تأمين البنية الأساسية لتطبيقات الذكاء الاصطناعي

1. مقدمة

نظرة عامة

في هذا الدرس التطبيقي، ستتعلّم كيفية الحدّ من المخاطر الشائعة التي تهدّد البنية الأساسية لبيئة تطوير الذكاء الاصطناعي. عليك تنفيذ عناصر تحكّم في الأمان مصمَّمة لحماية المكوّنات الأساسية لهذه البيئة.

السياق

أنت بطل الأمان في فريق التطوير، وهدفك هو إنشاء بيئة تحقق التوازن بين سهولة الاستخدام والحماية من التهديدات الشائعة.

يسرد الجدول التالي التهديدات التي تهمّك أكثر من غيرها. تتم معالجة كل تهديد من خلال مهمة محدّدة ضمن هذا المختبر:

مرجع سريع

خلال هذا الدرس التطبيقي، ستعمل على الموارد المسماة التالية:

أهداف الدورة التعليمية

في هذا الدرس التطبيقي، ستتعرّف على كيفية:

• توفير شبكة VPC آمنة مع شبكة خاصة للحدّ من حركة البيانات غير المرغوب فيها
• تعزيز أمان مثيل Vertex AI Workbench ضد برامج bootkit وتصعيد الامتيازات
• تأمين حزمة Cloud Storage للحدّ من نقل البيانات بدون مراقبة وعرضها للجميع عن طريق الخطأ

2. إعداد المشروع

حساب Google

إذا لم يكن لديك حساب شخصي على Google، عليك إنشاء حساب على Google.

استخدام حساب شخصي بدلاً من حساب تابع للعمل أو تديره مؤسسة تعليمية

تسجيل الدخول إلى Google Cloud Console

سجِّل الدخول إلى Google Cloud Console باستخدام حساب Google شخصي.

تفعيل الفوترة

تحصيل قيمة رصيد Google Cloud بقيمة 5 دولار أمريكي (اختياري)

لإجراء ورشة العمل هذه، تحتاج إلى حساب فوترة يتضمّن بعض الرصيد. إذا كنت تخطّط لاستخدام نظام الفوترة الخاص بك، يمكنك تخطّي هذه الخطوة.

1. انقر على هذا الرابط وسجِّل الدخول باستخدام حساب Google شخصي. سيظهر لك محتوى مشابه لما يلي:
2. انقر على الزر انقر هنا للوصول إلى أرصدتك. سيتم توجيهك إلى صفحة لإعداد ملف الفوترة
3. انقر على تأكيد.

أنت مرتبط الآن بحساب فوترة تجريبي على Google Cloud Platform.

إعداد حساب فوترة شخصي

إذا أعددت الفوترة باستخدام أرصدة Google Cloud، يمكنك تخطّي هذه الخطوة.

لإعداد حساب فوترة شخصي، يُرجى الانتقال إلى هنا لتفعيل الفوترة في Cloud Console.

ملاحظات:

• يجب أن تكلّف إكمال هذا المختبر أقل من دولار أمريكي واحد من موارد السحابة الإلكترونية.
• يمكنك اتّباع الخطوات في نهاية هذا المختبر لحذف الموارد وتجنُّب المزيد من الرسوم.
• يكون المستخدمون الجدد مؤهّلين للاستفادة من الفترة التجريبية المجانية بقيمة 300 دولار أمريكي.

إنشاء مشروع (اختياري)

إذا لم يكن لديك مشروع حالي تريد استخدامه لهذا التصنيف، يمكنك إنشاء مشروع جديد هنا.

3- تفعيل واجهات برمجة التطبيقات

إعداد Cloud Shell

بعد إنشاء مشروعك بنجاح، اتّبِع الخطوات التالية لإعداد Cloud Shell.

تشغيل Cloud Shell

انتقِل إلى shell.cloud.google.com، وإذا ظهرت لك نافذة منبثقة تطلب منك التفويض، انقر على تفويض.

ضبط رقم تعريف المشروع

نفِّذ الأمر التالي في وحدة Cloud Shell الطرفية لضبط معرّف المشروع الصحيح. استبدِل <your-project-id> برقم تعريف المشروع الفعلي الذي نسخته من خطوة إنشاء المشروع أعلاه.

gcloud config set project <your-project-id>

من المفترض أن يظهر لك الآن أنّه تم اختيار المشروع الصحيح في نافذة Cloud Shell.

