Recomendaciones para la protección de cargas de trabajo de IA en la infraestructura de Azure (IaaS)
En este artículo se dan una serie de recomendaciones de protección para las organizaciones que ejecuten cargas de trabajo de IA en la infraestructura de Azure (IaaS). La seguridad para la IA en la infraestructura Azure implica proteger los recursos de datos, de procesos y redes que soportan las cargas de trabajo de IA. La seguridad de estos componentes garantiza que la información confidencial permanezca segura, minimiza la exposición a posibles amenazas y garantiza un entorno operativo estable para los modelos y las aplicaciones de IA.
Servicios Azure seguros
La seguridad de los servicios Azure requiere la configuración de cada servicio Azure utilizado en una arquitectura de IA para cumplir con estándares y puntos de referencia de seguridad específicos. Para aplicar configuraciones seguras a los servicios de Azure, utilice las líneas de base de seguridad de Azure para cada servicio de su arquitectura. Los servicios Azure comunes en las cargas de trabajo de IA en la infraestructura Azure incluyen: Máquinas virtuales Windows, Máquinas virtuales Linux, Azure CycleCloud y Key Vault.
Protección de las redes
Proteger las redes implica configurar puntos de conexión privados, grupos de seguridad de red (NSG) y cortafuegos para administrar y controlar el flujo de datos dentro de Azure. Este paso limita la exposición a amenazas externas y protege los datos confidenciales a medida que se mueven entre servicios dentro de la infraestructura Azure.
Use los puntos de conexión privados. Utilice puntos de conexión privados disponibles en Azure Private Link para cualquier solución PaaS en su arquitectura, como su almacenamiento o sistema de archivos.
Utilice conexiones de red virtuales cifradas para la conectividad Azure a Azure. Las conexiones cifradas entre máquinas virtuales o conjuntos de escalado de máquinas virtuales en la misma red virtual o en redes virtuales compartidas evitan el acceso no autorizado y las escuchas. Establezca estas conexiones seguras configurando opciones de cifrado en Azure Virtual Network para la comunicación de máquinas virtuales.
Implemente grupos de seguridad de red (NSG). Los NSG pueden ser complejos. Asegúrese de comprender claramente las reglas de los NSG y sus implicaciones cuando configure su infraestructura Azure para cargas de trabajo de IA.
Utilice grupos de seguridad de aplicaciones. Si necesita etiquetar el tráfico con una granularidad mayor que la que proporcionan las redes virtuales, considere el uso de Grupos de Seguridad de Aplicaciones.
Comprenda las reglas de priorización de NSG. Las reglas NSG tienen un orden de prioridad. Comprenda este orden para evitar conflictos y garantizar el buen funcionamiento de sus cargas de trabajo de IA.
Utilice un cortafuegos de red. Si utiliza una topología de concentrador y radios, implemente un cortafuegos de red para inspeccionar y filtrar el tráfico de red entre los radios.
Cierre los puertos no utilizados. Limite la exposición a Internet exponiendo solo los servicios destinados a casos práctico externos y utilizando conectividad privada para otros servicios.
Protección de datos
La seguridad de los datos incluye la encriptación de los datos en reposo y en tránsito, así como la protección de la información confidencial, como claves y contraseñas. Estas medidas garantizan que los datos permanezcan privados e inaccesibles para usuarios no autorizados, reduciendo el riesgo de filtración de datos y el acceso no autorizado a información sensible.
Cifrar los datos: Cifre los datos en reposo y en tránsito utilizando tecnologías de cifrado potentes entre cada servicio de la arquitectura.
Proteja los secretos: Proteja los secretos almacenándolos en una cámara acorazada de claves o en un módulo de seguridad de hardware y rotándolos rutinariamente.
Acceso seguro
Asegurar el acceso significa configurar mecanismos de autenticación y control de acceso para aplicar permisos de acceso estrictos y verificar las identidades de los usuarios. Al restringir el acceso basándose en funciones, políticas y autenticación multifactor, las organizaciones pueden limitar la exposición a accesos no autorizados y proteger los recursos críticos de IA.
Configure la autenticación: Habilite la autenticación multifactor (MFA) y prefiera las cuentas administrativas secundarias o el acceso justo a tiempo para las cuentas sensibles. Limite el acceso al plano de control utilizando servicios como Azure Bastion como puntos de entrada seguros en redes privadas.
Utilice políticas de acceso condicional. Exija MFA para acceder a los recursos críticos de IA con el fin de mejorar la seguridad. Restrinja el acceso a la infraestructura de IA en función de ubicaciones geográficas o rangos de IP de confianza. Asegúrese de que solo los dispositivos conformes (los que cumplen los requisitos de seguridad) pueden acceder a los recursos de IA. Implemente políticas de acceso condicional basadas en riesgos que respondan a actividades de inicio de sesión inusuales o a comportamientos sospechosos. Utilice señales como la ubicación del usuario, el estado del dispositivo y el comportamiento de inicio de sesión para activar pasos de verificación adicionales.
Configure el acceso con menos privilegios. Configure el acceso con menos privilegios implementando el control de acceso basado en funciones (RBAC) para proporcionar un acceso mínimo a los datos y servicios. Asigne funciones a los usuarios y grupos en función de sus responsabilidades. Utilice Azure RBAC para ajustar el control de acceso a recursos específicos como máquinas virtuales y cuentas de almacenamiento. Asegúrese de que los usuarios solo tienen el nivel mínimo de acceso necesario para realizar sus tareas. Revise y ajuste periódicamente los permisos para evitar la acumulación de privilegios.
Preparar la respuesta a incidentes
Prepararse para responder a incidentes implica recopilar registros e integrarlos en un sistema de administración de eventos e información de seguridad (SIEM). Este enfoque proactivo permite a las organizaciones detectar y responder rápidamente a los incidentes de seguridad, reduciendo los daños potenciales y minimizando el tiempo de inactividad de los sistemas de IA.
Sistemas operativos seguros
Asegurar los sistemas operativos requiere mantener las máquinas virtuales y las imágenes de contenedores actualizadas con los últimos parches y ejecutar software antimalware. Estas prácticas protegen la infraestructura de IA de vulnerabilidades, malware y otras amenazas a la seguridad. Ayudan a mantener un entorno seguro y fiable para las operaciones de IA.
Parchee los equipos virtuales invitados. Aplique regularmente parches a las máquinas virtuales y a las imágenes de contenedores. Considere la posibilidad de habilitar la aplicación automática de parches a invitados para sus máquinas virtuales y conjuntos de escalado.
Utilice antimalware. Utilice Microsoft Antimalware para Azure en sus máquinas virtuales para protegerlas de archivos maliciosos, adware y otras amenazas.