Azure 机器学习 - 机器学习中的企业安全和治理

目录

    • 限制对资源和操作的访问
    • 网络安全性和隔离
    • 数据加密
    • 数据渗透防护
    • 漏洞扫描
    • 审核和管理合规性

在本文中,你将了解可用于 Azure 机器学习的安全和治理功能。 如果管理员、DevOps 和 MLOps 想要创建符合公司策略的安全配置,那么这些功能对其十分有用。 通过 Azure 机器学习和 Azure 平台,你可以:

  • 按用户帐户或组限制对资源和操作的访问
  • 限制传入和传出的网络通信
  • 加密传输中的数据和静态数据
  • 扫描漏洞
  • 应用和审核配置策略

关注TechLead,分享AI全维度知识。作者拥有10+年互联网服务架构、AI产品研发经验、团队管理经验,同济本复旦硕,复旦机器人智能实验室成员,阿里云认证的资深架构师,项目管理专业人士,上亿营收AI产品研发负责人。

file

限制对资源和操作的访问

Microsoft Entra ID 是 Azure 机器学习的标识服务提供程序。 它允许你创建和管理用于向 Azure 资源进行_身份验证_的安全对象(用户、组、服务主体和托管标识)。 如果 Microsoft Entra ID 已配置为使用多重身份验证,则多重身份验证受支持。

下面是在 Microsoft Entra ID 中使用多重身份验证的 Azure 机器学习的身份验证过程:

  1. 客户端登录到 Microsoft Entra ID 并获取 Azure 资源管理器令牌。
  2. 客户端将令牌提供给 Azure 资源管理器和所有 Azure 机器学习服务。
  3. Azure 机器学习将机器学习服务令牌提供给用户计算目标(例如 Azure 机器学习计算群集或无服务器计算)。 作业完成后,用户计算目标使用此令牌回调机器学习服务。 范围限制为工作区。
    file
    每个工作区都有一个关联的系统分配的托管标识,该标识与工作区同名。 此托管标识用于安全地访问工作区使用的资源。 它对关联的资源具有以下 Azure RBAC 权限:
资源权限
工作区参与者
存储帐户存储 Blob 数据参与者
密钥保管库访问所有密钥、机密和证书
Azure 容器注册表参与者
包含工作区的资源组参与者

系统分配的托管标识用于在 Azure 机器学习与其他 Azure 资源之间进行内部的服务到服务身份验证。 用户无法访问标识令牌,并且无法使用它来获取对这些资源的访问权限。 用户在具有足够 RBAC 权限的情况下,只能通过 Azure 机器学习控制和数据平面 API 来访问这些资源。

不建议管理员撤销托管标识对上表中所述资源的访问权限。 可以使用“重新同步密钥”操作来恢复访问权限。

可以将工作区预配为使用用户分配的托管标识,并将其他角色授予托管标识,以便访问所需目标(例如,访问你自己的 Azure 容器注册表以获取基础 Docker 映像)。 还可以将托管标识配置为与 Azure 机器学习计算群集配合使用。 此托管标识独立于工作区托管标识。 使用计算群集时,可以使用托管标识来访问运行训练作业的用户可能无权访问的资源,例如安全数据存储。 有关详细信息,请参阅使用托管标识进行访问控制。

网络安全性和隔离

要限制对 Azure 机器学习资源的网络访问,可以使用 Azure 机器学习托管虚拟网络或 Azure 虚拟网络 (VNet)。 使用虚拟网络会减少解决方案的受攻击面并降低数据外泄的几率。

你不必非此即彼。 例如,你可以使用托管虚拟网络来保护托管计算资源,使用 Azure 虚拟网络来保护非托管资源,或者保护客户端对工作区的访问。

  • Azure 机器学习托管虚拟网络提供了一个完全托管的解决方案,可为你的工作区和托管计算资源启用网络隔离。 你可以使用专用终结点来保护与其他 Azure 服务的通信,并可以限制出站通信。 以下托管计算资源通过托管网络进行保护:

    • 无服务器计算(包括 Spark 无服务器)
    • 计算群集
    • 计算实例
    • 托管联机终结点
    • 批处理联机终结点

    有关详细信息,请参阅 Azure 机器学习托管虚拟网络。

  • Azure 虚拟网络提供了自定义程度更高的虚拟网络产品。 但是,你负责配置和管理。 你可能需要使用网络安全组、用户定义的路由或防火墙来限制出站通信。

数据加密

Azure 机器学习使用 Azure 平台上的各种计算资源和数据存储。 要详细了解其中每个志愿如何支持静态数据加密和传输中数据加密,请参阅 Azure 机器学习的数据加密。

