Sicherheitsrisikoverwaltung für Microsoft Foundry (klassisch)

Gilt nur für:klassisches Foundry Portal. Dieser Artikel ist für das neue Foundry-Portal nicht verfügbar. Erfahren Sie mehr über das neue Portal.

Hinweis

Links in diesem Artikel können Inhalte in der neuen Microsoft Foundry-Dokumentation anstelle der jetzt angezeigten Foundry-Dokumentation (klassisch) öffnen.

Wichtig

Dieser Artikel bietet Unterstützung älterer Systeme für hub-basierte Projekte. Es funktioniert nicht für Foundry-Projekte. Sehen Sie , wie Sie wissen, welche Art von Projekt Sie haben?

Das Sicherheitsrisikomanagement ist der Prozess zum Erkennen, Bewerten, Verringern und Melden von Sicherheitsrisiken in den Systemen und Software einer Organisation. Sie und Microsoft diese Verantwortung teilen.

In diesem Artikel werden Ihre Zuständigkeiten und die Sicherheitsverwaltungsmaßnahmen beschrieben, die von Foundry bereitgestellt werden. Erfahren Sie, wie Sie Ihre Dienstinstanz und Apps mit den neuesten Sicherheitsupdates auf dem neuesten Stand halten und das Zeitfenster für Cyberangriffe reduzieren.

Voraussetzungen

Um Sicherheitsrisiken in Ihrer Foundry-Umgebung zu verwalten, benötigen Sie Folgendes:

  • Ein Azure-Abonnement
  • Ein Gießereihub oder Projekt
  • Rolle "Mitwirkender" oder "Besitzer" im Foundry-Hub oder -Projekt zum Verwalten von Rechenressourcen
  • Azure CLI oder Zugriff auf das Foundry-Portal für die Rechenverwaltung
  • Für eine erneute Erstellung von Computeinstanzen sind die folgenden RBAC-Berechtigungen erforderlich:
    • Microsoft.MachineLearningServices/workspaces/computes/write (Computeinstanzen erstellen)
    • Microsoft.MachineLearningServices/workspaces/computes/delete (Recheninstanzen löschen)

Microsoft-verwaltete VM-Images

Microsoft verwaltet Hostbetriebssystem-VM-Images für Computeinstanzen und serverlose Computecluster. Updates sind monatlich und enthalten die folgenden Details:

  • Für jede neue VM-Imageversion bezieht Microsoft die neuesten Betriebssystemupdates vom ursprünglichen Herausgeber. Durch die Verwendung der neuesten Updates können Sie sicherstellen, dass Sie alle anwendbaren Betriebssystempatches erhalten. Für Foundry veröffentlicht Canonical alle Ubuntu-Bilder.

  • Microsoft aktualisiert VM-Images monatlich.

  • Zusätzlich zu den Patches des Herausgebers aktualisiert Microsoft die Systempakete, sobald Updates verfügbar sind.

  • Microsoft überprüft und validiert alle Machine Learning-Pakete, die möglicherweise ein Upgrade erfordern. In den meisten Fällen enthalten neue VM-Images die neuesten Paketversionen.

  • Microsoft erstellt alle VM-Images auf sicheren Abonnements, die regelmäßig Sicherheitsrisikoüberprüfungen ausführen. Microsoft kennzeichnet alle nicht behobenen Sicherheitsrisiken und behebt sie innerhalb der nächsten Version.

  • Die meisten Bilder verwenden einen monatlichen Veröffentlichungsrhythmen. Bei Computeinstanzen entspricht die Imagefreigabe dem Veröffentlichungsrhythmus des Azure Machine Learning SDK, das in der Umgebung vorinstalliert ist.

Microsoft wendet auch Hotfixes an, wenn Sicherheitsrisiken angezeigt werden. Microsoft rollt Hotfixes innerhalb von 72 Stunden für serverlose Compute-Cluster und innerhalb einer Woche für Compute-Instanzen aus.

