Turvalisuse vajadus valdab kõiki elektroonilisi süsteeme. Kuid arvestades andmekeskuste masinõppe andmetöötluse kasvu, mis tegeleb äärmiselt väärtuslike andmetega, pööravad mõned ettevõtted erilist tähelepanu nende andmete turvalisele käitlemisele.
Kõik tavalised andmekeskuste turbelahendused tuleb kasutusele võtta, kuid tuleb teha täiendavaid jõupingutusi tagamaks, et mudelid ja andmekogumid on salvestamisel kaitstud, nii kiirendile ja nendelt ülekandmisel kui ka töötlemisel süsteemis, mis hostib. rohkem kui üks rentnik korraga samas serveris.
"Järeldusmudeleid, järeldusalgoritme, koolitusmudeleid ja koolitusandmekogumeid peetakse väärtuslikuks intellektuaalseks omandiks ja need vajavad kaitset – eriti kuna need väärtuslikud varad antakse edasi andmekeskustele jagatud ressursside töötlemiseks," ütles tooteturunduse vanemdirektor Bart Stevens. turvalisuse IP jaoks aadressil Rambus, hiljutises esitluses.
Tehisintellekti treeningandmete mis tahes rikkumine võib põhjustada vigase mudeli loomise. Ja mis tahes muudatused hästi koolitatud mudelis võivad põhjustada AI-mootori valede järelduste tegemise. "Kõik kolm peamist õppetüüpi (järelvalvega, järelevalveta ja tugevdamine) kasutavad tulemuse saamiseks kaalutud arvutusi," ütles Gajinder Panesar, ülikooli teadur. Siemens EDA. "Kui need kaalud on aegunud, rikutud või rikutud, võib tulemus olla lihtsalt vale."
AI töökoormuse rünnaku tagajärjed sõltuvad rakendusest, kuid tulemus pole kunagi hea. Küsimus on ainult selles, kas see põhjustab tõsist kahju või vigastusi.
Kuigi rünnakud on kaitse põhirõhk, pole need ainsad murekohad. "Ohud" jagunevad kahte suurde kategooriasse – halva näitleja tahtlik sekkumine ja tahtmatud probleemid, mida üldiselt võib pidada vigadeks kas riistvaras või tarkvaras, " ütles Panesar.
Turvalisuse sihtasutus
On olemas põhilised turvamõisted, mis kehtivad igas andmetöötluskeskkonnas ja tehisintellekti andmetöötlus pole erand. Kuigi erilist tähelepanu tuleb pöörata tehisintellekti töökoormuse teatud aspektidele, tuleb kaitsta mitte ainult seda töökoormust. "Me peame mõtlema kogu süsteemi toimimise terviklikkusele, mitte ainult konkreetsele kiibile või kiibil olevale alamsüsteemile, millega me tegeleme," ütles Panesar.
Nagu Stevens kirjeldas, tuleb käsitleda nelja turvalisuse aspekti. Esiteks tuleb andmed ja andmetöötlus hoida privaatsena. Teiseks ei tohiks ründajal olla võimalik igal ajal andmeid muuta. Kolmandaks peavad kõik andmetöötluses osalevad üksused olema autentsed. Ja neljandaks, ründajal ei tohiks olla võimalik arvutiplatvormi normaalset tööd segada.
See toob kaasa mõned põhilised turbekontseptsioonid, mis loodetavasti on tuttavad kõigile, kes on seotud turvalise süsteemi kujundamisega. Esimene neist on andmete kaitsmine kolmes etapis:
1. andmed puhkeolekus, mis hõlmavad kõiki salvestatud andmeid;
2. Liikuvad andmed, kui need edastatakse ühest kohast teise ja
3. Kasutusel olevad andmed, mis on arvutiplatvormis aktiivsed ja elus, kui nendega töötatakse.
Veel üks tuttav nõue on usaldusväärne täitmiskeskkond (TEE). See on arvutuskeskkond, mis on piiratud väga usaldusväärse tarkvaraga ja millele pääseb ülejäänud arvutusplatvormi juurde ainult kõrgelt kontrollitud ja usaldusväärsete kanalite kaudu. Kogu kriitiline riistvara või muu vara, mida ei saa kahjustada, paigutatakse sellesse keskkonda ja see ei ole väljaspool TEE-d otse juurdepääsetav.
TEE on põhiline viis kriitiliste turbetoimingute käsitlemiseks viisil, mis on palju vähem allutatud välise tarkvara häiretele. See hoiab rakendustarkvara madalama taseme turvatoimingutest eraldi. Samuti haldab see alglaadimisprotsessi, et tagada selle turvaline ja usaldusväärne edenemine, püüdes kinni kõik ebaautentse koodi alglaadimise katsed.