تفعيل Vertex AI Workbench وCloud Storage

لاستخدام الخدمات في هذا المختبر، عليك تفعيل واجهات برمجة التطبيقات لكلّ من Compute Engine وVertex AI Workbench وIAM وCloud Storage في مشروعك على Google Cloud.

1. في الوحدة الطرفية، فعِّل واجهات برمجة التطبيقات:

gcloud services enable compute.googleapis.com notebooks.googleapis.com aiplatform.googleapis.com iam.googleapis.com storage.googleapis.com

يمكنك بدلاً من ذلك تفعيل واجهات برمجة التطبيقات هذه من خلال الانتقال إلى صفحاتها المعنية في وحدة التحكّم والنقر على تفعيل.

4. إعداد أساس آمن للشبكة

في هذه المهمة، يمكنك إنشاء بيئة شبكة معزولة لجميع خدماتك. باستخدام شبكة خاصة والتحكّم في تدفّقات البيانات، يمكنك إنشاء دفاع متعدّد الطبقات لتقليل مساحة الهجوم في بنيتك الأساسية بشكل كبير مقارنةً بالموارد التي يمكن الوصول إليها بشكل علني. وتُعدّ هذه البنية الأساسية الآمنة للشبكة ضرورية لحماية تطبيقات الذكاء الاصطناعي من الوصول غير المصرَّح به.

إنشاء شبكة VPC وشبكة فرعية

في هذه الخطوة، عليك إعداد سحابة إلكترونية خاصة افتراضية (VPC) وشبكة فرعية. يؤدي ذلك إلى إنشاء بيئة شبكة معزولة، وهي خط الدفاع الأول ضد الدخول غير المصرّح به إلى الشبكة.

1. في Google Cloud Console، انتقِل إلى شبكة VPC > شبكات VPC. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "شبكات السحابة الخاصة الافتراضية" (VPC) واختَرها.
2. انقر على إنشاء شبكة VPC.
3. في حقل الاسم، أدخِل genai-secure-vpc.
4. بالنسبة إلى وضع إنشاء الشبكة الفرعية، اختَر مخصّص.
5. ضمن شبكة فرعية جديدة، حدِّد الخصائص التالية لإنشاء الشبكة الفرعية:

   الموقع	القيمة (اكتب أو اختَر)
   الاسم	genai-subnet-us-central1
   المنطقة	us-central1
   نطاق عنوان IP	10.0.1.0/24
   Private Google Access	تفعيل

6. انقر على إنشاء.

إنشاء بوابة Cloud NAT

تسمح بوابة Cloud NAT لمثيلاتك الخاصة ببدء اتصالات صادرة (مثل تحديثات البرامج) بدون الحاجة إلى عنوان IP عام، ما يعني أنّ الإنترنت العام لا يمكنه بدء اتصالات بها.

1. أولاً، أنشئ جهاز توجيه Cloud Router. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "Cloud Router" واختَره.
2. انقر على إنشاء جهاز توجيه.
3. اضبط جهاز التوجيه السحابي باستخدام ما يلي:

   الموقع	القيمة (اكتب أو اختَر)
   الاسم	genai-router-us-central1
   الشبكة	genai-secure-vpc (شبكة VPC التي أنشأتها للتو)
   المنطقة	us-central1

4. انقر على إنشاء.
5. بعد ذلك، انتقِل إلى خدمات الشبكة > Cloud NAT. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "Cloud NAT" واختَرها.
6. انقر على البدء.
7. اضبط بوابة Cloud NAT باستخدام ما يلي:

   الموقع	القيمة (اكتب أو اختَر)
   اسم البوابة	genai-nat-us-central1
   شبكة VPC	genai-secure-vpc (شبكة VPC التي أنشأتها)
   المنطقة	us-central1
   Cloud Router	‫genai-router-us-central1 (جهاز التوجيه الذي أعددته للتو)

8. انقر على إنشاء.

