Logo Zephyrnet

Bảo mật các URL được chỉ định sẵn của Amazon SageMaker Studio Phần 1: Cơ sở hạ tầng nền tảng

Ngày:

Bạn có thể truy cập Xưởng sản xuất Amazon SageMaker sổ ghi chép từ Amazon SageMaker bảng điều khiển thông qua Quản lý truy cập và nhận dạng AWS (IAM) liên kết được xác thực từ nhà cung cấp danh tính của bạn (IdP), chẳng hạn như Okta. Khi người dùng Studio mở liên kết sổ ghi chép, Studio xác thực chính sách IAM của người dùng được liên kết để cấp quyền truy cập, đồng thời tạo và phân giải URL được chỉ định trước cho người dùng. Vì bảng điều khiển SageMaker chạy trên miền internet, URL được chỉ định trước được tạo này sẽ hiển thị trong phiên trình duyệt. Điều này thể hiện một vectơ mối đe dọa không mong muốn cho việc xâm nhập và giành quyền truy cập vào dữ liệu khách hàng khi các biện pháp kiểm soát truy cập thích hợp không được thực thi.

Studio hỗ trợ một số phương pháp để thực thi các kiểm soát truy cập chống lại quá trình lọc dữ liệu URL được chỉ định trước:

  • Xác thực IP ứng dụng khách sử dụng điều kiện chính sách IAM aws:sourceIp
  • Xác thực VPC của khách hàng sử dụng điều kiện IAM aws:sourceVpc
  • Xác thực điểm cuối VPC của ứng dụng khách sử dụng điều kiện chính sách IAM aws:sourceVpce

Khi bạn truy cập sổ ghi chép Studio từ bảng điều khiển SageMaker, tùy chọn khả dụng duy nhất là sử dụng xác thực IP ứng dụng khách với điều kiện chính sách IAM aws:sourceIp. Tuy nhiên, bạn có thể sử dụng các sản phẩm định tuyến lưu lượng trình duyệt như Zscaler để đảm bảo quy mô và tính tuân thủ cho việc truy cập internet của lực lượng lao động của bạn. Các sản phẩm định tuyến lưu lượng này tạo ra IP nguồn của riêng chúng, mà dải IP của chúng không được khách hàng doanh nghiệp kiểm soát. Điều này khiến các khách hàng doanh nghiệp này không thể sử dụng aws:sourceIp điều kiện.

Để sử dụng xác thực điểm cuối VPC của ứng dụng khách bằng điều kiện chính sách IAM aws:sourceVpce, việc tạo URL được chỉ định trước cần phải bắt nguồn từ cùng một VPC của khách hàng nơi Studio được triển khai và việc phân giải URL được chỉ định trước cần phải diễn ra thông qua điểm cuối Studio VPC trên VPC của khách hàng. Độ phân giải của URL được chỉ định trước này trong thời gian truy cập cho người dùng mạng công ty có thể được thực hiện bằng cách sử dụng các quy tắc chuyển tiếp DNS (cả trong Zscaler và DNS công ty) và sau đó vào điểm cuối VPC của khách hàng bằng cách sử dụng Amazon Route 53 trình phân giải gửi đến.

Trong phần này, chúng ta thảo luận về kiến ​​trúc bao quát để bảo mật url đã ký trước của studio và trình bày cách thiết lập cơ sở hạ tầng nền tảng để tạo và khởi chạy URL được chỉ định sẵn của Studio thông qua điểm cuối VPC của bạn qua mạng riêng mà không cần truyền qua internet. Điều này đóng vai trò là lớp nền tảng để ngăn chặn sự xâm nhập dữ liệu của các tác nhân xấu bên ngoài giành quyền truy cập vào URL được ký sẵn của Studio và quyền truy cập trái phép hoặc giả mạo của người dùng công ty trong môi trường công ty.

Tổng quan về giải pháp

Sơ đồ sau đây minh họa kiến ​​trúc giải pháp quá vòm.