Turvaliseks andmetöötluseks on vaja laias valikus toiminguid. Autentimine tagab, et üksused, kellega suheldakse, on tõesti need, kes nad end olevat. Krüpteerimine kaitseb andmeid võõraste pilkude eest. Tarkvara ja muude andmete artefaktide päritolu saab garanteerida räsimise ja allkirjastamise toimingutega. Ja kõik need funktsioonid nõuavad jõhkra jõuga häkkimise eest kaitsmiseks piisavalt tugevaid võtmeid ning see muudab võtmete tõhusa varustamise ja haldamise oluliseks.
Täiendav kaitse on tagatud, tagades, et TEE-d ja muud kriitilised turvaahelad on kaitstud sissemurdmiskatsete või töö katkestamise katsete eest. Külgkanalid peavad olema kaitstud tagamaks, et väliselt tuvastatavate elektrooniliste artefaktide (nt võimsus või elektromagnetiline kiirgus) mõõtmise kaudu ei oleks võimalik andmeid või võtmeid nuhkida.
Ja lõpuks, täiendava kaitsekihi võivad pakkuda ahelad, mis jälgivad sisemisi toiminguid, et anda hoiatus, kui midagi kahtlast näib olevat teoksil.
Rakendades seda spetsiaalselt AI-le
Tehisintellekti töökoormuste turvalisena hoidmine algab nendest põhilistest turvanõuetest, olgu see siis treenimine või järeldamine, ja kas seda tehakse andmekeskuses, kohalikus serveris või ääreseadmetes. Kuid tehisintellekti töökoormusega seoses tuleb arvestada täiendavate kaalutlustega.
"Järeldusalgoritmide, mudelite ja parameetrite, treeningalgoritmide ja koolituskomplektide ekstraheerimise või varastamise vältimiseks on vaja turvalisi AI-rakendusi," selgitas Stevens. "See tähendaks ka nende varade soovimatu asendamise vältimist pahatahtlike algoritmide või andmekogumitega. See väldiks süsteemi mürgitamist järeldustulemuste muutmiseks, põhjustades vale klassifitseerimise.
Uued tehisintellekti töötlemise riistvaraarhitektuurid pakuvad süsteemi veel ühte kaitset vajavat osa. "Süsteemi keskmeks on ilmselgelt võimsate kiirendikiipide massiiv, mis ulatub peotäiest suure maatriksini spetsiaalseid tehisintellekti töötlevaid üksusi, millel on oma mälukogum ja ainult üks ülesanne, milleks on võimalikult palju andmeid töödelda lühim ajavahemik,” märkis Stevens.
Disainerid peavad esmalt arvestama konkreetsete kaitset vajavate varadega. Kõige ilmsem on koolitus või järeldus riistvara. "Tavaliselt nähakse labadel lüüsi CPU-d, millel on spetsiaalne välklamp ja DDR," ütles Stevens. “Selle ülesanne on hallata mudeleid, lisada varasid. ja kiirendite juhtimine. Siis on ühendus kangaga — kiire võrk või PCIe-4 või -5 liidesed. Mõnedel teradel on ka patenteeritud labadevahelised lingid.
Joonis 1: üldistatud tehisintellekti plaat andmekeskuse jaoks. Lisaks tavapärasele CPU-le, dünaamilisele mälule ja võrguühendusele teevad kiirendid ära raske tõstmise, mida abistab sisemine SRAM. Allikas: Rambus
Lisaks on kaitstavaid andmeid erinevat tüüpi ja need sõltuvad sellest, kas toiming on väljaõpe või järeldus. Mudeli treenimisel tuleb kaitsta koolitusandmete näidiseid ja koolitatavat põhimudelit. Järelduste tegemisel vajavad treenitud mudel, kõik kaalud, sisendandmed ja väljundtulemused kaitset.
Operatsiooniliselt on see uus, kiiresti arenev ala ja seega on silumine tõenäoline. Mis tahes silumine peab toimuma turvaliselt ja kõik silumisvõimalused tuleb välja lülitada, kui seda ei kasutata autentitud.
Ja koodi või mõne muu vara muudatused tuleb edastada hästi turvatud värskendustes. Eelkõige on tõenäoline, et mudelid aja jooksul paranevad. Seega peab olema võimalus asendada vanad versioonid uuematega, samal ajal mitte lubades ühelgi volitamata isikul asendada kehtivat mudelit ebaautentse mudeliga.