Hinweis

Das Hostbetriebssystem ist nicht die Betriebssystemversion, die Sie für eine Umgebung angeben, wenn Sie ein Modell trainieren oder bereitstellen. Umgebungen werden in Docker ausgeführt. Docker wird auf dem Hostbetriebssystem ausgeführt.

Microsoft-verwaltete Container-Images

Base Docker images, die Microsoft für Foundry verwaltet werden, erhalten häufige Sicherheitspatches, um neu erkannte Sicherheitsrisiken zu beheben.

Microsoft aktualisiert unterstützte Images alle zwei Wochen, um Sicherheitslücken zu beheben. Das Ziel ist null Sicherheitsrisiken, die älter als 30 Tage in den neuesten unterstützten Images sind.

Microsoft veröffentlicht gepatchte Bilder mit einem neuen unveränderlichen Tag und einem aktualisierten :latest-Tag. Die Verwendung des :latest-Tags oder das Anheften einer bestimmten Bildversion ist ein Kompromiss zwischen Sicherheit und Umgebungsreproduzierbarkeit für Ihre Machine-Learning-Aufgabe.

Verwalten von Umgebungen und Containerabbildern

Im Foundry-Portal bieten Docker-Images die Laufzeitumgebung für Prompt-Flow-Bereitstellungen. Diese Bilder beginnen mit einem Foundry-Basisimage.

Obwohl Microsoft Basisimages mit jeder Version aktualisiert, ist die Verwendung des neuesten Images ein Kompromiss zwischen Reproduzierbarkeit und Schwachstellenmanagement. Sie wählen die Umgebungsversion für Ihre Aufträge oder Modellbereitstellungen aus.

Standardmäßig werden beim Erstellen eines Images Abhängigkeiten auf Basisimages gestapelt. Nachdem Sie zusätzliche Abhängigkeiten zu Microsoft bereitgestellten Images installiert haben, sind Sie für die Verwaltung von Sicherheitsrisiken verantwortlich.

Ihr Hub enthält eine Azure Container Registry Instanz, die Containerimages zwischenspeichert. Wenn Sie ein Image erstellen, übertragen Sie es an die Containerregistrierung. Der Arbeitsbereich verwendet das zwischengespeicherte Image, wenn Sie die entsprechende Umgebung bereitstellen.

Der Hub löscht kein Image aus Ihrer Containerregistrierung. Überprüfen Sie die Notwendigkeit für jedes Bild im Laufe der Zeit. Verwenden Sie zum Überwachen und Verwalten der Umgebungshygiene Microsoft Defender für die Containerregistrierung, um Ihre Bilder auf Sicherheitsrisiken zu überprüfen. Informationen zum Automatisieren von Prozessen basierend auf Microsoft Defender-Triggern finden Sie unter Automatisieren von Abhilfemaßnahmen.

Sicherheitsrisikoverwaltung auf Computehosts

Verwaltete Computeknoten im Foundry-Portal verwenden Microsoft-verwaltete VM-Images des Betriebssystems. Wenn Sie einen Knoten bereitstellen, wird das neueste VM-Image abgerufen. Dieses Verhalten gilt für Computeinstanzen, serverlose Computecluster und verwaltete Ableitungsberechnungen.

Obwohl Microsoft Betriebssystem-VM-Images regelmäßig aktualisiert, scannt es nicht aktiv Computeknoten auf Schwachstellen, während sie verwendet werden. Berücksichtigen Sie für eine zusätzliche Schutzebene die Netzwerkisolation für Ihre Computeknoten.

Die Sicherstellung, dass Ihre Umgebung auf dem neuesten Stand ist und dass Computeknoten die neueste Betriebssystemversion verwenden, ist eine gemeinsame Verantwortung zwischen Ihnen und Microsoft. Der Dienst aktualisiert keine ausgelasteten Knoten auf die neueste VM-Abbildversion. Überlegungen unterscheiden sich geringfügig für jeden Berechnungstyp, wie in den folgenden Abschnitten aufgeführt.