5- نشر مثيل آمن من Vertex AI Workbench

بعد أن أصبح لديك أساس آمن للشبكة، يمكنك نشر مثيل Vertex AI Workbench مُحسَّن داخل شبكة السحابة الإلكترونية الافتراضية الخاصة (VPC) الآمنة. يعمل مثيل Workbench هذا كبيئة تطوير، ما يوفّر مساحة آمنة ومعزولة لعملك في تطوير الذكاء الاصطناعي. يضمن إعداد الشبكة السابق عدم إتاحة هذه الآلة الافتراضية مباشرةً على الإنترنت العام، ما يعزّز الدفاع المتعدّد الطبقات.

إنشاء حساب خدمة بأقل امتيازات

يساعد إنشاء حساب خدمة مخصّص بأقل عدد ممكن من الأذونات اللازمة في تطبيق مبدأ الحدّ الأدنى من الأذونات المميّزة. في حال تعرّض مثيلك للاختراق، تحدّ هذه الممارسة من "نطاق التأثير" من خلال ضمان ألا يتمكّن المثيل من الوصول إلا إلى الموارد وتنفيذ الإجراءات المطلوبة بشكل صريح لوظيفته.

1. من Google Cloud Console، انتقِل إلى إدارة الهوية وإمكانية الوصول والمشرف > حسابات الخدمة. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "حسابات الخدمة" واختَرها.
2. انقر على إنشاء حساب خدمة.
3. في حقل اسم حساب الخدمة، أدخِل vertex-workbench-sa.
4. انقر على إنشاء ومتابعة.
5. امنح الأدوار التالية:
   • Vertex AI User
   • Storage Object Creator
6. انقر على تم.

إنشاء مثيل Workbench

في هذه الخطوة، يمكنك نشر مثيل Vertex AI Workbench. تم ضبط هذه الآلة الافتراضية للعمل ضمن سحابة VPC الخاصة التي أنشأتها سابقًا، ما يؤدي إلى عزلها بشكل أكبر عن الإنترنت العام. يمكنك أيضًا تطبيق إجراءات إضافية لتعزيز الأمان مباشرةً على الجهاز الظاهري.

1. من قائمة التنقّل في Google Cloud Console (قائمة الهامبرغر)، انتقِل إلى Vertex AI > Workbench. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "Workbench"، ثم اختَر النتيجة التي تتضمّن "Vertex AI" كعنوان فرعي.
2. انقر على إنشاء جديد وأدخِل الإعدادات التالية:

   الموقع	القيمة (اكتب أو اختَر)
   الاسم	secure-genai-instance
   المنطقة	us-central1

3. انقر على خيارات متقدمة.
4. انقر على نوع الجهاز وضَع علامة في مربّعات الاختيار بجانب ما يلي:
   • بروتوكول التشغيل الآمن
   • وحدة النظام الأساسي الموثوقة الافتراضية (vTPM)
   • مراقبة النزاهة:
5. انقر على الشبكات واضبط ما يلي:

   الموقع	القيمة (اكتب أو اختَر)
   الشبكة	genai-secure-vpc
   الشبكة الفرعية	genai-subnet-us-central1 (10.0.1.0/24)
   تعيين عنوان IP خارجي	ألغِ تحديد هذا الخيار، لأنّك لا تصل إلى هذه الآلة الافتراضية إلا من خلال خادم وكيل في Google Cloud.

6. انقر على إدارة الهوية وإمكانية الوصول والأمان واضبط ما يلي:

   الموقع	القيمة (اكتب أو اختَر)
   البريد الإلكتروني للمستخدم	مستخدم واحد واختَر عنوان البريد الإلكتروني الذي استخدمته حاليًا لتسجيل الدخول إلى Google Cloud.
   استخدام حساب خدمة Compute Engine التلقائي	أزِل العلامة من مربّع الاختيار.
   البريد الإلكتروني لحساب الخدمة	أدخِل عنوان البريد الإلكتروني الذي تم إنشاؤه لحساب الخدمة بأقل امتيازات (استبدِل [PROJECT_ID] برقم التعريف الفعلي): vertex-workbench-sa@[PROJECT_ID].iam.gserviceaccount.com
   إذن وصول جذري إلى الجهاز الافتراضي	أزِل العلامة من مربّع الاختيار.

7. انقر على إنشاء.

