Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Anmärkning
Informationen i den här artikeln är specifik för ett hubbbaserat projekt och gäller inte för ett Azure AI Foundry-projekt. Se Hur vet jag vilken typ av projekt jag har? och Skapa ett hubbbaserat projekt.
Sårbarhetshantering är en process för att identifiera, utvärdera, minimera och rapportera säkerhetsrisker i en organisations system och programvara. Det är ett delat ansvar mellan dig och Microsoft.
Den här artikeln beskriver dina ansvarsområden och de sårbarhetshanteringskontroller som Azure AI Foundry tillhandahåller. Lär dig hur du håller din tjänstinstans och dina appar uppdaterade med de senaste säkerhetsuppdateringarna och minskar risken för angripare.
Microsoft-hanterade VM-avbildningar
Microsoft hanterar avbildningar av virtuella värddatorer (VM) för beräkningsinstanser och serverlösa beräkningskluster. Uppdateringarna är månatliga och innehåller följande information:
För varje ny vm-avbildningsversion hämtar Microsoft de senaste os-uppdateringarna från den ursprungliga utgivaren. Med hjälp av de senaste uppdateringarna kan du se till att du får alla tillämpliga OS-korrigeringar. För Azure AI Foundry publicerar Canonical alla Ubuntu-avbildningar.
Vm-avbildningar uppdateras varje månad.
Förutom utgivarens korrigeringar uppdaterar Microsoft systempaket när uppdateringar blir tillgängliga.
Microsoft kontrollerar och validerar alla maskininlärningspaket som kan kräva en uppgradering. I de flesta fall innehåller nya VM-avbildningar de senaste paketversionerna.
Alla VM-avbildningar bygger på säkra prenumerationer som regelbundet kör sårbarhetsgenomsökning. Microsoft flaggar eventuella oadresserade säkerhetsrisker och åtgärdar dem i nästa version.
De flesta bilder använder en månatlig lanseringstakt. För beräkningsinstanser överensstämmer avbildningsversionen med versionskadensen för Azure Machine Learning SDK som är förinstallerad i miljön.
Microsoft tillämpar även snabbkorrigeringar när sårbarheter dyker upp. Microsoft distribuerar snabbkorrigeringar inom 72 timmar för serverlösa beräkningskluster och inom en vecka för beräkningsinstanser.
Anmärkning
Värdoperativsystemet är inte den operativsystemversion som du anger för en miljö när du tränar eller distribuerar en modell. Miljöer körs i Docker. Docker körs på värdoperativsystemet.
Microsoft-hanterade containeravbildningar
Grundläggande Docker-avbildningar som Microsoft underhåller för Azure AI Foundry får frekventa säkerhetskorrigeringar för att åtgärda nyligen identifierade säkerhetsrisker.
Microsoft uppdaterar bilder som stöds varannan vecka för att åtgärda säkerhetsrisker. Målet är noll sårbarheter som är äldre än 30 dagar i de senaste bilderna som stöds.
Microsoft släpper korrigerade avbildningar med en ny oföränderlig tagg och en uppdaterad :latest tagg. Att använda taggen :latest eller fästa en specifik avbildningsversion är en kompromiss mellan säkerhets- och miljöåtergivning för ditt maskininlärningsjobb.
Hantera miljöer och containeravbildningar
I Azure AI Foundry-portalen tillhandahåller Docker-avbildningar körningsmiljön för distributioner av promptflöden. Dessa avbildningar börjar från en Azure AI Foundry-basavbildning.
Även om Microsoft korrigerar basavbildningar med varje version är det en kompromiss mellan reproducerbarhet och sårbarhetshantering att använda den senaste avbildningen. Du väljer miljöversion för dina jobb eller modelldistributioner.
Som standard läggs beroenden ovanpå basavbildningar när du skapar en avbildning. När du har installerat extra beroenden på Microsoft-avbildningar ansvarar du för sårbarhetshantering.
Din Azure AI Foundry-hubb innehåller en Azure Container Registry-instans som cachelagrar containeravbildningar. När en avbildning skapas skickas den till containerregistret. Arbetsytan använder den cachelagrade avbildningen när du distribuerar motsvarande miljö.
Hubben tar inte bort någon avbildning från containerregistret. Granska behovet av varje bild över tid. Om du vill övervaka och underhålla miljöhygienen använder du Microsoft Defender för Container Registry för att söka igenom dina avbildningar efter säkerhetsrisker. Information om hur du automatiserar processer baserat på Microsoft Defender-utlösare finns i Automatisera reparationssvar.
Sårbarhetshantering på beräkningsvärdar
Hanterade beräkningsnoder i Azure AI Foundry-portalen använder Microsoft-hanterade VM-avbildningar för operativsystem. När du etablerar en nod hämtas den senaste VM-avbildningen. Det här beteendet gäller för beräkningsinstanser, serverlösa beräkningskluster och hanterad slutsatsdragningsberäkning.
Även om VM-avbildningar för operativsystem regelbundet korrigeras söker Microsoft inte aktivt igenom beräkningsnoder efter sårbarheter när de används. Överväg nätverksisolering för dina beräkningsnoder för ett extra skyddslager.
Att se till att din miljö är uppdaterad och att beräkningsnoder använder den senaste operativsystemversionen är ett delat ansvar mellan dig och Microsoft. Tjänsten uppdaterar inte upptagna noder till den senaste VM-avbildningen. Överväganden skiljer sig något åt för varje beräkningstyp, enligt beskrivningen i följande avsnitt.
Beräkningsinstans
Beräkningsinstanser får den senaste VM-avbildningen vid etablering. Microsoft släpper nya VM-avbildningar varje månad. När du har distribuerat en beräkningsinstans får den inte pågående avbildningsuppdateringar. Använd någon av följande metoder för att hålla dig uppdaterad med de senaste programuppdateringarna och säkerhetskorrigeringarna:
Återskapa en beräkningsinstans för att hämta den senaste OS-avbildningen (rekommenderas).
Om du använder den här metoden förlorar du data och anpassningar (till exempel installerade paket) som lagras på instansens OS-disk och tillfälliga disk.
Läs mer om avbildningsversioner i viktig information om Azure Machine Learning-beräkningsinstansens avbildning.
Uppdatera os- och Python-paket regelbundet.
Använd Linux-pakethanteringsverktyg för att uppdatera paketlistan med de senaste versionerna:
sudo apt-get updateAnvänd Linux-pakethanteringsverktyg för att uppgradera paket till de senaste versionerna. Paketkonflikter kan uppstå när du använder den här metoden.
sudo apt-get upgradeAnvänd Python-pakethanteringsverktyg för att uppgradera paket och söka efter uppdateringar:
pip list --outdated
Installera och kör ytterligare genomsökningsprogram på beräkningsinstansen för att söka efter säkerhetsproblem:
- Använd Trivy för att identifiera sårbarheter på os- och Python-paketnivå.
- Använd ClamAV för att identifiera skadlig kod. Den är förinstallerad på beräkningsinstanser.
Det går inte att installera Microsoft Defender for Servers-agenten.
Slutpunkter
Slutpunkter tar automatiskt emot uppdateringar av os-värdavbildningar med sårbarhetskorrigeringar. Microsoft uppdaterar avbildningar minst en gång i månaden.
Beräkningsnoder uppgraderas automatiskt till den senaste versionen av VM-avbildningen när den släpps. Du behöver inte göra något.