관리형 계층 체크포인트 지정에 대한 보안 고려 사항
이 섹션에서는 관리형 계층 체크포인트 지정을 사용할 때의 중요한 보안 고려 사항을 다룹니다. 여기에는 Python 피클 사용, Amazon S3 암호화 및 네트워크 엔드포인트 보안이 포함됩니다.
Python 피클 사용
관리형 계층 체크포인트 지정은 Python의 피클 모듈을 사용하여 Amazon S3에 저장된 체크포인트 데이터를 역직렬화합니다. 이 구현은 보안에 중요한 영향을 미칩니다.
-
확장된 신뢰 경계: Amazon S3에서 관리형 계층 체크포인트 지정을 사용하는 경우 Amazon S3 버킷은 클러스터의 신뢰 경계에 포함됩니다.
-
코드 실행 위험: Python의 피클 모듈은 역직렬화 중에 임의의 코드를 실행할 수 있습니다. 권한이 없는 사용자가 체크포인트 Amazon S3 버킷에 대한 쓰기 액세스 권한을 얻는 경우 관리형 계층 체크포인트 지정에 의해 로드될 때 실행되는 악성 피클 데이터를 생성할 수 있습니다.
Amazon S3 스토리지 모범 사례
Amazon S3 스토리지에서 관리형 계층 체크포인트 지정을 사용하는 경우:
-
Amazon S3 버킷 액세스 제한: 훈련 클러스터와 연결된 승인된 사용자 및 역할만 체크포인트 지정에 사용되는 Amazon S3 버킷에 액세스할 수 있도록 합니다.
-
버킷 정책 구현: 무단 액세스 또는 수정을 방지하기 위해 적절한 버킷 정책을 구성합니다.
-
액세스 패턴 모니터링: 체크포인트 Amazon S3 버킷 액세스에 대한 로깅 및 모니터링을 구현합니다.
-
버킷 이름 검증: 잠재적인 버킷 하이재킹을 방지하려면 버킷 이름 선택 시 주의합니다.
네트워크 엔드포인트
관리형 계층 체크포인트 지정을 사용하면 9200/TCP, 9209/UDP, 9210/UDP, 9219/UDP, 9220/UDP, 9229/UDP, 9230/UDP, 9239/UDP, 9240/UDP 포트의 각 컴퓨팅 노드에서 네트워크 엔드포인트를 사용할 수 있습니다. 이러한 포트는 체크포인트 지정 서비스가 작동하고 데이터 동기화를 유지하는 데 필요합니다.
기본적으로 SageMaker의 네트워크 구성은 보안을 위해 이러한 엔드포인트에 대한 액세스를 제한합니다. 이러한 기본 제약 사항을 유지하는 것이 좋습니다.
노드 및 VPC에 대한 네트워크 설정을 구성할 때는 VPC, 보안 그룹 및 ACL에 대한 AWS 모범 사례를 따르세요. 자세한 내용은 다음 자료를 참조하세요.