الوصول إلى مثيل Vertex AI

بعد أن أصبحت مثيل Vertex AI Workbench مؤقتًا، يمكنك الوصول إليه بأمان. يمكنك الاتصال بها من خلال خادم وكيل Google Cloud، ما يضمن بقاء الجهاز الافتراضي خاصًا وعدم تعرّضه للإنترنت المتاح للجميع، وبالتالي الحدّ من خطر حركة البيانات غير المرغوب فيها والمحتمل أن تكون ضارة.

1. انتقِل إلى Vertex AI > Workbench. قد تكون في هذه الصفحة إذا انتهت عملية توفير مثيلك للتو. إذا لم يكن كذلك، يمكنك استخدام قائمة التنقّل في Google Cloud Console (قائمة الهامبرغر) أو شريط البحث للوصول إلى هناك.
2. ابحث عن مثيلك الذي يحمل الاسم secure-genai-instance في القائمة.
3. على يسار مثيلك، انقر على الرابط فتح JupyterLab.

يؤدي هذا إلى فتح علامة تبويب جديدة في المتصفّح، ما يتيح لك الوصول إلى مثيلك. يمكنك الوصول إليه من خلال Google Cloud، ولكن لا يتم عرضه على الإنترنت المتاح للجميع، ما يحدّ من خطر الزيارات غير المرغوب فيها والمحتمل أن تكون ضارة.

6. نشر حزمة Cloud Storage آمنة

الآن، يمكنك إنشاء حزمة آمنة على Cloud Storage لمجموعات البيانات. هذا هو المكان الذي يتم فيه تخزين بيانات تدريب الذكاء الاصطناعي والنماذج والنتائج. من خلال تطبيق إعدادات أمان قوية على هذا الحِزمة، يمكنك منع عرض البيانات الحسّاسة بشكل غير مقصود على الجمهور والحماية من الحذف والتلاعب الضار أو غير المقصود. ويضمن ذلك سلامة مواد عرض الذكاء الاصطناعي القيّمة وسرّيتها.

إنشاء الحزمة وإعدادها

في هذه الخطوة، عليك إنشاء حزمة Cloud Storage وتطبيق إعدادات الأمان الأولية. تفرض هذه الإعدادات منع الوصول العام وتتيح عناصر تحكّم موحّدة في الوصول على مستوى الحزمة، وهي عناصر ضرورية للحفاظ على التحكّم في المستخدمين الذين يمكنهم الوصول إلى بياناتك.

1. من Google Cloud Console، انتقِل إلى Cloud Storage > الحِزم. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "حِزم" واختَرها.
2. انقر على إنشاء.
3. في البدء، اضبط الاسم على secure-genai-artifacts-[PROJECT_ID]، مع استبدال [PROJECT_ID] برقم تعريف مشروع Google Cloud الفعلي.
4. انتقِل إلى اختيار مكان تخزين البيانات واضبط ما يلي:

   الموقع	القيمة (اكتب أو اختَر)
   نوع الموقع	الإقليم
   المنطقة	us-central1

5. انتقِل إلى اختيار طريقة تخزين بياناتك واحتفِظ بالإعدادات التلقائية.
6. انتقِل إلى اختيار طريقة التحكّم في الوصول إلى العناصر واحتفِظ بالإعدادات التلقائية:

   الموقع	القيمة (اكتب أو اختَر)	السبب
   منع الوصول العلني	اترك الخيار فرض منع الوصول العلني محدّدًا.	منع الوصول العام يلغي أي تغييرات على إدارة الهوية وإمكانية الوصول (IAM) قد تؤدي عن غير قصد إلى إتاحة كائن على الإنترنت.
   التحكم في الدخول	اترك خيار موحّد محدّدًا.	على الرغم من أنّ قوائم التحكّم بالوصول تبدو الخيار الأفضل للتحكّم الدقيق، وبالتالي أقل امتياز، فإنّها تزيد من التعقيد وعدم القدرة على التوقّع عند دمجها مع ميزات أخرى لإدارة الهوية وإمكانية الوصول. يجب مراعاة المزايا والعيوب المرتبطة بالوصول الموحّد على مستوى الحزمة لمنع عرض البيانات عن غير قصد.

