Recomendações de rede para cargas de trabalho de IA no Azure
Este artigo oferece recomendações de rede para organizações que executam cargas de trabalho de IA no Azure. Ele se concentra em soluções de plataforma como serviço (PaaS) de IA do Azure, incluindo Azure AI Foundry, Azure OpenAI, Azure Machine Learning e Azure AI Services. Abrange cargas de trabalho de IA generativas e não generativas.
A rede permite uma conectividade segura e eficiente a recursos críticos de IA e é fundamental para a integridade e privacidade dos dados. Estratégias de rede eficazes protegem cargas de trabalho de IA sensíveis contra acesso não autorizado e ajudam a otimizar o desempenho para treinamento e implantação de modelos de IA.
Configurar redes virtuais
Configurar redes virtuais refere-se à configuração e gestão de ambientes de rede privados e seguros para plataformas de IA do Azure. As redes virtuais permitem que as organizações isolem cargas de trabalho de IA e criem canais de comunicação seguros. A configuração adequada garante que apenas usuários e sistemas autorizados possam acessar recursos críticos de IA e minimiza a exposição à internet pública.
| Plataforma de IA | Recomendações de rede virtual |
|---|---|
| Azure AI Foundry | Configure o rede virtual gerenciada e use pontos de extremidade privados. Se necessário, conecte a rede virtual gerida aos recursos locais |
| Azure OpenAI | Restrinja o acesso a redes virtuais selecionadas ou utilize pontos de extremidade privados . |
| Azure Machine Learning | Crie um espaço de trabalho seguro com uma rede virtual. Planeje o isolamento da rede. Siga as práticas recomendadas de segurança para Azure Machine Learning. |
| Serviços de IA do Azure | Restrinja o acesso a redes virtuais específicas ou utilize pontos de extremidade privados. |
Azure AI Foundry e Azure Machine Learning implantam em redes virtuais geridas pela Microsoft e implantam os respetivos serviços dependentes necessários. As redes virtuais gerenciadas usam pontos de extremidade privados para acessar serviços de suporte do Azure, como o Armazenamento do Azure, o Cofre da Chave do Azure e o Registro de Contêiner do Azure. Use os links para exibir as arquiteturas de rede desses serviços para que você possa configurar melhor sua rede virtual.
Redes virtuais seguras
A proteção de redes virtuais envolve o uso de pontos de extremidade privados, a imposição de zonas DNS e a habilitação de servidores DNS personalizados para proteger cargas de trabalho de IA. Estas estratégias limitam a exposição pública à Internet e impedem o acesso não autorizado. A segurança de rede eficaz é essencial para proteger modelos de IA sensíveis e garantir a conformidade com a privacidade.
Considere pontos de extremidade privados. Nenhum serviço de PaaS ou ponto de extremidade de modelo de IA deve ser acessível a partir da Internet pública. Pontos de extremidade privados para fornecer conectividade privada aos serviços do Azure em uma rede virtual. Os pontos de extremidade privados adicionam complexidade às implantações e operações, mas o benefício de segurança geralmente supera a complexidade.
Considere a criação de pontos de extremidade privados para portais de serviços de IA. Os pontos de extremidade privados fornecem acesso seguro e privado a portais PaaS como o Azure AI Foundry e o Azure Machine Learning studioF. Configure pontos de extremidade privados para esses portais globais em uma rede virtual de hub. Essa configuração fornece acesso seguro a interfaces de portal voltadas para o público diretamente dos dispositivos do usuário.
Considere a possibilidade de impor zonas DNS privadas. As zonas DNS privadas centralizam e protegem o gerenciamento de DNS para acessar serviços PaaS em sua rede de IA. Configure políticas do Azure que imponham zonas DNS privadas e exijam pontos de extremidade privados para garantir resoluções DNS internas seguras. Se você não tiver Zonas DNS Privadas centrais, o encaminhamento DNS não funcionará até que você adicione o encaminhamento condicional manualmente. Por exemplo, consulte utilizando DNS personalizados com os hubs do Azure AI Foundry e o espaço de trabalho do Azure Machine Learning.
Habilite servidores DNS personalizados e pontos de extremidade privados para serviços PaaS. Os servidores DNS personalizados gerenciam a conectividade PaaS dentro da rede, ignorando o DNS público. Configure zonas DNS privadas no Azure para resolver nomes de serviço PaaS com segurança e rotear todo o tráfego através de canais de rede privada.
Gerenciar conectividade
O gerenciamento de conectividade controla como os recursos de IA interagem com sistemas externos. Técnicas como usar um jumpbox e limitar o tráfego de saída ajudam a proteger as cargas de trabalho de IA. O gerenciamento adequado de conectividade minimiza os riscos de segurança e garante operações de IA suaves e ininterruptas.
Use uma jumpbox para acessar. O acesso ao desenvolvimento de IA deve usar uma jumpbox dentro da rede virtual da carga de trabalho ou através de uma rede virtual de hub de conectividade. Use o Azure Bastion para se conectar com segurança a máquinas virtuais que interagem com serviços de IA. O Azure Bastion fornece conectividade RDP/SSH segura sem expor VMs à Internet pública. Habilite o Azure Bastion para garantir dados de sessão criptografados e proteger o acesso por meio de conexões RDP/SSH baseadas em TLS.
Limite o tráfego de saída dos seus recursos de IA. Limitar o tráfego de saída de seus endpoints de modelo de IA ajuda a proteger dados confidenciais e manter a integridade de seus modelos de IA. Para minimizar os riscos de exfiltração de dados, restrinja o tráfego de saída a serviços aprovados ou FQDNs (nomes de domínio totalmente qualificados) e mantenha uma lista de fontes confiáveis. Você só deve permitir o tráfego de saída irrestrito da Internet se precisar de acesso a recursos públicos de aprendizado de máquina, mas monitore e atualize regularmente seus sistemas. Para obter mais informações, consulte os serviços de IA do Azure , o Azure AI Foundry e o Azure Machine Learning .
Considere um gateway de IA generativo. Considere usar o Gerenciamento de API do Azure (APIM) como um gateway de IA generativo em suas redes virtuais. Um gateway de IA generativo fica entre seu front-end e os endpoints de IA. O Application Gateway, as políticas WAF e o APIM dentro da rede virtual são uma arquitetura estabelecida em soluções generativas de IA. Para obter mais informações, consulte Arquitetura do Hub AI e Implantar a instância de Gerenciamento de API do Azure em várias regiões do Azure.
Use HTTPS para conectividade da Internet com o Azure. Conexões seguras usando protocolos TLS ajudam a proteger a integridade e a confidencialidade dos dados para cargas de trabalho de IA conectadas a partir da Internet. Implemente HTTPS por meio do Gateway de Aplicativo do Azure ou da Porta da Frente do Azure. Ambos os serviços fornecem túneis criptografados e seguros para conexões originárias da Internet.