Aracılığıyla paylaş


Azure Machine Learning ile veri şifreleme

Azure Machine Learning, modelleri eğitirken ve çıkarım yaparken çeşitli Azure veri depolama hizmetlerine ve işlem kaynaklarına dayanır. Bu makalede, hem bekleyen hem de aktarımdaki her hizmetin veri şifrelemesi hakkında bilgi edinin.

Eğitim sırasında üretim sınıfı şifreleme için bir Azure Machine Learning işlem kümesi kullanmanızı öneririz. Çıkarım sırasında üretim sınıfı şifreleme için Azure Kubernetes Service (AKS) kullanmanızı öneririz.

Azure Machine Learning işlem örneği bir geliştirme/test ortamıdır. Bunu kullandığınızda, not defterleri ve betikler gibi dosyalarınızı bir dosya paylaşımında depolamanızı öneririz. Verilerinizi bir veri deposunda depolayın.

Bekleme sırasında şifreleme

Azure Machine Learning uçtan uca projeler Azure Blob Depolama, Azure Cosmos DB ve Azure SQL Veritabanı gibi hizmetlerle tümleştirilir. Bu makalede, bu tür hizmetler için şifreleme yöntemleri açıklanmaktadır.

Azure Blob Storage

Azure Machine Learning anlık görüntüleri, çıkışı ve günlükleri Azure Machine Learning çalışma alanına ve aboneliğinize bağlı Azure Blob Depolama hesabında (varsayılan depolama hesabı) depolar. Azure Blob Depolama depolanan tüm veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.

Azure Blob Depolama depolanan veriler için kendi anahtarlarınızı kullanma hakkında bilgi için bkz. Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesi.

Eğitim verileri genellikle eğitim işlem hedeflerinin bunlara erişebilmesi için Azure Blob Depolama depolanır. Azure Machine Learning bu depolama alanını yönetmez. Bu depolama, uzak dosya sistemi olarak işlem hedeflerine bağlanır.

Anahtarınızı döndürmeniz veya iptal etmeniz gerekiyorsa, bunu istediğiniz zaman yapabilirsiniz. Bir anahtarı döndürdüğünüzde depolama hesabı bekleyen verileri şifrelemek için yeni anahtarı (en son sürüm) kullanmaya başlar. Bir anahtarı iptal ettiğinizde (devre dışı bırakdığınızda), başarısız isteklerle depolama hesabı ilgilenir. Döndürme veya iptal işleminin etkili olması genellikle bir saat sürer.

Erişim anahtarlarını yeniden oluşturma hakkında bilgi için bkz . Depolama hesabı erişim anahtarlarını yeniden oluşturma.

Azure Data Lake Storage

Not

29 Şubat 2024'te Azure Data Lake Storage 1. Nesil kullanımdan kaldırılacaktır. Daha fazla bilgi için resmi duyuruya bakın. Azure Data Lake Storage 1. Nesil kullanıyorsanız, bu tarihten önce Azure Data Lake Storage 2. Nesil geçiş yaptığınızdan emin olun. Nasıl yapılacağını öğrenmek için bkz . Azure portalını kullanarak Azure Data Lake Storage'ı 1. Nesil'den 2. Nesil'e geçirme.

Azure Data Lake Storage 1. Nesil hesabınız yoksa yeni hesap oluşturamazsınız.

Azure Data Lake Storage 2. Nesil, Azure Blob Depolama üzerine kurulmuştur ve kuruluşlarda büyük veri analizi için tasarlanmıştır. Data Lake Storage 2. Nesil, Azure Machine Learning için veri deposu olarak kullanılır. Azure Blob Depolama gibi bekleyen veriler de Microsoft tarafından yönetilen anahtarlarla şifrelenir.

Azure Data Lake Storage'da depolanan veriler için kendi anahtarlarınızı kullanma hakkında bilgi için bkz . Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesi.

Azure ilişkisel veritabanları

Azure Machine Learning hizmeti aşağıdaki veri kaynaklarından verileri destekler.