7. انتقِل إلى اختيار كيفية حماية بيانات العناصر واحتفِظ بالإعدادات التلقائية:

   الموقع	القيمة (اكتب أو اختَر)	السبب
   سياسة الحذف الأوّلي (لاسترداد البيانات)	اترك خيار سياسة الحذف المؤقت (لاسترداد البيانات) محدّدًا.	في حال الحذف العرضي أو الضار في الحزمة، تتيح لك ميزة الحذف المؤقت استعادة المحتوى خلال فترة الاحتفاظ بالبيانات.
   تحديد إصدارات العناصر (للتحكّم في الإصدارات)	اختَر إصدارات الكائنات (للتحكّم في الإصدارات).	تتيح ميزة "التحكّم في إصدارات العناصر" إمكانية الاسترداد من عمليات الكتابة فوق البيانات العرضية أو الضارة، مثل أن يستبدل أحد المهاجمين ملفًا غير ضار بملف يحتوي على رمز استغلال.
   الحد الأقصى لعدد الإصدارات لكل عنصر	3	على الرغم من أنّ هذا الرقم اختياري ويمكن أن يزيد التكلفة، يجب أن يكون أكبر من 1 حتى تتمكّن من الرجوع إلى إصدار سابق. إذا كان من المحتمل أن يحاول المهاجم إجراء عمليات إعادة كتابة متعددة، قد يكون من الضروري استخدام استراتيجية أكثر قوة لإنشاء النسخ الاحتياطية.
   انتهاء صلاحية الإصدارات غير الحالية بعد	7	ننصحك بإبقاء الإصدارات القديمة نشطة لمدة 7 أيام، ولكن قد يكون هذا العدد أكبر للتخزين على المدى الطويل.

8. انقر على إنشاء.
9. إذا ظهرت نافذة منبثقة مكتوب فيها "سيتم منع الوصول العلني"، أبقِ المربّع التلقائي ("فرض منع الوصول العلني إلى هذه الحزمة") محدّدًا وانقر على تأكيد.

تفعيل حماية البيانات وتسجيلها

لضمان عدم قابلية بياناتك للتغيير وإمكانية تدقيقها، عليك تفعيل ميزة "إصدارات العناصر" وإعداد سجلّات الوصول إلى البيانات لحزمة التخزين. تتيح ميزة "التحكّم في إصدارات العناصر" إمكانية الاسترداد من عمليات الحذف أو الكتابة فوق البيانات عن طريق الخطأ، بينما توفّر سجلّات الوصول إلى البيانات مسار تدقيق شاملاً لجميع الأنشطة في الحزمة، وهو أمر ضروري لمراقبة الأمان والامتثال.

1. من Google Cloud Console، انتقِل إلى المشرف وإدارة الهوية وإمكانية الوصول > سجلّات التدقيق. استخدِم شريط البحث في أعلى Google Cloud Console للبحث عن "سجلّات التدقيق" واختَرها.
2. استخدِم فلتر البحث للعثور على Google Cloud Storage واختياره.
3. في اللوحة التي تظهر، ضَع علامة في المربّعين قراءة البيانات وكتابة البيانات.
4. انقر على حفظ.

7. من المختبر إلى الواقع

لقد أكملت للتو سلسلة من الخطوات في بيئة معملية مؤقتة، ولكن المبادئ وعمليات الإعداد التي طبّقتها هي المخطط الأساسي لتأمين مشاريع الذكاء الاصطناعي في العالم الحقيقي على Google Cloud. في ما يلي كيفية تطبيق ما تعلّمته على عملك، والانتقال من إعداد بسيط إلى إعداد جاهز للإنتاج.

يمكنك اعتبار الموارد التي أنشأتها للتو، أي السحابة الافتراضية الخاصة (VPC) الخاصة ومثيل Workbench المحسّن والحزمة الآمنة، كقالب بدء آمن لأي مشروع جديد للذكاء الاصطناعي. يجب أن يكون هدفك هو جعل هذه البنية الأساسية الآمنة هي الخيار التلقائي والمسار السهل لك ولفريقك.

