Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda você a implementar rede segura para cargas de trabalho de IA nos serviços de plataforma do Azure. Você precisa de uma rede segura para proteger modelos de IA confidenciais, garantir a privacidade dos dados e manter os requisitos de conformidade. A configuração de rede adequada controla o acesso ao Foundry e às ferramentas do Foundry, otimizando o desempenho para treinamento e implantação de modelos.
Usar redes virtuais
As redes virtuais estabelecem limites de comunicação seguros para serviços de IA e impedem o acesso não autorizado de redes públicas. Os pontos de extremidade privados eliminam a exposição à internet pública, mantendo a funcionalidade e o desempenho completo do serviço. Você deve usar redes virtuais com pontos de extremidade privados para proteger modelos de IA, dados e serviços contra ameaças externas. Veja como:
Crie interfaces privadas para todos os serviços da plataforma de IA. Os pontos de extremidade privados fornecem interfaces de rede dedicadas em sua rede virtual que se conectam diretamente aos serviços de Azure. Essa configuração remove a exposição pública à Internet, mantendo a funcionalidade e o desempenho completos para suas cargas de trabalho de IA. Use o link privado para o Foundry e aplique as mesmas restrições às Ferramentas do Foundry.
Implantar serviços de suporte dentro do limite de rede. Serviços de suporte como Armazenamento do Azure, Azure Key Vault e Registro de Contêiner do Azure devem operar dentro do mesmo limite de rede seguro que seus serviços de IA. Essa configuração garante uma postura de segurança consistente em todos os componentes, mantendo controles de acesso adequados para suas dependências de carga de trabalho de IA. Use pontos de extremidade privados para conectar esses serviços de suporte às suas redes virtuais gerenciadas, conforme mostrado na arquitetura de referência de chat do Baseline Foundry.
Controlar tráfego de rede
O controle de tráfego de rede define como os dados fluem entre os serviços de IA e sistemas externos. As restrições de tráfego adequadas protegem dados confidenciais de IA e garantem operações seguras. Você deve implementar controles de tráfego para proteger cargas de trabalho de IA e manter a segurança operacional. Veja como:
Implantar acesso seguro usando a infraestrutura do jumpbox. O acesso ao Jumpbox fornece um ponto de entrada centralizado em seu ambiente de rede de IA, mantendo limites de segurança rigorosos. Essa configuração impede a exposição direta de recursos de IA a redes externas, permitindo o acesso seguro. Use um jumpbox em sua rede virtual de carga de trabalho de IA ou em uma rede virtual do hub de conectividade e configure Azure Bastion para conectividade RDP/SSH segura sem expor máquinas virtuais à Internet pública.
Restrinja o tráfego de saída a destinos aprovados. As restrições de tráfego de saída impedem a exfiltração de dados não autorizada, permitindo a comunicação necessária para treinamento e inferência do modelo de IA. Essa abordagem protege os modelos de IA e os dados de treinamento, mantendo a conectividade para operações legítimas. Limite o tráfego de saída a serviços aprovados e FQDNs (nomes de domínio totalmente qualificados), conforme documentado para Ferramentas Foundry e Foundry.
Preparar serviços de resolução de nomes de domínio. Implante a infraestrutura do DNS do Azure como parte da sua zona de destino do Azure e configure encaminhadores condicionais para as zonas apropriadas. Essa configuração garante uma resolução de nome confiável para comunicação segura entre cargas de trabalho de IA e sistemas externos.
Configurar controles de acesso à rede. Use NSGs ( grupos de segurança de rede ) para definir e impor políticas de acesso para tráfego de entrada e saída. Esses controles implementam o princípio do privilégio mínimo, garantindo que apenas a comunicação essencial seja permitida.
Use serviços de monitoramento de rede. Monitore o desempenho e a integridade da rede usando ferramentas como Azure Monitor Network Insights e Observador de Rede do Azure. Para detecção e resposta avançadas de ameaças, integre Microsoft Sentinel à sua estratégia de monitoramento de rede Azure.
Deploy Firewall do Azure para proteger o tráfego de saída. Firewall do Azure impõe políticas de segurança para o tráfego de saída antes de chegar à Internet. Use-o para controlar e monitorar o tráfego de saída, habilitar o SNAT para tradução de IP privado e garantir a comunicação de saída segura e identificável.
Use Firewall de Aplicativo Web do Azure (WAF) para cargas de trabalho voltadas para a Internet. Azure WAF protege cargas de trabalho de IA contra vulnerabilidades comuns da Web, como injeções de SQL e ataques de script entre sites. Configure Azure WAF em Application Gateway para aprimorar a segurança de cargas de trabalho expostas ao tráfego da Web mal-intencionado.
Recursos do Azure
| Categoria | Tool | Descrição |
|---|---|---|
| Isolamento da rede | Rede Virtual do Azure | Cria limites de rede seguros e permite a comunicação privada entre recursos Azure |
| Conectividade privada | Link Privado do Azure | Fornece acesso privado aos serviços de Azure pela rede de backbone Microsoft |
| Proteger o acesso | Azure Bastion | Fornece conectividade RDP/SSH segura sem exposição de IP público |
| Gerenciamento de DNS | Azure DNS privado | Gerencia zonas DNS privadas para resolução de nomes seguros em redes virtuais |
| gateway de API | Gerenciamento de API do Azure | Centraliza a gestão e a segurança de APIs para endpoints de serviço de IA |
| Segurança da Web | Gateway de Aplicativo do Azure | Fornece recursos seguros de terminação HTTPS e firewall de aplicativo Web |
| Entrega global | Azure Front Door | Oferece balanceamento de carga global e conectividade de borda segura para aplicativos de IA |