Azure SQL Veritabanı

Saydam veri şifrelemesi, bekleyen verileri şifreleyerek Azure SQL Veritabanı kötü amaçlı çevrimdışı etkinlik tehdidine karşı korumaya yardımcı olur. Varsayılan olarak saydam veri şifrelemesi, Microsoft tarafından yönetilen anahtarları kullanan yeni dağıtılan tüm SQL veritabanları için etkinleştirilir.

Saydam veri şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz. Saydam veri şifrelemesi Azure SQL Veritabanı.

PostgreSQL için Azure Veritabanı

varsayılan olarak, PostgreSQL için Azure Veritabanı Bekleyen verileri Microsoft tarafından yönetilen anahtarları kullanarak şifrelemek için Azure Depolama şifrelemesini kullanır. SQL Server gibi diğer veritabanlarındaki saydam veri şifrelemesine benzer.

Saydam veri şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz. Müşteri tarafından yönetilen anahtarla Tek Sunucu veri şifrelemesi PostgreSQL için Azure Veritabanı.

MySQL için Azure Veritabanı

MySQL için Azure Veritabanı, Microsoft Bulut'taki ilişkisel bir veritabanı hizmetidir. MySQL Community Edition veritabanı altyapısını temel alır. MySQL için Azure Veritabanı hizmeti bekleyen verilerin Azure Depolama şifrelemesi için FIPS 140-2 doğrulanmış şifreleme modülünü kullanır.

Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemek için bkz. Müşteri tarafından yönetilen anahtarla veri şifreleme MySQL için Azure Veritabanı.

Azure Cosmos DB

Azure Machine Learning, meta verileri bir Azure Cosmos DB örneğinde depolar. Bu örnek, Azure Machine Learning'in yönettiği bir Microsoft aboneliğiyle ilişkilendirilmiştir. Azure Cosmos DB'de depolanan tüm veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.

Azure Cosmos DB örneğini şifrelemek için kendi (müşteri tarafından yönetilen) anahtarlarınızı kullandığınızda, aboneliğinizde Microsoft tarafından yönetilen bir Azure Cosmos DB örneği oluşturulur. Bu örnek, çalışma alanınızın kaynak grubundan farklı olan Microsoft tarafından yönetilen bir kaynak grubunda oluşturulur. Daha fazla bilgi için bkz . Azure Machine Learning için müşteri tarafından yönetilen anahtarlar.

Azure Container Registry

Kapsayıcı kayıt defterinizdeki tüm kapsayıcı görüntüleri (Azure Container Registry örneği) bekleme sırasında şifrelenir. Azure, görüntüyü depolamadan önce otomatik olarak şifreler ve Azure Machine Learning görüntüyü çektiğinde şifresini çözer.

Kapsayıcı kayıt defterinizi şifrelemek için müşteri tarafından yönetilen anahtarları kullanmak için, çalışma alanını sağlarken kapsayıcı kayıt defterini oluşturmanız ve eklemeniz gerekir. Çalışma alanı sağlama sırasında oluşturulan varsayılan örneği şifreleyebilirsiniz.

Önemli

Azure Machine Learning, kapsayıcı kayıt defterinizde yönetici hesabını etkinleştirmenizi gerektirir. Varsayılan olarak, kapsayıcı kayıt defteri oluşturduğunuzda bu ayar devre dışı bırakılır. Yönetici hesabını etkinleştirme hakkında bilgi için bu makalenin devamında yer alan Yönetici hesabı bölümüne bakın.

Bir çalışma alanı için kapsayıcı kayıt defteri oluşturduktan sonra, bunu silmeyin. Bunu yaptığınızda Azure Machine Learning çalışma alanınız bozulacaktır.

Var olan bir kapsayıcı kayıt defterini kullanarak çalışma alanı oluşturma örnekleri için aşağıdaki makalelere bakın:

Azure Container Instances

Önemli

Azure Container Instances dağıtımları, Azure Machine Learning Python SDK'sına ve CLI v1'e dayanır.