الشبكة الآمنة: مساحة عملك الخاصّة

كيفية استخدام هذا الإعداد

في كل مرة تبدأ فيها مشروعًا جديدًا للذكاء الاصطناعي (مثل "customer-churn-prediction" و"image-classification-model")، عليك تكرار إعداد الشبكة هذا. عليك إنشاء شبكة VPC مخصّصة (churn-pred-vpc) أو استخدام شبكة مشتركة تمت الموافقة عليها مسبقًا. سيصبح هذا المجلد "بيئة اختبار معزولة" لمشروعك. تتوفّر بيئة التطوير، مثل Vertex AI Workbench التي تم إعدادها، داخل هذه المساحة المحمية. يمكنك الاتصال به من خلال الخادم الوكيل الآمن (فتح JupyterLab)، بدون عرضه مطلقًا على الإنترنت العام.

الاتصال بمرحلة الإنتاج

في بيئة الإنتاج، يمكنك تطوير هذا المفهوم إلى حدّ أبعد من خلال مراعاة ما يلي:

• البنية الأساسية كرمز (IaC): بدلاً من استخدام Cloud Console، يمكنك تحديد هذه الشبكة باستخدام أدوات مثل Terraform أو Cloud Deployment Manager. يتيح لك ذلك نشر أساس آمن للشبكة لمشروع جديد في غضون دقائق، ما يضمن إمكانية تكراره وتدقيقه.
• شبكة VPC المشتركة: في المؤسسات الكبيرة، غالبًا ما يدير فريق مركزي للشبكات شبكة VPC مشتركة. بصفتك مطوّرًا، سيتم منحك الإذن بتشغيل مثيلاتك وخدماتك في شبكات فرعية معيّنة ضمن تلك الشبكة الآمنة المُدارة مركزيًا. المبدأ هو نفسه، أي أنّك ستظل تعمل في مساحة خاصة، ولكنها جزء من بنية أساسية أكبر ومشترَكة.
• عناصر التحكّم في خدمة سحابة VPC: لتحقيق أقصى قدر من الأمان، يمكنك إحاطة هذه البيئة بأكملها بمحيط عناصر التحكّم في خدمة سحابة VPC. هذه ميزة فعّالة تمنع تسريب البيانات من خلال التأكّد من أنّ الموارد المصرّح لها فقط يمكنها الوصول إلى خدمات مثل Cloud Storage داخل حدود شبكتك الخاصة.

الحوسبة المحسّنة: مركز التطوير والتدريب الآمن

كيفية استخدام هذا الإعداد

secure-genai-instance هو جهاز تطوير الذكاء الاصطناعي اليومي. يمكنك استخدام واجهة JupyterLab لإجراء ما يلي:

• كتابة رمز النموذج واختباره في دفاتر الملاحظات
• ثبِّت مكتبات Python (pip install ...).
• تجربة مجموعات بيانات صغيرة إلى متوسطة الحجم يعمل الأمان الذي ضبطته (بدون عنوان IP عام، وحساب خدمة بأقل امتيازات، وبدون إذن وصول إلى الجذر، وSecure Boot) بشكل غير مرئي في الخلفية. يمكنك التركيز على عملك في مجال الذكاء الاصطناعي مع العلم أنّ الجهاز الافتراضي محمي من الهجمات الشائعة.

الاتصال بمرحلة الإنتاج

لا يتم عادةً إجراء تدريب على نطاق واسع على مثيل Workbench واحد في مرحلة الإنتاج. بدلاً من ذلك، يمكنك تحويل عملك إلى منتج بالطرق التالية:

• من دفتر الملاحظات إلى خطوة التنفيذ: يمكنك أخذ الرمز من دفتر الملاحظات وتحويله إلى نص برمجي. سيتم بعد ذلك تنفيذ هذا النص البرمجي كـ مهمة تدريب مخصّصة في Vertex AI أو كخطوة في مسار Vertex AI.
• التجميع في حاويات: يمكنك تجميع رمز التدريب والموارد التابعة له في حاوية Docker وتخزينها في Artifact Registry. يضمن ذلك تشغيل الرمز البرمجي في بيئة متّسقة يمكن توقّعها في كل مرة.
• حساب الخدمة هو المفتاح: حساب الخدمة vertex-workbench-sa الذي أنشأته مهم للغاية. في مرحلة الإنتاج، سيتم تشغيل مهام Vertex AI Training المبرمَجة باستخدام حساب الخدمة نفسه (أو حساب مشابه) بأقل امتيازات، ما يضمن أنّ المهمة المبرمَجة لا تملك سوى الأذونات التي تحتاج إليها تمامًا.