Quy trình bao gồm các bước sau:

  1. Người dùng công ty xác thực thông qua IdP của họ, kết nối với cổng thông tin công ty của họ và mở liên kết Studio từ cổng thông tin công ty.
  2. Ứng dụng cổng thông tin công ty thực hiện lệnh gọi API riêng tư bằng cách sử dụng điểm cuối API Gateway VPC để tạo URL được chỉ định trước.
  3. Lệnh gọi điểm cuối API Gateway VPC “tạo URL được chỉ định trước” được chuyển tiếp đến trình phân giải gửi đến Tuyến 53 trên VPC của khách hàng như được định cấu hình trong DNS của công ty.
  4. Trình phân giải DNS VPC phân giải nó thành IP điểm cuối VPC của API Gateway. Theo tùy chọn, nó sẽ tra cứu bản ghi vùng được lưu trữ riêng nếu nó tồn tại.
  5. Điểm cuối VPC API Gateway định tuyến yêu cầu qua mạng riêng của Amazon đến "tạo API URL được chỉ định trước" đang chạy trong tài khoản dịch vụ API Gateway.
  6. API Gateway gọi create-pre-signedURL API riêng và proxy yêu cầu tới create-pre-signedURL AWS Lambda chức năng.
  7. Sản phẩm create-pre-signedURL Cuộc gọi Lambda được gọi thông qua điểm cuối Lambda VPC.
  8. Sản phẩm create-pre-signedURL chức năng chạy trong tài khoản dịch vụ, truy xuất ngữ cảnh người dùng đã xác thực (ID người dùng, Khu vực, v.v.), tra cứu bảng ánh xạ để xác định miền SageMaker và định danh hồ sơ người dùng, tạo sagemaker createpre-signedDomainURL Lệnh gọi API và tạo một URL được chỉ định trước. Vai trò dịch vụ Lambda có các điều kiện điểm cuối VPC nguồn được xác định cho API SageMaker và Studio.
  9. URL chỉ định trước đã tạo được phân giải qua điểm cuối Studio VPC.
  10. Studio xác thực rằng URL được chỉ định trước đang được truy cập thông qua điểm cuối VPC của khách hàng được xác định trong chính sách và trả về kết quả.
  11. Máy tính xách tay Studio được trả về phiên trình duyệt của người dùng qua mạng công ty mà không cần truyền qua Internet.

Các phần sau sẽ hướng dẫn bạn cách triển khai kiến ​​trúc này để giải quyết các URL được chỉ định sẵn của Studio từ mạng công ty bằng cách sử dụng điểm cuối VPC. Chúng tôi chứng minh việc triển khai hoàn chỉnh bằng cách hiển thị các bước sau:

  1. Thiết lập kiến ​​trúc nền tảng.
  2. Định cấu hình máy chủ ứng dụng của công ty để truy cập URL được chỉ định trước của SageMaker thông qua điểm cuối VPC.
  3. Thiết lập và khởi chạy Studio từ mạng công ty.

Thiết lập kiến ​​trúc nền tảng

Trong bài Truy cập sổ ghi chép Amazon SageMaker Studio từ mạng công ty, chúng tôi đã trình bày cách phân giải tên miền URL được chỉ định trước cho máy tính xách tay Studio từ mạng công ty mà không cần chuyển qua Internet. Bạn có thể làm theo hướng dẫn trong bài đăng đó để thiết lập kiến ​​trúc nền tảng, sau đó quay lại bài đăng này và tiến hành bước tiếp theo.

Định cấu hình máy chủ ứng dụng của công ty để truy cập URL được chỉ định trước của SageMaker thông qua điểm cuối VPC

Để cho phép truy cập Studio từ trình duyệt internet của bạn, chúng tôi thiết lập một máy chủ ứng dụng tại chỗ trên Windows Server trên mạng con công cộng VPC tại chỗ. Tuy nhiên, các truy vấn DNS để truy cập Studio được định tuyến thông qua mạng công ty (riêng tư). Hoàn thành các bước sau để định cấu hình lưu lượng truy cập Studio định tuyến qua mạng công ty:

  1. Kết nối với máy chủ ứng dụng Windows tại chỗ của bạn.

  2. Chọn Lấy mật khẩu sau đó duyệt và tải lên khóa riêng của bạn để giải mã mật khẩu của bạn.
  3. Sử dụng máy khách RDP và kết nối với Máy chủ Windows bằng thông tin đăng nhập của bạn.
    Việc phân giải DNS Studio từ dấu nhắc lệnh của Windows Server dẫn đến việc sử dụng các máy chủ DNS công cộng, như được hiển thị trong ảnh chụp màn hình sau.

