Fronteira da segurança

• Corrija os patches relacionados aos ECSs subjacentes.
• Atualize o K8S e corrija vulnerabilidades.
• Opere a manutenção do ciclo de vida do sistema operacional da VM.
• Garanta a segurança e a conformidade da plataforma de inferência ModelArts.
• Melhore a segurança dos serviços de aplicações de contêiner.
• Atualize o ambiente de tempo de execução do modelo e corrija vulnerabilidades periodicamente.

A inferência do ModelArts requer autorização de outros serviços em nuvem. Você pode conceder apenas as permissões necessárias com base em suas necessidades. Por exemplo, você pode conceder permissão de acesso em um bucket do OBS a um locatário para gerenciamento de modelo.

A inferência do ModelArts suporta controle de permissão refinado. Você pode configurar as permissões para os usuários com base nas necessidades reais para restringir as permissões em alguns recursos.

Para dissociar modelos de imagens e proteger ativos de modelo, você pode importar dinamicamente aplicações de IA de treinamentos ou OBS. Você precisa atualizar os pacotes de dependência de aplicações de IA e corrigir vulnerabilidades em pacotes de código aberto ou de terceiros. As informações sensíveis relacionadas às aplicações de IA precisam ser desacopladas e configuradas durante a implementação. Selecione o ambiente de tempo de execução recomendado pelo ModelArts. Os ambientes anteriores podem ter vulnerabilidades de segurança.

Você pode selecionar imagens confiáveis abertas ao criar aplicações de IA a partir de uma imagem de contêiner, por exemplo, imagens do OpenEuler, Ubuntu e NVIDIA. Crie usuários não raiz em vez de usuários raiz para executar uma imagem. Somente o pacote de segurança necessário durante o tempo de execução é instalado na imagem. Reduza o tamanho da imagem e atualize o pacote de instalação para a versão mais recente livre de vulnerabilidades. Desacople informações confidenciais de imagens durante a implementação do serviço. Não use diretamente as informações no Dockerfile. Realize varreduras de segurança em imagens periodicamente e instale patches para corrigir vulnerabilidades. Para facilitar o relatório de alarme e a retificação de falhas, adicione a interface de verificação de integridade e certifique-se de que o status do serviço possa ser retornado corretamente. Para garantir a segurança dos dados do serviço, use fluxos de transmissão HTTPS e pacotes de criptografia confiáveis para contêineres.

Para evitar que os serviços sejam sobrecarregados ou desperdiçados, defina as especificações de nó de computação adequadas durante a implementação. Não ouça outras portas no contêiner. Se outras portas precisarem ser acessadas localmente, ouça-as em localhost. Não transfira diretamente informações confidenciais por meio de variáveis de ambiente. Criptografe informações confidenciais com componente de criptografia antes da transmissão de dados.

A chave de autenticação da aplicação é uma credencial de acesso para serviços em tempo real. Você deve manter a chave da aplicação corretamente.