مساحة التخزين الآمنة: مستودع مركزي للعناصر

كيفية استخدام هذا الإعداد

إنّ الحزمة secure-genai-artifacts هي مصدر المعلومات الموثوق به الوحيد لبيانات مشروعك. ولا يقتصر ذلك على مجموعة البيانات الأولية. يمكنك استخدامها لتخزين ما يلي:

• بيانات التدريب الأولية والمعالجة مسبقًا
• نقاط التحقّق من النماذج أثناء عمليات التدريب الطويلة
• عناصر النموذج النهائي الذي تم تدريبه (ملفات .pkl أو .pb أو .h5)
• نتائج التقييم والسجلّات تعني إعدادات الأمان التي طبّقتها (منع الوصول العام، والوصول الموحّد على مستوى الحزمة، وتتبُّع الإصدارات، وتسجيل التدقيق) أنّه يمكنك استخدام هذه الحزمة بثقة كمخزن مركزي محمي من عمليات الحذف غير المقصودة وتسريب البيانات.

الاتصال بمرحلة الإنتاج

لإدارة مبادئك والتحكّم فيها في بيئة إنتاج، عليك أيضًا مراعاة ما يلي:

• سياسات مراحل النشاط: لإدارة التكاليف، يمكنك إعداد سياسات مراحل النشاط لنقل إصدارات النماذج أو مجموعات البيانات القديمة تلقائيًا إلى فئات تخزين أرخص (مثل Nearline أو Coldline) أو حذفها بعد فترة معيّنة.
• الأذونات على مستوى المشاريع: في مسار الإنتاج، قد يملأ فريق هندسة البيانات هذه الحزمة من مشروع مختلف على Google Cloud. تسهّل ميزة "الوصول الموحَّد على مستوى الحزمة" التي فعّلتها إدارة أذونات IAM هذه على مستوى المشاريع المتعددة وتوفّر الأمان لها، بدون قوائم التحكم بالوصول المعقّدة (وبالتالي سهلة الضبط بشكل خاطئ).

الصورة الكبيرة: جعل الأمان هو الإعداد التلقائي

من خلال اعتماد هذا النموذج، يمكنك تغيير وضع الأمان من مجرد فكرة لاحقة إلى أساس. لم تعُد مجرد مطوّر، بل أصبحت بطل أمان لفريقك. عند انضمام عضو جديد إلى الفريق، لا تمنحه جهازًا غير آمن ومتاحًا للجميع. يمكنك منحهم إذن الوصول إلى بيئة آمنة تم إعدادها مسبقًا، حيث تكون طريقة العمل الآمنة هي أيضًا الأسهل. يقلّل هذا النهج بشكل مباشر من مخاطر المؤسسة من خلال منع الأسباب الشائعة لخرق البيانات واختراق الأنظمة، ما يتيح لفريقك الابتكار وإنشاء تطبيقات ذكاء اصطناعي فعّالة بثقة.

8. تهانينا!

تهانينا! لقد أنشأتَ بنجاح بنية أساسية آمنة ومتعدّدة الطبقات لبيئة تطوير الذكاء الاصطناعي وراجعتها. لقد أنشأت محيط شبكة آمنًا باستخدام وضع جدار الحماية "الرفض التلقائي"، ونشرت آلة افتراضية محسّنة، وأمّنت حزمة بيانات، واستخدمت السجلات للتحقّق من أنّ عناصر التحكّم تعمل على النحو المطلوب تمامًا.

ملخّص

في هذا الدرس التطبيقي، أنجزت ما يلي:

• توفير شبكة VPC آمنة مع شبكة خاصة للحدّ من حركة البيانات غير المرغوب فيها
• تم نشر مثيل Vertex AI Workbench محمي ضد برامج bootkit وتجاوز الصلاحيات.
• تم تأمين حزمة Cloud Storage للحدّ من نقل البيانات غير الخاضع للمراقبة وعرضها على الجمهور عن طريق الخطأ.
• تم تنفيذ حسابات خدمة بأقل أذونات مميّزة للحدّ من "نطاق التأثير" المحتمل.
• تم تفعيل ميزة "التحكّم في إصدارات العناصر" وسجلات الوصول إلى البيانات لحماية البيانات وإنشاء سجلّ تدقيق غير قابل للتغيير.