A biztonsági csoportok konfigurálása az AWS-ben a mélySeek-R1 modellekhez több bevált gyakorlatot foglal magában a biztonságos és hatékony telepítés biztosítása érdekében. Íme néhány részletes útmutató:
1. Készítsen külön biztonsági csoportokat **
Hozzon létre külön biztonsági csoportot minden egyes erőforrás -készlethez, eltérő összeköttetési követelményekkel. Például, ha az Amazon Sagemaker használatával telepíti a DeepSeek-R1 modelleket, hozzon létre egy különálló biztonsági csoportot a Sagemaker végpontokhoz, és egy másikhoz olyan kapcsolódó adatbázisok vagy szolgáltatások, mint az RDS [2] [4].2. Korlátozza a bejövő és kimenő forgalmat **
Győződjön meg arról, hogy biztonsági csoportjai csak a bejövő és a kimenő forgalmat korlátozzák az alkalmazáshoz szükségesek. Kerülje el, hogy minden bejövő hozzáférést biztosítson néhány vagy az összes porthoz vagy az összes porthoz, mivel ez a hálózatát a rosszindulatú támadások miatt sebezhetővé teheti [4]. Például, ha a DeepSeek-R1 modellnek csak egy adott adatbázissal kell kommunikálnia, korlátozza a bejövő szabályokat, hogy csak az adatbázis biztonsági csoportjából engedélyezze a forgalmat.3. Kerülje az alapértelmezett biztonsági csoportok használatát **
Az alapértelmezett biztonsági csoportok gyakran nyitott bejövő és kimenő forgalommal rendelkeznek, ami jelentős biztonsági kockázatot jelenthet. Ehelyett hozzon létre egyéni biztonsági csoportokat az alkalmazás igényeihez igazított konkrét szabályokkal [4] [8].4. Használja az IAM szerepeket a hozzáférés vezérléséhez **
Végezze el az IAM szerepeket annak kezelésére, akik hozzáférhetnek és meghívhatják a DeepSeek-R1 modellt. Ez biztosítja a finomszemcsés hozzáférés-ellenőrzést, és segít megelőzni az érzékeny erőforrásokhoz való jogosulatlan hozzáférést [5] [7].5. Telepítés egy privát VPC -n belül **
Telepítse a DeepSeek-R1 modelleket egy privát virtuális magánfelhőben (VPC) a biztonság javítása érdekében. Ez a beállítás lehetővé teszi a hálózati hozzáférés hatékonyabb ellenőrzését és a nyilvános internetnek való kitettség csökkentését [1] [7].6. Végrehajtja a védőkorlátokat a biztonság és a megfelelés érdekében **
Használjon olyan eszközöket, mint az Amazon Bedrock Guardbires a biztonsági és megfelelési intézkedések végrehajtásához. Ezek a védőkorlátok segítenek megakadályozni az azonnali támadásokat, kiszűrni a káros tartalmat, és biztosítják, hogy az AI alkalmazások betartják az ipari szabályokat [3].7. Monitor és naplózási forgalom **
Engedélyezze a VPC áramlási naplóit az erőforrások közötti hálózati forgalom nyomon követéséhez. Ez elősegíti a jogosulatlan hozzáférési kísérletek és a megfelelőség -ellenőrzés elősegítéseinek felismerését [4].8. Rendszeresen vizsgálja meg és frissítse a biztonsági csoportokat **
Rendszeresen vizsgálja felül a biztonsági csoportjait annak biztosítása érdekében, hogy azok összhangban maradjanak az alkalmazás fejlődő igényeivel. Távolítsa el a fel nem használt biztonsági csoportokat és a frissítési szabályokat az optimális biztonság fenntartásához szükséges módon [4].Ezeknek a bevált gyakorlatoknak a követésével biztonságosan telepítheti az AWS-ben a DeepSeek-R1 modelleket, miközben fenntartja a robusztus biztonsági ellenőrzéseket és az ipari szabványok betartását.
Idézetek:
[1] https://aws.amazon.com/blogs/machine-learning/optimize-hosting-deepseek-r1-distled-models-with-hugging-face-tgi-on-amazon-sagemaker-Ai/
[2] https://repost.aws/questions/qubp50idpqsju0tinnso8-fw/best-practice-security-group-architecture
[3] https://aws.amazon.com/blogs/machine-learning/protect-your-deepseek-model-deployments-with-amazon-bedrock-guardrails/
[4] https://www.jit.io/blog/best-practes-for-aws-security-groups
[5] https://crossasyst.com/blog/deepseek-r1-on-aws-bedrock/
[6] https://www.youtube.com/watch?v=mlvdpdjn59e
[7] https://aws.amazon.com/blogs/machine-learning/deploy-deepseek-r1-distilled-models-on-amazon-sagemaker-using-a--Large-model-inference-container/
[8] https://renovacloud.com/en/26-aws-security-bracts-to-adopt-in-production-Part-2/