetimi (RBAC) izinlerine sahiptir:

Kaynak İzinler
Çalışma alanı Katılımcı
Storage account Depolama Blobu Veri Katılımcısı
Key Vault Tüm anahtarlara, gizli dizilere, sertifikalara erişim
Kapsayıcı kayıt defteri Katılımcı
Çalışma alanını içeren kaynak grubu Katılımcı

Sistem tarafından atanan yönetilen kimlik, Azure Machine Learning ile diğer Azure kaynakları arasında hizmet içi kimlik doğrulaması için kullanılır. Kullanıcılar kimlik belirtecine erişemez ve bu kaynaklara erişim elde etmek için bu belirteci kullanamaz. Kullanıcılar kaynaklara yalnızca Azure Machine Learning denetimi ve veri düzlemi API'leri aracılığıyla (yeterli RBAC izinleri varsa) erişebilir.

Yöneticilerin, yönetilen kimliğin önceki tabloda belirtilen kaynaklara erişimini iptal etmelerini önermeyiz. Anahtarları yeniden eşitleme işlemini kullanarak erişimi geri yükleyebilirsiniz.

Not

Azure Machine Learning çalışma alanınızda 14 Mayıs 2021'de oluşturulmuş işlem hedefleri (örneğin işlem kümesi, işlem örneği veya Azure Kubernetes Service [AKS] örneği) varsa, ek bir Microsoft Entra hesabınız olabilir. Hesap adı ile Microsoft-AzureML-Support-App- başlar ve her çalışma alanı bölgesi için aboneliğinize katkıda bulunan düzeyinde erişime sahiptir.

Çalışma alanınızda aks örneği yoksa bu Microsoft Entra hesabını güvenle silebilirsiniz.

Çalışma alanınız ekli bir AKS kümesine sahipse ve 14 Mayıs 2021'de oluşturulduysa, bu Microsoft Entra hesabını silmeyin. Bu senaryoda, Microsoft Entra hesabını silmeden önce AKS kümesini silip yeniden oluşturmanız gerekir.

Kullanıcı tarafından atanan yönetilen kimliği kullanmak için çalışma alanını sağlayabilir ve ardından yönetilen kimliğe başka roller vekleyebilirsiniz. Örneğin, temel Docker görüntüleri için kendi Azure Container Registry örneğine erişmek için bir rol vekleyebilirsiniz.

Yönetilen kimlikleri Azure Machine Learning işlem kümesiyle kullanmak üzere de yapılandırabilirsiniz. Bu yönetilen kimlik, çalışma alanı yönetilen kimliğinden bağımsızdır. bir işlem kümesiyle, yönetilen kimlik, eğitim işini çalıştıran kullanıcının erişemeyebilir olduğu güvenli veri depoları gibi kaynaklara erişmek için kullanılır. Daha fazla bilgi için bkz . Erişim denetimi için yönetilen kimlikleri kullanma.

İpucu

Azure Machine Learning'de Microsoft Entra Id ve Azure RBAC kullanımıyla ilgili özel durumlar vardır:

  • İsteğe bağlı olarak Azure Machine Learning işlem örneği ve işlem kümesi gibi işlem kaynaklarına Secure Shell (SSH) erişimini etkinleştirebilirsiniz. SSH erişimi, Microsoft Entra Id'yi değil genel/özel anahtar çiftlerini temel alır. Azure RBAC, SSH erişimini yönetmez.
  • Anahtar tabanlı veya belirteç tabanlı kimlik doğrulamasını kullanarak çevrimiçi uç nokta olarak dağıtılan modellerde kimlik doğrulaması yapabilirsiniz. Anahtarlar statik dizelerdir, ancak belirteçler bir Microsoft Entra güvenlik nesnesine alınır. Daha fazla bilgi için bkz . Çevrimiçi uç noktalar için istemcilerin kimliğini doğrulama.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Ağ güvenliği ve yalıtımı sağlama

Azure Machine Learning kaynaklarına ağ erişimini kısıtlamak için Azure Machine Learning yönetilen sanal ağını veya Azure Sanal Ağ örneğini kullanabilirsiniz. Sanal ağ kullanmak, çözümünüz için saldırı yüzeyini ve veri sızdırma olasılığını azaltır.

