Confrontare le configurazioni di isolamento della rete in Azure Machine Learning

Per le aree di lavoro, Azure Machine Learning offre due tipi di configurazioni di isolamento della rete in uscita: isolamento network gestito e isolamento di rete personalizzato. Entrambi offrono un supporto completo per l'isolamento della rete con i relativi vantaggi e limitazioni. Questo documento illustra il supporto delle funzionalità e le limitazioni per entrambe le configurazioni di isolamento della rete per decidere qual è la soluzione migliore per le proprie esigenze.

Esigenze di sicurezza aziendali

Il cloud computing consente di aumentare le prestazioni dei dati e delle funzionalità di Machine Learning, ma comporta anche nuove sfide e rischi per la sicurezza e la conformità. È necessario assicurarsi che l'infrastruttura cloud sia protetta da accessi non autorizzati, manomissioni o perdite di dati e modelli. Potrebbe anche essere necessario rispettare le normative e gli standard applicabili al settore e al dominio.

I requisiti aziendali tipici includono:

• Usare il limite di isolamento della rete con la rete virtuale per avere il controllo in ingresso e in uscita e per avere una connessione privata alle risorse di Azure private.
• Evitare l'esposizione a Internet senza soluzioni IP pubbliche e endpoint privati.
• Usare le appliance di rete virtuale per avere migliori funzionalità di sicurezza di rete, ad esempio firewall, rilevamento delle intrusioni, gestione delle vulnerabilità, filtro Web.
• L'architettura di rete per Azure Machine Learning può essere integrata con l'architettura di rete esistente.

Quali sono le configurazioni di isolamento di rete gestite e personalizzate?

L'isolamento della rete gestita si basa su reti virtuali gestite, una funzionalità completamente gestita di Azure Machine Learning. L'isolamento della rete gestita è ideale se si vuole usare Azure Machine Learning con un sovraccarico minimo di configurazione e gestione.

L'isolamento della rete personalizzata si basa sulla creazione e sulla gestione di un Rete virtuale di Azure. Questa configurazione è ideale se si sta cercando un controllo massimo sulla configurazione di rete.

Quando usare reti virtuali gestite o personalizzate

Usare la rete virtuale gestita quando...

• Si è nuovi utenti di Azure Machine Learning con requisiti di isolamento della rete standard
• Si è un'azienda con requisiti di isolamento della rete standard
• È necessario l'accesso locale alle risorse con endpoint HTTP/S
• Non sono ancora state configurate molte dipendenze non di Azure
• È necessario usare gli endpoint online gestiti di Azure Machine Learning e i calcoli Spark serverless
• Si hanno meno requisiti di gestione per la rete nell'organizzazione

Usare una rete virtuale personalizzata quando...

• Si è un'azienda con requisiti di isolamento di rete elevati
• Molte dipendenze non di Azure sono state configurate in precedenza ed è necessario accedere ad Azure Machine Learning
• Sono presenti database locali senza endpoint HTTP/S
• È necessario usare il firewall e la registrazione della rete virtuale e il monitoraggio del traffico di rete in uscita
• Si vuole usare servizio Azure Kubernetes (servizio Azure Kubernetes) per i carichi di lavoro di inferenza

La tabella seguente offre un confronto tra i vantaggi e le limitazioni delle reti virtuali gestite e personalizzate:

Limitazioni della rete virtuale personalizzata

• Il supporto di nuove funzionalità potrebbe essere ritardato: gli sforzi per migliorare le offerte di isolamento della rete sono incentrati sulla gestione anziché sulla rete virtuale personalizzata. Di conseguenza, le nuove richieste di funzionalità vengono classificate in ordine di priorità su una rete virtuale gestita tramite una rete virtuale personalizzata.
• Gli endpoint online gestiti non sono supportati: gli endpoint online gestiti non supportano la rete virtuale personalizzata. La rete virtuale gestita dell'area di lavoro deve essere abilitata per proteggere gli endpoint online gestiti. È possibile proteggere gli endpoint online gestiti con il metodo di isolamento della rete legacy. È tuttavia consigliabile usare l'area di lavoro isolamento network gestito. Per altre informazioni, vedere Endpoint online gestiti.
• Il calcolo Spark serverless non è supportato: i calcoli Spark serverless non sono supportati in una rete virtuale personalizzata. La rete virtuale gestita dell'area di lavoro supporta Spark serverless perché Azure Synapse usa solo la configurazione della rete virtuale gestita. Per altre informazioni, vedere Configurato Spark serverless.
• Complessità e sovraccarico di manutenzione dell'implementazione: con la configurazione della rete virtuale personalizzata, tutta la complessità della configurazione di una rete virtuale, una subnet, endpoint privati e altro ancora rientra nell'utente. La manutenzione della rete e dei calcoli dipende dall'utente.

Limitazioni della rete virtuale gestita

• Implicazioni sui costi con regole Firewall di Azure e FQDN: viene effettuato il provisioning di un Firewall di Azure per conto dell'utente solo quando viene creata una regola FQDN definita dall'utente. Il Firewall di Azure è il firewall dello SKU Standard e comporta costi aggiunti alla fatturazione. Per altre informazioni, visitare Firewall di Azure prezzi.
• Registrazione e monitoraggio della rete virtuale gestita NON supportata: la rete virtuale gestita non supporta il flusso di rete virtuale, il flusso del gruppo di sicurezza di rete o i log del firewall. Questa limitazione è dovuta al fatto che la rete virtuale gestita viene distribuita in un tenant Microsoft e non può essere inviata alla sottoscrizione.
• L'accesso alle risorse non Azure, non HTTP/S non è supportato: la rete virtuale gestita non consente l'accesso alle risorse non Azure, non HTTP/S.

Contenuto correlato

• Pianificare l'isolamento della rete
• Usare una rete virtuale gestita
• Usare una rete virtuale personalizzata