Настройка групп безопасности для моделей DeepSeek-R1 на AWS включает в себя несколько лучших практик для обеспечения безопасного и эффективного развертывания. Вот несколько подробных рекомендаций:
1. Создать отдельные группы безопасности **
Создайте отдельную группу безопасности для каждого набора ресурсов с различными требованиями к подключению. Например, если вы развертываете модели DeepSeek-R1 с использованием Amazon SageMaker, создайте отдельную группу безопасности для конечных точек SageMaker и другой для любых связанных баз данных или услуг, таких как RDS [2] [4].2. Ограничьте входящий и исходящий трафик **
Убедитесь, что ваши группы безопасности ограничивают входящий и исходящий трафик только тем, что необходимо для вашей заявки. Избегайте разрешения всего входящего доступа к некоторым или всем портам, так как это может сделать вашу сеть уязвимой для злонамеренных атак [4]. Например, если ваша модель DeepSeek-R1 должна связаться только с конкретной базой данных, ограничивайте входящие правила, чтобы разрешить трафик только из группы безопасности этой базы данных.3. Избегайте использования групп безопасности по умолчанию **
Группы безопасности по умолчанию часто имеют открытый входящий и исходящий трафик, который может представлять значительный риск безопасности. Вместо этого создайте пользовательские группы безопасности с конкретными правилами, адаптированными к потребностям вашего приложения [4] [8].4. Используйте IAM Роли для контроля доступа **
Реализуйте свои роли, чтобы управлять тем, кто может получить доступ, и вызвать модель DeepSeek-R1. Это обеспечивает мелкозернистый контроль доступа и помогает предотвратить несанкционированный доступ к конфиденциальным ресурсам [5] [7].5. Развертывание в частном VPC **
Разверните свои модели DeepSeek-R1 в частном виртуальном частном облаке (VPC), чтобы повысить безопасность. Эта настройка позволяет вам более эффективно контролировать доступ к сети и снижать экспозицию в общедоступном Интернете [1] [7].6. Реализуйте ограждения за безопасность и соответствие **
Используйте такие инструменты, как Amazon Bedrock Guardrails для реализации мер безопасности и соответствия. Эти ограждения помогают предотвратить быстрые атаки, фильтровать вредный контент и гарантировать, что ваши приложения для искусственного интеллекта придерживаются отраслевых правил [3].7. Мониторинг и журнал сетевой трафик **
Включите журналы потока VPC для мониторинга сетевого трафика между вашими ресурсами. Это помогает обнаружить любые несанкционированные попытки доступа и помогает аудиту соответствия [4].8. Регулярно просмотреть и обновлять группы безопасности **
Регулярно просматривайте свои группы безопасности, чтобы убедиться, что они остаются в соответствии с развивающимися потребностями вашего приложения. Удалить любые неиспользованные группы безопасности и обновлять правила по мере необходимости для поддержания оптимальной безопасности [4].Следуя этим лучшим практикам, вы можете надежно развернуть модели DeepSeek-R1 на AWS, сохраняя при этом надежный контроль за безопасности и соблюдение отраслевых стандартов.
Цитаты:
[1] https://aws.amazon.com/blogs/machine-learning/optimize-hosting-deepseek-r1-distilled-models-with-ghing-face-tgi-on-amazon-sagemaker-ai/
[2] https://repost.aws/questions/qubp50idpqsju0tinnso8-fw/best-practice-security-group-architecture
[3] https://aws.amazon.com/blogs/machine-learning/protect-your-deepseek-model-deployments-with-amazon-bedrock-guardrails/
[4] https://www.jit.io/blog/best-practices-for-aws-security-groups
[5] https://crossasyst.com/blog/deepseek-r1-on-aws-bedrock/
[6] https://www.youtube.com/watch?v=MLVDPDJN59E
[7] https://aws.amazon.com/blogs/machine-learning/deploy-deepseek-r1-distilled-models-on-amazon-sagemaker-using-a-large-model-infere-container/
[8] https://renovacloud.com/en/26-aws-security-best-practices-to-adopt-in-production-part-2/