Dağıtılan bir Azure Container Instances kaynağını müşteri tarafından yönetilen anahtarları kullanarak şifreleyebilirsiniz. Kapsayıcı Örnekleri için kullandığınız müşteri tarafından yönetilen anahtarlar, çalışma alanınızın anahtar kasasında depolanabilir.

ŞUNUN IÇIN GEÇERLIDIR: Python SDK azureml v1

Container Instances'a model dağıtırken anahtarını kullanmak için kullanarak AciWebservice.deploy_configuration()yeni bir dağıtım yapılandırması oluşturun. Aşağıdaki parametreleri kullanarak anahtar bilgilerini sağlayın:

  • cmk_vault_base_url: Anahtarı içeren anahtar kasasının URL'si.
  • cmk_key_name: Anahtarın adı.
  • cmk_key_version: Anahtarın sürümü.

Dağıtım yapılandırması oluşturma ve kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Kapsayıcı Örnekleri ile müşteri tarafından yönetilen anahtar kullanma hakkında daha fazla bilgi için bkz . Dağıtım verilerini şifreleme.

Azure Kubernetes Service

Dağıtılan bir Azure Kubernetes Service kaynağını, müşteri tarafından yönetilen anahtarları kullanarak istediğiniz zaman şifreleyebilirsiniz. Daha fazla bilgi için bkz . Azure Kubernetes Service ile kendi anahtarlarınızı getirme.

Bu işlem, Kubernetes kümesinde dağıtılan sanal makinelerin hem verilerini hem de işletim sistemi diskini şifrelemenizi sağlar.

Önemli

Bu işlem yalnızca AKS sürüm 1.17 veya üzeri ile çalışır. Azure Machine Learning, 13 Ocak 2020'de AKS 1.17 desteği ekledi.

Machine Learning işlem

İşlem kümesi

Azure Depolama'da depolanan her işlem düğümü için işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlüdür ve hiçbir iş kuyruğa alınmadığında kümelerin ölçeği genellikle azaltılır. Temel alınan sanal makinenin yetkisi kaldırılır ve işletim sistemi diski silinir.

Azure Disk Şifrelemesi çalışma alanları için varsayılan olarak etkin değildir. çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız işletim sistemi diski şifrelenir.

Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız geçici disk şifrelenir. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.

Yönetilen çevrimiçi uç noktalar ve toplu iş uç noktaları arka uçta Azure Machine Learning işlemini kullanır ve aynı şifreleme mekanizmasını izler.

İşlem örneği

İşlem örneğinin işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. hbi_workspace parametresi TRUE olarak ayarlanmış bir çalışma alanı oluşturursanız, işlem örneğindeki yerel işletim sistemi ve geçici diskler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici diskler için desteklenmez.

Daha fazla bilgi için bkz . Azure Machine Learning için müşteri tarafından yönetilen anahtarlar.

Azure Data Factory

Azure Data Factory işlem hattı, Azure Machine Learning ile kullanmak üzere verileri alır. Azure Data Factory, varlık tanımları ve çalıştırmalar devam ederken önbelleğe alınan veriler de dahil olmak üzere bekleyen verileri şifreler. Varsayılan olarak veriler, veri fabrikanıza benzersiz olarak atanmış rastgele oluşturulmuş microsoft tarafından yönetilen bir anahtarla şifrelenir.

Şifreleme için müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Azure Data Factory'yi müşteri tarafından yönetilen anahtarlarla şifreleme.

Azure Databricks

Azure Machine Learning işlem hatlarında Azure Databricks'i kullanabilirsiniz. Varsayılan olarak, Azure Databricks'in kullandığı Databricks Dosya Sistemi (DBFS), Microsoft tarafından yönetilen bir anahtar aracılığıyla şifrelenir. Azure Databricks'i müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırmak için bkz . Varsayılan (kök) DBFS'de müşteri tarafından yönetilen anahtarları yapılandırma.

