在 Kubernetes 中运行人工智能 (AI) 和机器学习 (ML) 工作负载的一大关键优势是,能够通过 Ingress controller 对所有传入请求进行集中控制。它是一个多功能模块,可用作负载均衡器和 API 网关,为确保 Kubernetes 环境中 AI/ML 应用的安全奠定了坚实的基础。
作为一套统一工具,Ingress controller 支持轻松地实施安全防护和性能措施、监控活动及满足合规要求。更具体地说,在 Kubernetes 环境中通过 Ingress controller 保护 AI/ML 应用安全具有多项战略优势 — 我们将在本文中进行探讨。
集中式安全防护与合规控制
作为 Kubernetes 集群的网关,Ingress controller 允许 MLOps 和平台工程团队部署一个集中控制点来执行安全策略。这有助于降低按 pod 或按 service 配置安全设置的复杂性。通过在 Ingress controller 层面上集中实施安全控制,您可以简化合规流程,从而更轻松地管理和监控合规状态。
综合身份验证和授权
Ingress controller 还是对所有 AI/ML 应用访问实施和执行身份验证与授权的逻辑位置。通过添加强大的证书管理功能,它还是为 Kubernetes 构建零信任 (ZT) 架构的关键。对于确保使用重要专有数据的敏感 AI 应用的持续安全性和合规性而言,零信任至关重要。
速率限制和访问控制
Ingress controller 是执行速率限制的理想位置,可保护您的应用免受滥用,例如 DDoS 攻击或过多 API 调用,这对于公共 AI/ML API 来说至关重要。随着模型盗窃和数据泄露等新型 AI 威胁的兴起,实施速率限制和访问控制不仅在抵御暴力破解攻击方面变得愈发重要,而且还有助于防止攻击者滥用业务逻辑或绕过安全护栏来提取数据和模型训练或权重信息。
Web 应用防火墙 (WAF) 集成
许多 Ingress controller 都支持与 WAF 相集成。WAF 已成为保护公开应用和服务必不可少的工具,并针对 OWASP 十大风险等常见 Web 漏洞和攻击提供了额外的保护层。更重要的是,经过适当调试后,WAF 可有效抵御针对 AI/ML 应用的针对性攻击。对于注重延迟和性能的 AI/ML 应用来说,一个关键考虑因素是 WAF 带来的潜在开销。此外,为了更好地支持 AI/ML 应用,WAF 必须在监控和可观测性仪表盘和报警结构方面与 Ingress controller 紧密集成。如果 WAF 和 Ingress controller 可以共享一个数据平面,那就完美无缺了。
结论:在规划 AI/ML 架构的早期添加 Ingress controller
由于 Ingress controller 在面向 AI/ML 应用的 Kubernetes 应用部署中占有重要地位,因此最好在构建 AI/ML 应用的过程中添加其功能。这不仅可以减少功能重复,还能够更好地决定该选用哪款 Ingress controller,以随您 AI/ML 应用需求的增长而扩展。对于 MLOps 团队而言,Ingress controller 已成为其许多关键平台和运维功能的一个集中控制点,安全防护是其中的重中之重。
开始使用 NGINX
NGINX 提供了一套全面的工具和构建模块,可满足您的需求,并帮助您增强 Kubernetes 平台的安全性、可扩展性及可观测性。
您可以立即申请 Kubernetes 互联套件的 30 天免费试用版。