Gestione delle vulnerabilità per Microsoft Foundry (versione classica)

Si applica solo a:Portale di Foundry (versione classica). Questo articolo non è disponibile per il nuovo portale foundry. Altre informazioni sul nuovo portale.

La gestione delle vulnerabilità è il processo di rilevamento, valutazione, mitigazione e segnalazione delle vulnerabilità di sicurezza nei sistemi e nel software di un'organizzazione. Voi e Microsoft condividere questa responsabilità.

Questo articolo descrive le responsabilità e i controlli di gestione delle vulnerabilità forniti da Foundry. Informazioni su come mantenere aggiornata l'istanza del servizio e le app con gli aggiornamenti della sicurezza più recenti e ridurre la finestra di opportunità per gli attacchi informatici.

Prerequisiti

Per gestire le vulnerabilità nell'ambiente Foundry, è necessario:

• Sottoscrizione di Azure
• Un hub o un progetto Foundry
• Ruolo collaboratore o proprietario nell'hub o nel progetto Foundry per gestire le risorse di calcolo
• interfaccia della riga di comando di Azure o l'accesso al portale foundry per la gestione delle risorse di calcolo
• Per la ricreazione di un'istanza di calcolo, sono necessarie le seguenti autorizzazioni di controllo degli accessi in base al ruolo:
  • Microsoft.MachineLearningServices/workspaces/computes/write (creare istanze di calcolo)
  • Microsoft.MachineLearningServices/workspaces/computes/delete (eliminare istanze di calcolo)

immagini di macchine virtuali gestite da Microsoft

Microsoft gestisce le immagini di VM del sistema operativo host per le istanze di calcolo e i cluster di calcolo serverless. Gli aggiornamenti sono mensili e includono i dettagli seguenti:

• Per ogni nuova versione dell'immagine della macchina virtuale, Microsoft recupera gli aggiornamenti più recenti del sistema operativo dall'editore originale. L'uso degli aggiornamenti più recenti consente di ottenere tutte le patch del sistema operativo applicabili. Per Foundry, Canonical pubblica tutte le immagini Ubuntu.

• Microsoft aggiorna le immagini delle macchine virtuali ogni mese.

• Oltre alle patch dell'editore, Microsoft aggiorna i pacchetti di sistema man mano che gli aggiornamenti diventano disponibili.

• Microsoft controlla e convalida tutti i pacchetti di Machine Learning che potrebbero richiedere un aggiornamento. Nella maggior parte dei casi, le nuove immagini di macchina virtuale contengono le versioni più recenti del pacchetto.

• Microsoft compila regolarmente tutte le immagini di macchine virtuali in sottoscrizioni sicure che eseguono l'analisi delle vulnerabilità. Microsoft contrassegna eventuali vulnerabilità non risolte e le corregge all'interno della versione successiva.

• La maggior parte delle immagini usa una frequenza di rilascio mensile. Per le istanze di calcolo, la versione dell'immagine è allineata alla frequenza di rilascio del Azure Machine Learning SDK preinstallato nell'ambiente.

Microsoft applica anche gli hotfix quando vengono rilevate vulnerabilità. Microsoft implementa gli hotfix entro 72 ore per i cluster di calcolo serverless e entro una settimana per le istanze di calcolo.

immagini di contenitori gestite da Microsoft

Base docker images che Microsoft gestisce per Foundry ricevono patch di sicurezza frequenti per correggere le vulnerabilità appena individuate.

Microsoft aggiorna le immagini supportate ogni due settimane per correggere le vulnerabilità. L'obiettivo è zero vulnerabilità precedenti a 30 giorni nelle immagini supportate più recenti.

Microsoft rilascia immagini con patch con un nuovo tag non modificabile e un tag :latest aggiornato. L'uso del tag :latest o l'aggiunta di una versione specifica dell'immagine è un compromesso tra la sicurezza e la riproducibilità dell'ambiente per il processo di Machine Learning.

Gestione di ambienti e immagini del contenitore

Nel portale Foundry le immagini Docker forniscono l'ambiente runtime per le distribuzioni dei flussi di richiesta. Queste immagini iniziano da un'immagine di base Foundry.

Anche se Microsoft applica patch alle immagini di base con ogni versione, l'uso dell'immagine più recente è un compromesso tra riproducibilità e gestione delle vulnerabilità. Si sceglie la versione dell'ambiente per i processi o le distribuzioni dei modelli.

Per impostazione predefinita, le dipendenze vengono sovrapposte alle immagini di base quando si compila un'immagine. Dopo aver installato dipendenze aggiuntive nelle immagini fornite Microsoft, si è responsabili della gestione delle vulnerabilità.

L'hub include un'istanza di Registro Azure Container che memorizza nella cache le immagini del contenitore. Quando costruisci un'immagine, fai il push al registro di container. L'area di lavoro usa l'immagine memorizzata nella cache quando si distribuisce l'ambiente corrispondente.