Birini veya diğerini seçmeniz gerekmez. Örneğin, yönetilen işlem kaynaklarının ve yönetilmeyen kaynaklarınız için bir Azure Sanal Ağ örneğinin güvenliğini sağlamaya yardımcı olmak veya çalışma alanına istemci erişiminin güvenliğini sağlamaya yardımcı olmak için Azure Machine Learning yönetilen sanal ağını kullanabilirsiniz.

  • Azure Machine Learning yönetilen sanal ağı: Çalışma alanınız ve yönetilen işlem kaynaklarınız için ağ yalıtımı sağlayan tam olarak yönetilen bir çözüm sağlar. Diğer Azure hizmetleriyle iletişimin güvenliğini sağlamaya yardımcı olmak için özel uç noktaları kullanabilir ve giden iletişimi kısıtlayabilirsiniz. Aşağıdaki yönetilen işlem kaynaklarının güvenliğini sağlamaya yardımcı olması için yönetilen bir sanal ağ kullanın:

    • Sunucusuz işlem (Spark sunucusuz dahil)
    • İşlem kümesi
    • İşlem örneği
    • Yönetilen çevrimiçi uç nokta
    • Batch çevrimiçi uç noktası
  • Azure Sanal Ağ örneği: Daha özelleştirilebilir bir sanal ağ teklifi sağlar. Ancak, yapılandırma ve yönetim sizin sorumluluğundadır. Giden iletişimi kısıtlamak için ağ güvenlik gruplarını, kullanıcı tanımlı yolları veya güvenlik duvarını kullanmanız gerekebilir.

Daha fazla bilgi için Ağ yalıtımı yapılandırmalarını karşılaştırma makalesini ziyaret edin.

Veri şifreleme

Azure Machine Learning, Azure platformunda çeşitli işlem kaynaklarını ve veri depolarını kullanır. Bu kaynakların her birinin bekleyen ve aktarım sırasında veri şifrelemeyi nasıl desteklediği hakkında daha fazla bilgi edinmek için bkz . Azure Machine Learning ile veri şifreleme.

Veri sızdırmayı önleme

Azure Machine Learning'in çeşitli gelen ve giden ağ bağımlılıkları vardır. Bu bağımlılıklardan bazıları, kuruluşunuzdaki kötü amaçlı aracılar tarafından veri sızdırma riskini ortaya çıkarabilir. Bu riskler Azure Depolama, Azure Front Door ve Azure İzleyici'ye giden gereksinimlerle ilişkilidir. Bu riski azaltmaya yönelik öneriler için bkz . Azure Machine Learning veri sızdırma önleme.

Güvenlik açıklarını tarama

Bulut için Microsoft Defender, hibrit bulut iş yükleri arasında birleşik güvenlik yönetimi ve gelişmiş tehdit koruması sağlar. Azure Machine Learning için Azure Container Registry kaynağınızın ve AKS kaynaklarınızın taranmasını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Kapsayıcı kayıt defterleri için Microsoft Defender'a giriş ve Kubernetes için Microsoft Defender'a giriş.

Uyumluluğu denetleme ve yönetme

Azure İlkesi, Azure kaynaklarının ilkelerinize uygun olduğundan emin olmanıza yardımcı olan bir idare aracıdır. Azure Machine Learning çalışma alanınızın özel uç nokta kullanıp kullanmadığı gibi belirli yapılandırmalara izin vermek veya bunları zorunlu kılmak için ilkeler ayarlayabilirsiniz.

Azure İlkesi hakkında daha fazla bilgi için Azure İlkesi belgelerine bakın. Azure Machine Learning'e özgü ilkeler hakkında daha fazla bilgi için bkz . Azure Machine Learning'i denetleme ve yönetme.