"Turvalised püsivara värskendused, aga ka võimalus süsteemi turvalisel viisil siluda, on tänapäeval muutumas lauapanusteks," märkis Stevens.
Andmerikkumiste ohud
On üsna ilmne, et andmeid tuleb varguse eest kaitsta. Iga selline vargus on selgelt konfidentsiaalsuse rikkumine, kuid selle tagajärjed on veelgi kohutavamad, kui tegemist on valitsuse määrustega. Sellise regulatsiooni näideteks on GDPR-i eeskirjad Euroopas ja HIPAA tervishoiueeskirjad Ameerika Ühendriikides.
Kuid peale otsese varguse valmistab muret ka andmetega manipuleerimine. Näiteks koolituse andmeid saab muuta kas mõne saladuse väljaselgitamiseks või lihtsalt koolituse mürgitamiseks, nii et saadud mudel halvasti töötaks.
Suur osa andmetöötlusest – eriti mudeli väljaõpetamisel – toimub andmekeskuses ja see võib hõlmata mitme rentnikuga servereid madalama kuluga töötamiseks. "Rohkem ettevõtteid ja meeskondi toetub jagatud pilvandmetöötluse ressurssidele erinevatel põhjustel, peamiselt skaleeritavuse ja kulude tõttu," märkis Dana Neustadter, IP turvalisuse toote turundusjuht Synopsys.
See tähendab, et samal riistvaral eksisteerib koos mitu töökohta. Kuid need tööd peavad täitma mitte vähem turvaliselt kui siis, kui need oleksid eraldi serverites. Need peavad olema tarkvara abil isoleeritud viisil, mis hoiab ära kõige – andmete või muu – lekkimise ühelt töökohalt teisele.
"Andmetöötluse pilve viimine võib tuua kaasa potentsiaalseid turvariske, kui süsteem ei ole enam teie kontrolli all," ütles Neustadter. „Ühe kasutaja andmed võivad olla eksitavad või pahatahtlikud teise kasutaja pahavaraks. Kasutajad peavad usaldama pilveteenuse pakkujat, et see järgiks vastavusstandardeid, teostaks riskianalüüse, kontrolliks kasutajate juurdepääsu ja nii edasi.
Konteinerimine aitab tavaliselt isoleerida protsesse mitme rentnikuga keskkonnas, kuid siiski on võimalik, et üks võltsprotsess mõjutab teisi. "Probleem, mis põhjustab rakenduse sigade töötlemise ressurssidele, võib mõjutada teisi üürnikke," märkis Panesar. "See on eriti oluline kriitilistes keskkondades, nagu meditsiinilised aruandlused, või kõikjal, kus üürnikel on siduv SLA (teenusetaseme leping)."
Lõpuks, kuigi see ei pruugi mõjutada arvutamise konkreetset tulemust ega andmete konfidentsiaalsust, peavad andmekeskuse toimingud tagama, et haldustoimingud on võltsimise eest kaitstud. "Samuti peaks olema turvalisus, et tagada teenuste nõuetekohane arveldamine ja vältida ebaeetilist kasutamist, nagu rassiline profiilide koostamine," märkis Stevens.
Uued standardid aitavad arendajatel tagada, et need hõlmavad kõiki vajalikke aluseid.
Tööstus arendab selliseid standardeid nagu PCIe-liidese turvalisus, kusjuures PCI-SIG juhib terviklikkuse ja andmete krüptimise (IDE) spetsifikatsiooni, mida täiendavad komponentide mõõtmine ja autentimine (CMA) ning usaldusväärne täitmiskeskkonna sisend/väljund (TEE-I/). O),“ ütles Neustadter. "Määratav seadmeliidese turbeprotokoll (ADISP) ja muud protokollid laiendavad usaldusväärsete virtuaalmasinate virtualiseerimisvõimalusi, mida kasutatakse konfidentsiaalse andmetöötluse töökoormuse hoidmiseks hostimiskeskkondadest isoleerituna, mida toetavad tugev autentimine ja võtmehaldus."
Joonis 2: AI andmetöötlus hõlmab mitmeid varasid ja igaühel neist on spetsiifilised turvavajadused. Allikas: Rambus
Kaitsemeetmete rakendamine
Arvestades tüüpilist tehisintellekti andmetöötluskeskkonda, tuleb toimingute lukustamiseks astuda mitu sammu. Need algavad riistvarast usalduse juur (HRoT).
