Uma das principais vantagens de executar cargas de trabalho de inteligência artificial (IA) e aprendizado de máquina (ML) no Kubernetes é ter um ponto central de controle para todas as solicitações recebidas por meio do Ingress Controller. É um módulo versátil que serve como balanceador de carga e gateway de API, fornecendo uma base sólida para proteger aplicativos de IA/ML em um ambiente Kubernetes.
Como uma ferramenta unificada, o Ingress Controller é um ponto de contato conveniente para aplicar medidas de segurança e desempenho, monitorar atividades e exigir conformidade. Mais especificamente, proteger aplicativos de IA/ML no Ingress Controller em um ambiente Kubernetes oferece diversas vantagens estratégicas que exploramos neste blog.
Controle centralizado de segurança e conformidade
Como o Ingress Controller atua como um gateway para seu cluster Kubernetes, ele permite que equipes de MLOps e engenharia de plataforma implementem um ponto centralizado para aplicar políticas de segurança. Isso reduz a complexidade de configurar as configurações de segurança por pod ou por serviço. Ao centralizar os controles de segurança no nível do Ingress, você simplifica o processo de conformidade e facilita o gerenciamento e o monitoramento do status de conformidade.
Autenticação e Autorização Consolidadas
O Ingress Controller também é o local lógico para implementar e aplicar autenticação e autorização para acesso a todos os seus aplicativos de IA/ML. Ao adicionar um gerenciamento forte de autoridade de certificação, o Ingress Controller também é a peça fundamental na construção de arquiteturas de confiança zero (ZT) para o Kubernetes. O ZT é crucial para garantir a segurança e a conformidade contínuas de aplicativos de IA confidenciais executados em dados proprietários altamente valiosos.
Limitação de Taxa e Controle de Acesso
O Ingress Controller é um lugar ideal para impor limitação de taxa, protegendo seus aplicativos de abusos, como ataques DDoS ou chamadas de API excessivas, o que é crucial para APIs de IA/ML voltadas ao público. Com o surgimento de novas ameaças de IA, como roubo de modelos e vazamento de dados, impor limitação de taxa e controle de acesso se torna mais importante na proteção contra ataques de força bruta. Ele também ajuda a evitar que adversários abusem da lógica de negócios ou desbloqueiem proteções para extrair dados e modelar informações de treinamento ou peso.
Integração do Web Application Firewall (WAF)
Muitos controladores de entrada oferecem suporte à integração com WAFs, que são essenciais para proteger aplicativos e serviços expostos. Os WAFs fornecem uma camada adicional de segurança contra vulnerabilidades e ataques comuns da web, como o OWASP 10. Ainda mais crucial, quando ajustados corretamente, os WAFs protegem contra ataques mais direcionados a aplicativos de IA/ML. Uma consideração importante para aplicativos de IA/ML, onde latência e desempenho são cruciais, é a sobrecarga potencial introduzida por um WAF. Além disso, para ser eficaz para aplicativos de IA/ML, o WAF deve ser firmemente integrado ao Ingress Controller para painéis de monitoramento e observabilidade e estruturas de alerta. Se o WAF e o Ingress Controller puderem compartilhar um plano de dados comum, isso será o ideal.
Como o Ingress Controller ocupa um lugar tão importante na implantação de aplicativos Kubernetes para aplicativos de IA/ML, é melhor incluir seus recursos como parte da arquitetura de aplicativos de IA/ML. Isso pode aliviar a duplicação de funcionalidades e levar a uma melhor decisão sobre um Ingress Controller que será dimensionado e crescerá de acordo com as necessidades do seu aplicativo de IA/ML. Para equipes de MLOps, o Ingress Controller se torna um ponto de controle central para muitos de seus recursos críticos de plataforma e operações, com a segurança entre as principais prioridades.
O NGINX oferece um conjunto abrangente de ferramentas e blocos de construção para atender às suas necessidades e melhorar a segurança, a escalabilidade e a observabilidade da sua plataforma Kubernetes.
Você pode começar hoje mesmo solicitando uma avaliação gratuita de 30 dias do Connectivity Stack para Kubernetes .
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."