    Bây giờ chúng tôi cập nhật Windows Server để sử dụng máy chủ DNS tại chỗ mà chúng tôi đã thiết lập trước đó.
  4. Hướng đến Bảng điều khiển, Mạng và Internet, và lựa chọn Network Connections.
  5. Nhấp chuột phải Ethernet và chọn Bất động sản tab.
  6. Cập nhật Windows Server để sử dụng máy chủ DNS tại chỗ.
  7. Bây giờ bạn cập nhật máy chủ DNS ưa thích của mình bằng IP máy chủ DNS của bạn.
  8. Hướng đến VPCBảng tuyến đường và chọn của bạn STUDIO-ONPREM-PUBLIC-RT bảng lộ trình.
  9. Thêm một tuyến đường vào 10.16.0.0/16 với đích là kết nối ngang hàng mà chúng tôi đã tạo trong quá trình thiết lập kiến ​​trúc nền tảng.

Thiết lập và khởi chạy Studio từ mạng công ty của bạn

Để thiết lập và khởi chạy Studio, hãy hoàn thành các bước sau:

  1. Tải xuống Chrome và khởi chạy trình duyệt trên phiên bản Windows này.
    Bạn có thể cần phải tắt Cấu hình Bảo mật Nâng cao của Internet Explorer để cho phép tải xuống tệp và sau đó cho phép tải xuống tệp.
  2. Trong trình duyệt Chrome trên thiết bị cục bộ của bạn, điều hướng đến bảng điều khiển SageMaker và mở công cụ dành cho nhà phát triển Chrome mạng tab.
  3. Khởi chạy ứng dụng Studio và quan sát mạng tab cho authtoken giá trị tham số, bao gồm URL được chỉ định trước đã tạo cùng với địa chỉ máy chủ từ xa mà URL được chuyển đến để phân giải. Trong ví dụ này, địa chỉ từ xa 100.21.12.108 là một trong những địa chỉ máy chủ DNS công cộng để phân giải miền DNS SageMaker name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws.
  4. Lặp lại các bước này từ Đám mây điện toán đàn hồi Amazon (Amazon EC2) Phiên bản Windows mà bạn đã định cấu hình như một phần của kiến ​​trúc nền tảng.

Chúng ta có thể thấy rằng địa chỉ từ xa không phải là IP DNS công cộng, thay vào đó là điểm cuối Studio VPC 10.16.42.74.

Kết luận

Trong bài đăng này, chúng tôi đã trình bày cách giải quyết URL được chỉ định sẵn của Studio từ mạng công ty bằng cách sử dụng điểm cuối VPC riêng của Amazon mà không để lộ độ phân giải URL được chỉ định trước trên internet. Điều này đảm bảo hơn nữa tư thế bảo mật doanh nghiệp của bạn khi truy cập Studio từ mạng công ty để xây dựng khối lượng công việc học máy bảo mật cao trên SageMaker. Trong phần 2 của loạt bài này, chúng tôi mở rộng thêm giải pháp này để trình bày cách xây dựng một API riêng để truy cập Studio với aws:sourceVPCE Xác thực chính sách IAM và xác thực mã thông báo. Hãy thử giải pháp này và để lại phản hồi của bạn trong phần bình luận!


Về các tác giả

Ram Vittal là kiến ​​trúc sư giải pháp máy học tại AWS. Ông có hơn 20 năm kinh nghiệm về kiến ​​trúc và xây dựng các ứng dụng phân tán, kết hợp và đám mây. Anh ấy đam mê xây dựng các giải pháp AI / ML và Dữ liệu lớn an toàn và có thể mở rộng để giúp khách hàng doanh nghiệp trong hành trình áp dụng và tối ưu hóa đám mây nhằm cải thiện kết quả kinh doanh của họ. Khi rảnh rỗi, anh ấy thích chơi quần vợt và chụp ảnh.

Neelam Koshiya là một kiến ​​trúc sư giải pháp doanh nghiệp tại AWS. Trọng tâm hiện tại của cô là giúp khách hàng doanh nghiệp trong hành trình sử dụng đám mây của họ để đạt được kết quả kinh doanh chiến lược. Trong thời gian rảnh rỗi, cô ấy thích đọc sách và ở ngoài trời.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img