Konfigurace skupin zabezpečení pro modely DeepSeek-R1 na AWS zahrnuje několik osvědčených postupů, aby bylo zajištěno bezpečné a efektivní nasazení. Zde je několik podrobných pokynů:
1. Vytvořte samostatné bezpečnostní skupiny **
Vytvořte samostatnou skupinu zabezpečení pro každou sadu zdrojů s různými požadavky na připojení. Pokud například nasazujete modely DeepSeek-R1 pomocí Amazon SageMaker, vytvořte odlišnou bezpečnostní skupinu pro koncové body SageMaker a další pro všechny přidružené databáze nebo služby, jako jsou RDS [2] [4].2. Omezte příchozí a odchozí provoz **
Zajistěte, aby vaše bezpečnostní skupiny omezily příchozí a odchozí provoz pouze na to, co je nezbytné pro vaši aplikaci. Vyvarujte se umožnění veškerého příchozího přístupu k některým nebo všem portům, protože to může vaše síť zranitelná vůči škodlivým útokům [4]. Pokud například váš model DeepSeek-R1 musí komunikovat pouze s konkrétní databází, omezit příchozí pravidla, která umožňují provoz pouze ze skupiny zabezpečení této databáze.3. Vyvarujte se používání výchozích skupin zabezpečení **
Výchozí skupiny zabezpečení mají často otevřený příchozí a odchozí provoz, což může představovat významné bezpečnostní riziko. Místo toho vytvořte vlastní skupiny zabezpečení s konkrétními pravidly přizpůsobenými potřebám vaší aplikace [4] [8].4. Použijte role IAM pro řízení přístupu **
Implementujte role IAM, abyste spravovali, kdo má přístup a vyvolává model DeepSeek-R1. Tím je zajištěno jemnozrnné řízení přístupu a pomáhá předcházet neoprávněnému přístupu k citlivým zdrojům [5] [7].5. Nasazení do soukromého VPC **
Nasaďte své modely DeepSeek-R1 v rámci soukromého virtuálního soukromého cloudu (VPC), abyste zvýšili zabezpečení. Toto nastavení umožňuje efektivněji řídit přístup sítě a snížit expozici veřejnému internetu [1] [7].6. implementovat zábradlí pro bezpečnost a dodržování předpisů **
K implementaci opatření v oblasti bezpečnosti a dodržování předpisů použijte nástroje, jako je amazonská zábradlí. Tyto zábradlí pomáhají předcházet rychlým útokům, filtrujte škodlivý obsah a zajišťují, aby vaše aplikace AI dodržovaly průmyslové předpisy [3].7. Monitorujte a protokolujte síťový provoz **
Umožněte protokolu toku VPC pro sledování síťového provozu mezi vašimi zdroji. To pomáhá při odhalování jakýchkoli neoprávněných pokusů o přístup a pomáhá při auditu dodržování předpisů [4].8. Pravidelně kontrolovat a aktualizovat skupiny zabezpečení **
Pravidelně kontrolujte své skupiny zabezpečení, abyste se ujistili, že zůstanou v souladu s vyvíjejícími se potřebami vaší aplikace. Odstraňte všechny nepoužité skupiny zabezpečení a aktualizujte pravidla podle potřeby k udržení optimální bezpečnosti [4].Dodržováním těchto osvědčených postupů můžete bezpečně nasadit modely DeepSeek-R1 na AWS při zachování robustních bezpečnostních kontrol a dodržování průmyslových standardů.
Citace:
[1] https://aws.amazon.com/blogs/machine-learning/optimize-hosting-deepseek-r1-distilled-models-with-face-tgi-on-amazon-sagemaker-ai/
[2] https://repost.aws/questions/qubp50idpqsju0tinso8-fw/best-practice-security-group-architecture
[3] https://aws.amazon.com/blogs/machine-learning/protect-your-deepseek-model-deployments-with-amazon-bedrock-guardrails/
[4] https://www.jit.io/blog/best-pactices-for-aws-security-Groups
[5] https://crossasyst.com/blog/deepseek-r1-on-aws-bedrock/
[6] https://www.youtube.com/watch?v=mlvdpdjn59e
[7] https://aws.amazon.com/blogs/machine-learning/deploy-deeepseek-r1-distilled-models-on-amazon-sagemaker-using-a-large-inference-container/
[8] https://renovacloud.com/en/26-aws-security-best-tractices-to-adopt-in-production-part-2/