Налаштування груп безпеки для моделей DeepSeek-R1 на AWS передбачає декілька найкращих практик для забезпечення безпечного та ефективного розгортання. Ось кілька детальних вказівок:
1. Створіть окремі групи безпеки **
Створіть окрему групу безпеки для кожного набору ресурсів з різними вимогами до підключення. Наприклад, якщо ви розгортаєте моделі DeepSeek-R1 за допомогою Amazon SageMaker, створюєте чітку групу безпеки для кінцевих точок Sagemaker та іншу для будь-яких пов'язаних з цим баз даних або послуг, таких як RDS [2] [4].2. Обмежте вхідний та вихідний трафік **
Переконайтесь, що ваші групи безпеки обмежують вхідний та вихідний трафік лише тим, що потрібно для вашої заявки. Уникайте дозволу на вхідному доступу до деяких або всіх портів, оскільки це може зробити вашу мережу вразливою до шкідливих атак [4]. Наприклад, якщо вашій моделі DeepSeek-R1 потрібно спілкуватися лише з певною базою даних, обмежте вхідні правила, щоб дозволити трафік лише з групи безпеки цієї бази даних.3. Уникайте використання груп безпеки за замовчуванням **
Групи безпеки за замовчуванням часто мають відкритий вхідний та вихідний трафік, що може становити значний ризик безпеки. Натомість створіть спеціальні групи безпеки з певними правилами, пристосованими до потреб вашої програми [4] [8].4. Використовуйте ролі IAM для контролю доступу **
Впроваджуйте ролі IAM для управління, хто може отримати доступ та посилатися на модель DeepSeek-R1. Це забезпечує тонкозернистий контроль доступу та допомагає запобігти несанкціонованому доступу до чутливих ресурсів [5] [7].5. Розгортання в приватному VPC **
Розгорніть свої моделі DeepSeek-R1 у приватній віртуальній приватній хмарі (VPC) для підвищення безпеки. Ця установка дозволяє більш ефективно контролювати доступ до мережі та зменшити вплив публічного Інтернету [1] [7].6. Впроваджуйте Guardrails для безпеки та дотримання **
Використовуйте такі інструменти, як Amazon BedRock Guardrails для впровадження заходів безпеки та дотримання. Ці огородження допомагають запобігти оперативним атакам, фільтрувати шкідливий вміст та забезпечити, щоб ваші програми AI дотримувались галузевих норм [3].7. Монітор та журнал мережевого трафіку **
Увімкніть журнали потоку VPC для моніторингу мережевого трафіку між вашими ресурсами. Це допомагає виявити будь -які несанкціоновані спроби доступу та СНІД у аудиту відповідності [4].8. Регулярно переглядати та оновлювати групи безпеки **
Регулярно переглядайте свої групи безпеки, щоб переконатися, що вони залишаються узгодженими з потребами вашої програми. Видаліть будь -які невикористані групи безпеки та оновіть правила, якщо це необхідно, для підтримки оптимальної безпеки [4].Дотримуючись цих найкращих практик, ви можете надійно розгорнути моделі DeepSeek-R1 на AWS, зберігаючи надійний контроль безпеки та відповідність галузевим стандартам.
Цитати:
[1] https://aws.amazon.com/blogs/machine-learning/optimize-hosting-deepseek-r1-distill-models-with-hugging-face-tgi-on-amazon-sagemaker-ai/
[2] https://repost.aws/questions/qubp50idpqsju0tinnso8-fw/best-practice-security-group-architecture
[3] https://aws.amazon.com/blogs/machine-learning/protect-your-deepseek-model-deployments-with-amazon-bedrock-guardrails/
[4] https://www.jit.io/blog/best-practices-for-aws-security-groups
[5] https://crossasyst.com/blog/deepseek-r1-on-aws-bedrock/
[6] https://www.youtube.com/watch?v=mlvdpdjn59e
[7] https://aws.amazon.com/blogs/machine-learning/deploy-deepseek-r1-distill-models-on-amazon-sagemaker-using-a-large-model-inference-container/
[8] https://renovacloud.com/en/26-aws-security-best-practices-to-adopt-in-production-2/