L'hub non elimina alcuna immagine dal registro contenitori. Esaminare la necessità di ogni immagine nel tempo. Per monitorare e mantenere l'igiene dell'ambiente, usare Microsoft Defender per Registro Container per analizzare le immagini per individuare le vulnerabilità. Per automatizzare i processi in base ai trigger di Microsoft Defender, vedere Risposte di correzione automatica.

Gestione delle vulnerabilità in host di calcolo

I nodi di calcolo gestiti nel portale foundry usano immagini di macchine virtuali del sistema operativo gestite da Microsoft. Quando si esegue il provisioning di un nodo, viene recuperata l'immagine VM più recente. Questo comportamento si applica alle istanze di calcolo, ai cluster di calcolo serverless e al calcolo dell'inferenza gestita.

Anche se Microsoft applica regolarmente patch alle immagini delle macchine virtuali del sistema operativo, non analizza attivamente i nodi di calcolo per individuare le vulnerabilità durante l'uso. Per un livello di protezione aggiuntivo, prendere in considerazione l'isolamento di rete per i nodi di calcolo.

Assicurarsi che l'ambiente sia aggiornato e che i nodi di calcolo usino la versione più recente del sistema operativo sia una responsabilità condivisa tra l'utente e Microsoft. Il servizio non aggiorna i nodi occupati all'immagine più recente della macchina virtuale. Le considerazioni sono leggermente diverse per ogni tipo di calcolo, come illustrato nelle sezioni seguenti.

Istanza di calcolo

Le istanze di calcolo ottengono l'immagine della macchina virtuale più recente durante il provisioning. Microsoft rilascia le nuove immagini di macchina virtuale ogni mese. Dopo aver distribuito un'istanza di calcolo, non riceverà aggiornamenti delle immagini continuativi. Per rimanere aggiornati con gli aggiornamenti software e le patch di sicurezza più recenti, usare uno di questi metodi:

• Ricreare un'istanza di calcolo per ottenere l'immagine del sistema operativo più recente (scelta consigliata).

  Se si usa questo metodo, si perdono dati e personalizzazioni (ad esempio pacchetti installati) archiviati nel disco del sistema operativo dell'istanza e nel disco temporaneo.

  Per ulteriori informazioni sulle versioni delle immagini, consultare le note sulla versione delle immagini di istanze di calcolo di Azure Machine Learning.

• Aggiornare regolarmente i pacchetti del sistema operativo e dei Python.

  Connettersi al terminale dell'istanza di calcolo ed eseguire i comandi seguenti per aggiornare i pacchetti:

  • Aggiornare l'elenco di pacchetti con le versioni più recenti:

    sudo apt-get update
    

    Output previsto: gli elenchi di pacchetti vengono aggiornati dai repository. Sono visualizzate righe come Hit: o Get: per ogni repository.

    Riferimento: apt-get update

  • Aggiornare i pacchetti alle versioni più recenti. I conflitti di pacchetto possono verificarsi quando si usa questo approccio:

    sudo apt-get upgrade
    

    Output previsto: i pacchetti vengono scaricati e installati. Potrebbe essere richiesto di confermare l'installazione usando Y/n.

    Riferimento: apt-get upgrade

  • Verificare la presenza di pacchetti di Python obsoleti:

    pip list --outdated
    

    Output previsto: tabella che elenca i pacchetti con aggiornamenti disponibili (colonne: Package, Version, Latest, Type) o output vuoto se tutti i pacchetti sono correnti.

    Riferimento: pip list

  Per verificare che gli aggiornamenti siano stati applicati correttamente, eseguire:

  # Check for remaining upgradable packages
  sudo apt list --upgradable
  

  Output previsto: Listing... Done senza pacchetti elencati significa che vengono applicati tutti gli aggiornamenti.

  Riferimento: apt list

Analizzare le vulnerabilità

Installare ed eseguire software di analisi aggiuntivo nell'istanza di calcolo per cercare problemi di sicurezza:

• Usare Trivy per individuare le vulnerabilità a livello di pacchetto e del sistema operativo Python. Per esempi di avvio rapido e utilizzo, vedere la documentazione di Trivy.
• Usare ClamAV per individuare il malware. Viene preinstallato nelle istanze di calcolo. Per indicazioni sull'utilizzo, vedere la documentazione di ClamAV.

Per esempi di automazione che combinano Trivy e ClamAV, vedere Script di configurazione di esempio per istanze compute.

Endpointi

Gli endpoint ricevono automaticamente aggiornamenti automatici delle immagini host del sistema operativo con patch per le vulnerabilità. Microsoft aggiorna le immagini almeno una volta al mese.

I nodi di calcolo vengono aggiornati automaticamente alla versione più recente dell'immagine della macchina virtuale quando viene rilasciata. Non è necessario eseguire alcuna azione.

Contenuto correlato

• Hub delle fonderie
• Creare e gestire istanze di calcolo
• Note sulla versione dell'immagine dell'istanza di calcolo di Azure Machine Learning
• Procedure consigliate per la gestione delle vulnerabilità