Microsoft tarafından oluşturulan veriler

Azure Machine Learning gibi hizmetleri kullandığınızda, Microsoft birden çok modeli eğitecek geçici, önceden işlenmiş veriler oluşturabilir. Bu veriler çalışma alanınızdaki bir veri deposunda depolanır, böylece erişim denetimlerini ve şifrelemeyi uygun şekilde zorunlu kılabilirsiniz.

Ayrıca, dağıtılan uç noktanızdan Application Insights'a kaydedilen tanılama bilgilerini şifrelemek isteyebilirsiniz.

Aktarım sırasında şifreleme

Azure Machine Learning, çeşitli Azure Machine Learning mikro hizmetleri arasındaki iç iletişimin güvenliğini sağlamaya yardımcı olmak için Aktarım Katmanı Güvenliği(TLS) kullanır. Tüm Azure Depolama erişimi de güvenli bir kanal üzerinden gerçekleşir.

Azure Machine Learning, puanlama uç noktasına yapılan dış çağrıların güvenliğini sağlamaya yardımcı olmak için TLS kullanır. Daha fazla bilgi için bkz. TLS kullanarak Azure Machine Learning aracılığıyla web hizmetinin güvenliğini sağlama.

Veri toplama ve işleme

Tanılama amacıyla Microsoft, kullanıcıları tanımlamayan bilgiler toplayabilir. Örneğin, Microsoft kaynak adlarını (örneğin, veri kümesi adı veya makine öğrenmesi deneme adı) veya iş ortamı değişkenlerini toplayabilir. Bu tür tüm veriler, Microsoft tarafından yönetilen anahtarlar aracılığıyla Microsoft'a ait aboneliklerde barındırılan depolama alanında depolanır. Depolama , Microsoft'un standart gizlilik ilkesine ve veri işleme standartlarına uyar. Bu veriler çalışma alanınızla aynı bölgede kalır.

Hassas bilgileri (hesap anahtarı gizli dizileri gibi) ortam değişkenlerinde depolamamanızı öneririz. Microsoft ortam değişkenlerini günlüğe kaydeder, şifreler ve depolar. Benzer şekilde, işlerinizi adlandırdığınızda, kullanıcı adları veya gizli proje adları gibi hassas bilgileri dahil etmekten kaçının. Bu bilgiler, Microsoft destek mühendislerinin erişebileceği telemetri günlüklerinde görünebilir.

Çalışma alanını sağlarken parametresini TRUE olarak ayarlayarak hbi_workspace tanılama verilerinin toplanmasını geri çevirebilirsiniz. Bu işlevsellik, Azure Machine Learning Python SDK'sını, Azure CLI'yı, REST API'leri veya Azure Resource Manager şablonlarını kullandığınızda desteklenir.

Azure Key Vault'ta kimlik bilgisi depolama

Azure Machine Learning, çeşitli türlerdeki kimlik bilgilerini depolamak için çalışma alanıyla ilişkili Azure Key Vault örneğini kullanır:

  • Depolama hesabı için ilişkili bağlantı dizesi
  • Azure Container Registry örneklerinin parolaları
  • Veri depolarına bağlantı dizeleri

Azure HDInsight ve sanal makineler gibi işlem hedeflerine yönelik Secure Shell (SSH) parolaları ve anahtarları, Microsoft aboneliğiyle ilişkili ayrı bir anahtar kasasında depolanır. Azure Machine Learning, kullanıcıların sağladığı parolaları veya anahtarları depolamaz. Bunun yerine, sanal makinelere bağlanmak için kendi SSH anahtarlarını ve denemeleri çalıştırmak için HDInsight'ı oluşturur, yetkiler ve depolar.

Her çalışma alanı, çalışma alanıyla aynı ada sahip, sistem tarafından atanan ilişkili bir yönetilen kimliğe sahiptir. Bu yönetilen kimlik, anahtar kasasındaki tüm anahtarlara, gizli dizilere ve sertifikalara erişebilir.

Sonraki adımlar