Turvallisuuden tarve vallitsee kaikissa elektronisissa järjestelmissä. Mutta koska tietokeskusten koneoppimislaskenta, joka käsittelee erittäin arvokasta dataa, kasvaa, jotkut yritykset kiinnittävät erityistä huomiota näiden tietojen turvalliseen käsittelyyn.
Kaikki tavanomaiset tietokeskusten tietoturvaratkaisut on otettava käyttöön, mutta lisäponnisteluja tarvitaan sen varmistamiseksi, että mallit ja tietojoukot ovat suojattuja, kun niitä tallennetaan, sekä siirrettäessä niitä kiihdytinlevyille ja niiltä poistettaessa että kun niitä käsitellään järjestelmässä, joka isännöi useampi kuin yksi vuokralainen samaan aikaan samalla palvelimella.
"Päätösmalleja, päättelyalgoritmeja, koulutusmalleja ja koulutustietosarjoja pidetään arvokkaana henkisenä omaisuutena ja niitä on suojattava – varsinkin kun nämä arvokkaat omaisuuserät luovutetaan tietokeskuksiin jaettujen resurssien käsittelyä varten", sanoi Bart Stevens, tuotemarkkinoinnin johtaja. IP-suojaus osoitteessa Rambus, äskettäisessä esityksessä.
Mikä tahansa tekoälyn harjoitustietojen muuttaminen voi aiheuttaa viallisen mallin luomisen. Ja kaikki muutokset hyvin koulutettuun malliin voivat johtaa siihen, että tekoälymoottori tekee vääriä johtopäätöksiä. "Kaikki kolme oppimisen päätyyppiä (ohjattu, ohjaamaton ja vahvistus) käyttävät painotettuja laskelmia tuloksen tuottamiseksi", sanoi Gajinder Panesar, stipendiaatti Siemens EDA. "Jos nämä painotukset ovat vanhentuneita, vioittuneita tai vääristeltyjä, tulos voi olla yksinkertaisesti väärä."
Tekoälyn työkuormaan kohdistuvan hyökkäyksen vaikutukset riippuvat sovelluksesta, mutta tulos ei koskaan ole hyvä. Ainoa kysymys on, aiheuttaako se vakavaa vahinkoa tai loukkaantumista.
Vaikka hyökkäykset ovat suojelun pääpaino, ne eivät ole ainoita huolenaiheita. ""Uhat" jakautuvat kahteen laajaan luokkaan - huonon toimijan tahallisiin häirintöihin ja tahattomiin ongelmiin, joita voidaan yleensä pitää virheinä joko laitteistossa tai ohjelmistossa", Panesar sanoi.
Turvallisuuden perusta
On olemassa perustavanlaatuisia turvallisuuskäsitteitä, jotka koskevat kaikkia laskentaympäristöjä, eikä tekoälyn laskenta ole poikkeus. Vaikka erityistä huomiota on kiinnitettävä tiettyihin tekoälyn työtaakan näkökohtiin, ei vain tätä työmäärää on suojeltava. "Meidän täytyy ajatella koko järjestelmän toiminnan eheyttä, ei vain yksittäistä sirua tai piirissä olevaa alijärjestelmää, jonka kanssa olemme tekemisissä", Panesar sanoi.
Kuten Stevens hahmotteli, turvallisuuteen liittyy neljä näkökohtaa, jotka on käsiteltävä. Ensinnäkin tiedot ja tietojenkäsittely on pidettävä yksityisinä. Toiseksi, hyökkääjän ei pitäisi olla mahdollista muuttaa mitään tietoja missä tahansa milloin tahansa. Kolmanneksi kaikkien laskentaan osallistuvien entiteettien on tiedettävä olevan aitoja. Ja neljänneksi, hyökkääjän ei pitäisi olla mahdollista häiritä tietokonealustan normaalia toimintaa.
Tämä johtaa joihinkin perustietoturvakäsitteisiin, jotka toivottavasti ovat tuttuja kaikille suojattujen järjestelmien suunnitteluun osallistuville. Ensimmäinen niistä on tietojen suojaaminen kolmessa vaiheessa:
1. Lepotilatiedot, mukaan lukien kaikki tallennetut tiedot;
2. Data liikkeessä, kun se välitetään paikasta toiseen, ja
3. Käytössä oleva data, joka on aktiivinen ja elossa laskenta-alustalla, kun sitä käsitellään.
Toinen tuttu vaatimus on luotettava suoritusympäristö (TEE). Tämä on laskentaympäristö, joka on rajoitettu erittäin luotettaviin ohjelmistoihin ja johon muu laskenta-alusta on saatavilla vain erittäin valvottujen ja luotettujen kanavien kautta. Kaikki tärkeät laitteistot tai muu omaisuus, jota ei voida vaarantaa, sijoitetaan tähän ympäristöön, eivätkä ne ole suoraan käytettävissä TEE:n ulkopuolella.
TEE tarjoaa perustavanlaatuisen tavan käsitellä kriittisiä tietoturvatoimintoja tavalla, joka on paljon vähemmän alttiina ulkopuolisten ohjelmistojen häiriöille. Se pitää sovellusohjelmistot erillään alemman tason tietoturvatoiminnoista. Se myös hallitsee käynnistysprosessia varmistaakseen, että se etenee turvallisesti ja luotettavasti, ja sieppaa kaikki yritykset käynnistää epäaittaista koodia.