HRoT on usaldusväärne, läbipaistmatu keskkond, kus saab sooritada turvalisi toiminguid, nagu autentimine ja krüptimine, ilma kasutatavaid võtmeid või muid saladusi paljastamata. See võib olla TEE oluline komponent. Klassikalises arhitektuuris seostatakse neid tavaliselt protsessoriga, kuid siin on tavaliselt rohkem kui üks töötlemiselement.
Eelkõige pole tehisintellekti töötlemiseks mõeldud uuematel riistvarakiipidel sisseehitatud usalduse juurevõimet. "Paljud hiljutised AI/ML-kiirendite kujundused – eriti idufirmade poolt – on keskendunud peamiselt optimaalseima NPU-töötluse loomisele," selgitas Stevens järelintervjuus. "Turvalisus ei olnud põhirõhk või polnud nende radaril."
See tähendab, et süsteem peab pakkuma HRoT-i mujal ja selleks on paar võimalust.
Üks lähenemisviis, mis keskendub kasutatavatele andmetele, on anda igale arvutuselemendile – näiteks hostkiibile ja kiirendikiibile – oma HRoT. Iga HRoT käsitleb oma võtmeid ja teostab toiminguid sellega seotud protsessori juhiste järgi. Need võivad olla monoliitselt integreeritud SoC-desse, kuigi see ei kehti praegu närviprotsessorite puhul.
Teine võimalus, mis keskendub liikuvatele andmetele, on pakkuda võrguühendusele HRoT-i, et tagada kõigi plaadile sisenevate andmete puhtus. "Liikuvate andmete puhul on läbilaskevõime nõuded äärmiselt kõrged ja latentsusaeg on väga madal," ütles Stevens. "Süsteemid kasutavad lühiajalisi võtmeid, kuna need töötavad tavaliselt seansivõtmetega."
"Autentimiseks peaks tera saama identifitseerimisnumber, mida ei pea ilmtingimata saladuses hoidma,” jätkas ta. "See peab lihtsalt olema ainulaadne ja muutumatu. See võib olla mitu ID-d, üks iga kiibi jaoks või üks tera või seadme enda jaoks.
Neid väliseid HRoT-e ei pruugi vaja minna, kui tulevastesse närviprotsessoritesse (NPU) on sisse ehitatud turvalisus. "Lõpuks, kui idufirmade esialgsed NPU kontseptsioonitõestused on osutunud edukaks, on nende disainilahenduste teise keerutamise arhitektuur nendes usaldusväärsused, millel on rohkem krüptograafilisi võimalusi suurema töökoormusega toimetulemiseks." lisas Stevens.
Andmed, mis liiguvad SRAM-ilt DRAM-ile või vastupidi, tuleks samuti krüpteerida, et neid ei saaks nuhkida. Sama kehtiks mis tahes otsese külgühenduse kohta naaberplaadiga.
Kui niigi intensiivsesse arvutusse on sisse lülitatud nii palju krüpteerimist, on oht, et töö takerdub. Turvaline toimimine on kriitilise tähtsusega, kuid see ei teeni kedagi, kui see toimingut ennast halvab.
"Võrgu või PCI Expressi linki kangale tuleks kaitsta suure läbilaskevõimega L2- või L3-protokolliteadliku turvapakettmootori sisestamisega," lisas Stevens. "Selline pakettmootor vajab CPU-lt vähe tuge."
See võib kehtida ka mälu ja teradevahelise liikluse krüptimise kohta. "Lüüsi CPU DDR-i ja kohaliku AI-kiirendi GDDR-ide sisu saab kaitsta sisemälu krüptimismootoriga," ütles ta. "Kui on olemas spetsiaalne tera-tera külgkanal, saab seda kaitsta suure läbilaskevõimega AES-GCM [Galois/Counter Mode] linkide krüptimise kiirendajad.
Lõpuks saab standardseid turvakaitseid toetada pideva jälgimisega, mis jälgib tegelikku toimimist. "Peate koguma riistvarast teavet, mis annab teile teada, kuidas süsteem käitub," ütles Panesar. "See peab olema reaalajas, hetkeline ja pikaajaline statistiline. Samuti peab see olema arusaadav (olgu see siis inimese või masina poolt) ja teostatav. Temperatuuri, pinge ja ajastuse andmed on kõik väga head, kuid vajate ka kõrgema taseme ja keerukamat teavet.
Kuid see ei asenda ranget turvalisust. "Eesmärk on tuvastada probleemid, mis võivad tavapärasest turvakaitsest kõrvale jääda, kuid see ei asenda sellist kaitset," lisas ta.