数据渗透防护

Azure 机器学习有多个入站和出站网络依赖项。 其中一些依赖项可暴露由组织内的恶意代理导致的数据外泄风险。 这些风险与 Azure 存储、Azure Front Door 和 Azure Monitor 的出站要求相关联。 有关缓解此风险的建议,请参阅 Azure 机器学习数据外泄防护一文。

漏洞扫描

Microsoft Defender for Cloud 跨混合云工作负载提供统一的安全管理和高级威胁防护。 对于 Azure 机器学习,应启用对 Azure 容器注册表资源和 Azure Kubernetes 服务资源的扫描。 有关详细信息,请参阅通过 Defender for Cloud 扫描 Azure 容器注册表映像和 Azure Kubernetes 服务与 Defender for Cloud 的集成。

审核和管理合规性

Azure Policy 是一种管理工具,你可用它来确保 Azure 资源符合你的策略。 可以设置策略以允许或强制实施特定配置,例如 Azure 机器学习工作区是否使用专用终结点。 有关 Azure Policy 的详细信息,请参阅 Azure Policy 文档。 若要详细了解特定于 Azure 机器学习的策略,请参阅使用 Azure Policy 审核和管理合规性。

关注TechLead,分享AI全维度知识。作者拥有10+年互联网服务架构、AI产品研发经验、团队管理经验,同济本复旦硕,复旦机器人智能实验室成员,阿里云认证的资深架构师,项目管理专业人士,上亿营收AI产品研发负责人。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/191523.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux必备基础命令,JAVA程序员必备

目录 一、了解基本的左侧栏什么意思​编辑 二、ls,ll(list,查找目录内容) 三、cd(change directory,切换目录) 小技巧,我们在查找东西的时候,可以使用tab进行智能补全。 四、touch(建立文件…

R程序 示例4.3.2版本包 在centos进行编译部署

为了在CentOS上下载和编译R语言4.3.2包,可以按照以下步骤进行操作: 1.首先,需要安装一些必要的依赖项。可以使用以下命令安装它们: sudo yum install -y epel-release sudo yum install -y gcc gcc-c gcc-gfortran readline-dev…

RTSP/Onvif安防平台EasyNVR批量禁用/启用通道接口的详细操作步骤

TSINGSEE青犀视频安防监控平台EasyNVR可支持设备通过RTSP/Onvif协议接入,并能对接入的视频流进行处理与多端分发,包括RTSP、RTMP、HTTP-FLV、WS-FLV、HLS、WebRTC等多种格式。在智慧安防等视频监控场景中,EasyNVR可提供视频实时监控直播、云端…

Python爬虫过程中DNS解析错误解决策略

在Python爬虫开发中,经常会遇到DNS解析错误,这是一个常见且也令人头疼的问题。DNS解析错误可能会导致爬虫失败,但幸运的是,我们可以采取一些策略来处理这些错误,确保爬虫能够正常运行。本文将介绍什么是DNS解析错误&am…

RAFT3D 代码复现

代码地址 https://github.com/princeton-vl/RAFT-3D 配置环境 1.创建环境 conda create -n raft3d python3.8 conda activate raft3d2.安装库 conda install pytorch1.8.0 torchvision0.9.0 torchaudio0.8.0 cudatoolkit11.1 -c pytorch -c conda-forgesudo apt-get insta…

linux查看端口占用情况

lsof命令 lsof(list open files)命令可以列出当前系统中打开的所有文件,包括网络端口。可以使用lsof命令查看某个端口被哪个进程占用。 具体的命令为:sudo lsof -i :端口号,其中端口号为需要查询的端口号。 netstat命令 使用netstat命令&a…

使用责任链模式实现登录风险控制

责任链模式 责任链模式是是设计模式中的一种行为型模式。该模式下,多个对象通过next属性进行关系关联,从而形成一个对象执行链表。当发起执行请求时,会从首个节点对象开始向后依次执行,如果一个对象不能处理该请求或者完成了请求…

DefaultListableBeanFactory

DefaultListableBeanFactory 是一个完整的、功能成熟的 IoC 容器,如果你的需求很简单,甚至可以直接使用 DefaultListableBeanFactory,如果你的需求比较复杂,那么通过扩展 DefaultListableBeanFactory 的功能也可以达到&#xff0c…