Compute-Instanz

Compute-Instanzen erhalten das neueste VM-Image, wenn sie bereitgestellt werden. Microsoft veröffentlicht monatlich neue VM-Images. Nachdem Sie eine Computeinstanz bereitgestellt haben, empfängt sie keine laufenden Imageupdates. Um mit den neuesten Softwareupdates und Sicherheitspatches auf dem laufenden zu bleiben, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie eine Computeinstanz erneut, um das neueste Betriebssystemimage zu erhalten (empfohlen).

    Wenn Sie diese Methode verwenden, gehen Daten und Anpassungen (z. B. installierte Pakete) verloren, die auf dem Betriebssystemdatenträger und dem temporären Datenträger der Instanz gespeichert sind.

    Weitere Informationen zu Image-Versionen finden Sie in den Versionshinweisen zur Azure Machine Learning Computeinstanz-Image-Version.

  • Aktualisieren Sie regelmäßig Betriebssystem- und Python pakete.

    Stellen Sie eine Verbindung mit Ihrem Computeinstanzterminal her, und führen Sie die folgenden Befehle aus, um Pakete zu aktualisieren:

    • Aktualisieren Sie die Paketliste mit den neuesten Versionen:

      sudo apt-get update

      Erwartete Ausgabe: Paketlisten werden aus Repositories aktualisiert. Es werden Zeilen wie Hit: oder Get: für jedes Repository angezeigt.

      Referenz: apt-get update

    • Aktualisieren Sie Pakete auf die neuesten Versionen. Paketkonflikte können auftreten, wenn Sie diesen Ansatz verwenden:

      sudo apt-get upgrade

      Erwartete Ausgabe: Pakete werden heruntergeladen und installiert. Möglicherweise werden Sie aufgefordert, die Installation mithilfe von Y/n zu bestätigen.

      Referenz: apt-get upgrade

    • Überprüfen Sie auf veraltete Python Pakete:

      pip list --outdated

      Erwartete Ausgabe: Eine Tabellenauflistung von Paketen mit verfügbaren Updates (Spalten: Paket, Version, Aktuellste, Typ) oder eine leere Ausgabe, wenn alle Pakete aktuell sind.

      Referenz: pip list

    Führen Sie Folgendes aus, um zu überprüfen, ob Updates erfolgreich angewendet wurden:

    # Check for remaining upgradable packages
sudo apt list --upgradable

    Erwartete Ausgabe: Listing... Done Ohne aufgelistete Pakete bedeutet, dass alle Updates angewendet wurden.

    Referenz: apt list

Auf Sicherheitsrisiken überprüfen

Installieren und ausführen Sie zusätzliche Scansoftware auf der Computeinstanz, um nach Sicherheitsproblemen zu suchen:

  • Verwenden Sie Trivy, um Sicherheitsrisiken auf Betriebssystem- und Python Paketebene zu ermitteln. Schnellstart- und Verwendungsbeispiele finden Sie in der Trivy-Dokumentation.
  • Verwenden Sie ClamAV , um Schadsoftware zu entdecken. Es wird auf Computeinstanzen vorinstalliert. Anleitungen zur Verwendung finden Sie in der ClamAV-Dokumentation.

Automatisierungsbeispiele, die Trivy und ClamAV kombinieren, finden Sie unter Compute instance sample setup scripts.

Hinweis

Sie können den Microsoft Defender für Server-Agent nicht auf Computeinstanzen installieren.

Endpunkte

Endpunkte erhalten automatisch Betriebssystem-Host-Image-Updates mit Sicherheitsupdates zur Behebung von Schwachstellen. Microsoft aktualisiert Bilder mindestens einmal pro Monat.

Computeknoten aktualisieren automatisch auf die neueste VM-Imageversion, wenn sie veröffentlicht wird. Sie müssen keine Maßnahmen ergreifen.

Verwandte Inhalte

  • Last updated on