Ees ootab raske töö
Neid elemente pole tingimata lihtne rakendada. See nõuab rasket tööd. "Vastupidavus, võime süsteemi turvaliselt värskendada ja edukast rünnakust taastumine on tõelised väljakutsed," märkis Synopsysi turva-IP-arhitekt Mike Borza. "Selliste süsteemide ehitamine on väga-väga raske."
Kuid kuna tehisintellekti andmetöötlus muutub üha rutiinsemaks, pöörduvad insenerid, kes pole andmemodelleerimise ega turvalisuse spetsialistid, üha enam ML-teenuste poole, kui nad rakendavad tehisintellekti oma rakendustesse. Nad peavad saama infrastruktuurile loota, hoolitsedes oma oluliste andmete eest, et mudelid ja arvutused, mida nad oma toodete eristamiseks kasutavad, ei satuks valedesse kätesse.
seotud
Kiipide ja tehisintellektisüsteemide turvalisuse kompromissid
Eksperdid laua taga: kuidas turvalisus mõjutab võimsust ja jõudlust, miks on tehisintellekti süsteeme nii raske kaitsta ja miks privaatsus on üha olulisem.
Turvauuringute bitid
21. augustil USENIXi turvasümpoosionil esitletud uusi turvatehnilisi dokumente.
Alati sees, alati ohus
Kiibi turvalisusega seotud probleemid suurenevad tänu rohkematele töötlemiselementidele, automaatsele äratamisele, õhu kaudu värskendustele ja suuremale ühenduvusele.
Turvaalaste teadmiste keskus
Peamised lood, valged raamatud, ajaveebid, videod riistvaraturbe kohta
AI teadmiste keskus
Allikas: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- kiirendi
- kiirendid
- juurdepääs
- konto
- aktiivne
- Täiendavad lisad
- Kokkulepe
- AI
- AI koolitus
- algoritme
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- taotlus
- rakendused
- arhitektuur
- PIIRKOND
- vara
- Reageerib
- AUGUST
- Autentne
- Autentimine
- arvete
- BLADE
- blogid
- juhatus
- rikkumine
- vead
- mis
- Põhjus
- kanalid
- kiip
- laastud
- Cloud
- cloud computing
- kood
- Ettevõtted
- Vastavus
- komponent
- arvutustehnika
- ühendus
- Side
- sisu
- Paar
- andmed
- Andmekeskus
- andmekeskuste
- tegelema
- Pakkumised
- Disain
- Arendajad
- Juhataja
- Häirima
- sõidu
- serv
- Tõhus
- krüpteerimist
- Inseneride
- keskkond
- seadmed
- Euroopa
- täitmine
- Laiendama
- täiendav turvalisus
- kaevandamine
- kangas
- Viigipuu
- Lõpuks
- esimene
- välklamp
- Keskenduma
- tulevik
- GDPR
- hea
- Valitsus
- Kasvavad
- Kasv
- häkkimine
- Käsitsemine
- riistvara
- räsimine
- siin
- Suur
- Hosting
- Kuidas
- HTTPS
- identifitseerima
- tööstus
- info
- Infrastruktuur
- intellektuaalomandi
- Intervjuu
- seotud
- IP
- IT
- töö
- Tööturg
- Võti
- võtmed
- teadmised
- suur
- õppimine
- piiratud
- LINK
- kohalik
- masinad
- malware
- juhtimine
- Manipuleerimine
- Turundus
- maatriks
- meditsiini-
- ML
- mudel
- modelleerimine
- järelevalve
- võrk
- Neural
- Operations
- valik
- Valikud
- Muu
- teised
- jõudlus
- inimesele
- mürk
- ujula
- võim
- esitada
- ennetada
- privaatsus
- era-
- Toode
- Toodet
- kinnisvara
- kaitsma
- kaitse
- Rassiline profileerimine
- radar
- Kiirgus
- tõstma
- valik
- reaalajas
- põhjustel
- Taastuma
- Määrus
- määrused
- Nõuded
- teadustöö
- Vahendid
- REST
- Tulemused
- Oht
- eeskirjade
- ohutu
- Skaalautuvus
- turvalisus
- Turvaoperatsioonid
- Teenused
- jagatud
- lihtne
- So
- tarkvara
- Lahendused
- Spin
- standardite
- algus
- Alustavatel
- Ühendriigid
- varastatud
- Lood
- edukas
- toetama
- süsteem
- süsteemid
- Tehniline
- vargus
- aeg
- jälgida
- liiklus
- koolitus
- Usalda
- Ühendatud
- Ühendriigid
- Värskendused
- Uudised
- Kasutajad
- Videod
- virtuaalne
- WHO
- Wikipedia
- jooksul
- Töö