金蝶云星空和管易云接口打通对接实战

金蝶云星空和管易云接口打通对接实战 对接系统:金蝶云星空 金蝶K/3Cloud结合当今先进管理理论和数十万家国内客户最佳应用实践,面向事业部制、多地点、多工厂等运营协同与管控型企业及集团公司,提供一个通用的ERP服务平台。K/3Cloud支持的协同…

时序数据库 TDengine + 高级分析软件 Seeq,助力企业挖掘时序数据潜力

作为一款制造业和工业互联网(IIOT)高级分析软件,Seeq 支持在工艺制造组织中使用机器学习创新的新功能。这些功能使组织能够将自己或第三方机器学习算法部署到前线流程工程师和主题专家使用的高级分析应用程序,从而使单个数据科学家…

sqlserver查询时去除1900-01-01

在下图示例中“chk_date”字段在数据中显示的是默认时间,如何将这个时间在SQL查询时设为空? cast(nullif(a.chk_date,) as datetime) 确认日期 以上是我的方法。 select chk_date as 日期 from Ixa_payment_req 运行结果是:1900-01-01 00:0…

【移远QuecPython】EC800M物联网开发板的SIM卡初始化和网络状态检测

【移远QuecPython】EC800M物联网开发板的SIM卡初始化和网络状态检测 文章目录 SIM卡初始化导入库获取SIM状态 网络检测导入库等待网络就绪 函数打包附录:列表的赋值类型和py打包列表赋值BUG复现代码改进优化总结 py打包 SIM卡初始化 导入库 import sim获取SIM状态…

【机器学习基础】机器学习入门(2)

🚀个人主页:为梦而生~ 关注我一起学习吧! 💡专栏:机器学习 欢迎订阅!后面的内容会越来越有意思~ 💡往期推荐:【机器学习基础】机器学习入门(1) 💡…

Java项目开发:基于Springboot+vue口腔牙科诊所管理系统

项目介绍 本选题则旨在通过标签分类管理等方式,实现管理员:首页、个人中心、会员管理、病例就诊信息管理、牙齿保健产品管理、复查提醒管理、预约挂号管理、药品信息管理、留言板管理、系统管理、订单管理,会员;首页、个人中心、…

Python logging模块打印日志

logging打印日志,文件名为log_config.py import logging import sysdef setup_logger(log_file, error_log_file):# 创建一个日志记录器logger logging.getLogger(__name__)logger.setLevel(logging.DEBUG) # 设置全局日志级别为 DEBUG# 创建一个文件处理器&…

arcgis--二维建筑面的三维显示设置

1、打开ArcScene软件,导入数据,如下: 2、 对建筑面进行拉伸。双击建筑物面图层,打开属性表,选择【拉伸】选项卡,参数设置如下: 显示结果如下:

C#中.NET 6.0控制台应用通过EF访问已建数据库

目录 一、新建.NET 6.0控制台应用并建立数据库连接 二、下载并安装EF程序包 三、自动生成EF模型和上下文 1.Blog类模型 2.Post类模型 3.数据库上下文 四、设计自己的应用 VS2022的.NET6.0、.NET7.0框架下默认支持EF7(版本号7.0.13),除…

【腾讯云 HAI域探秘】探索AI绘画之路:利用腾讯云HAI服务打造智能画家

目录 前言1 使用HAI服务作画的步骤1.1 注册腾讯云账户1.2 创建算力服务器1.3 进入模型管理界面1.4 汉化界面1.5 探索AI绘画 2 模型参数的含义和调整建议2.1 模型参数的含义和示例2.2 模型参数的调整建议 3 调整参数作画的实践和效果3.1 实践说明3.2 实践效果13.3 实践效果23.4 …

No200.精选前端面试题,享受每天的挑战和学习

🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6 🍨 阿珊和她的猫_CSDN个人主页 🕠 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 🍚 蓝桥云课签约作者、已在蓝桥云课上架的前后端实战课程《Vue.js 和 Egg.js 开发企业级健康管理项目》、《带你从入…

Idea 编译SpringBoot项目Kotlin报错/Idea重新编译

原因应该是一次性修改了大量的文件, SpringBoot项目启动Kotlin报错, Build Project也是同样的结果, 报错如下 Error:Kotlin: Module was compiled with an incompatible version of Kotlin. The binary version of its metadata is 1.9.0, expected version is 1.1.13. Build-&…