Turvalliseen tietojenkäsittelyyn tarvitaan laaja valikoima toimintoja. Todennus varmistaa, että entiteetit, joiden kanssa ollaan yhteydessä, ovat todella niitä, joita he sanovat olevansa. Salaus pitää tiedot turvassa uteliailta katseilta. Ohjelmistojen ja muiden dataartefaktien alkuperä voidaan taata hajautus- ja allekirjoitusoperaatioilla. Ja kaikki nämä toiminnot vaativat riittävän vahvoja avaimia suojaamaan raa'alta voimalta hakkerointia vastaan, mikä tekee tehokkaasta avainten hallinnasta ja hallinnasta välttämätöntä.
Lisäsuojauksia tarjotaan varmistamalla, että TEE:t ja muut kriittiset turvapiirit ovat suojattuja yrityksiltä murtautua sisään tai häiritä toimintaa. Sivukanavat on suojattava sen varmistamiseksi, ettei dataa tai avaimia voi tiedustella mittaamalla ulkoisesti havaittavia elektronisia artefakteja, kuten tehoa tai sähkömagneettista säteilyä.
Ja lopuksi, lisäsuojaus voidaan tarjota piirien avulla, jotka valvovat sisäisiä tapahtumia ja antavat hälytyksen, jos jotain epäilyttävää näyttää olevan tekeillä.
Sovelletaan tätä erityisesti tekoälyyn
Tekoälyn työkuormien pitäminen turvassa alkaa näistä perusturvavaatimuksista riippumatta siitä, onko koulutusta tai päätelmiä, ja tehdään se sitten datakeskuksessa, paikallisessa palvelimessa tai reunalaitteissa. Mutta tekoälyn työkuormille on muitakin näkökohtia, jotka on otettava huomioon.
"Suojattuja tekoälytoteutuksia tarvitaan estämään päättelyalgoritmien, mallien ja parametrien, opetusalgoritmien ja opetussarjojen poimiminen tai varastaminen", Stevens selitti. "Tämä merkitsisi myös näiden resurssien tahattoman korvaamisen estämistä haitallisilla algoritmeilla tai tietosarjoilla. Näin vältytään järjestelmän myrkyttämiseltä johtopäätöstulosten muuttamisesta, mikä aiheuttaisi virheellisen luokituksen."
Uudet tekoälynkäsittelylaitteistoarkkitehtuurit tarjoavat toisen osan järjestelmästä, joka tarvitsee suojaa. "Järjestelmän ydin on luonnollisesti joukko tehokkaita kiihdytinsiruja, jotka vaihtelevat kourallisesta suureen matriisiin omistettuja tekoälyprosessointiyksiköitä, joilla on oma muistivarasto ja vain yksi tehtävä, joka on käsitellä mahdollisimman paljon dataa lyhin aikakehys”, Stevens huomautti.
Suunnittelijan on ensin otettava huomioon erityiset suojelua tarvitsevat omaisuudet. Ilmeisin on koulutus- tai päättelylaitteisto. "Tyypillisesti bladeissa näkyy yhdyskäytäväsuoritin, jossa on oma salama ja DDR", sanoi Stevens. ”Sen tehtävänä on hallita malleja, lisätä omaisuutta. ja ohjaa kiihdyttimiä. Sitten on yhteys kankaaseen - nopea verkko tai PCIe-4- tai -5-liitännät. Joissakin teriissä on myös patentoidut terien väliset linkit.
Kuva 1: Yleistetty AI-kortti datakeskukseen. Tavallisen prosessorin, dynaamisen muistin ja verkkoyhteyden lisäksi kiihdyttimet hoitavat raskaan noston sisäisen SRAM:n avustamana. Lähde: Rambus
Lisäksi suojeltavia tietoja on monenlaisia, ja ne riippuvat siitä, onko toiminto harjoittelua vai päättelyä. Mallia opetettaessa opetusdatanäytteet ja opetettava perusmalli on suojattava. Päätellessä koulutettu malli, kaikki painot, syöttötiedot ja tulostulokset tarvitsevat suojaa.
Toiminnallisesti tämä on uusi, nopeasti kehittyvä alue, joten virheenkorjaus on todennäköistä. Kaikki virheenkorjaukset on suoritettava turvallisesti – ja kaikki vianetsintäominaisuudet on suljettava, kun niitä ei käytetä todennettuna.
Ja muutokset koodiin tai mihin tahansa muuhun omaisuuteen on toimitettava hyvin suojatuissa päivityksissä. Erityisesti on todennäköistä, että mallit paranevat ajan myötä. Joten täytyy olla tapa korvata vanhat versiot uudemmilla, mutta samalla ei saa antaa luvattomien henkilöiden korvata kelvollista mallia epäaitoon.
"Suojatut laiteohjelmistopäivitykset sekä mahdollisuus tehdä järjestelmän virheenkorjaus turvallisella tavalla ovat tulossa panoksiksi näinä päivinä", Stevens huomautti.
Tietomurtojen riskit
On melko selvää, että tiedot on suojattava varastamista vastaan. Jokainen tällainen varkaus on selvästi luottamuksellisuuden loukkaus, mutta sen seuraukset ovat vielä vakavammat, jos asiaan liittyy hallituksen määräyksiä. Esimerkkejä tällaisesta sääntelystä ovat GDPR-säännöt Euroopassa ja HIPAA-terveydenhuollon säännöt Yhdysvalloissa.
Mutta suoran varkauksen lisäksi myös tietojen manipulointi on huolestuttavaa. Harjoitteludataa voitaisiin esimerkiksi muuttaa joko salaisuuden selvittämiseksi tai yksinkertaisesti koulutuksen myrkyttämiseksi niin, että tuloksena oleva malli toimisi huonosti.
Suuri osa tietojenkäsittelystä – varsinkin mallia opetettaessa – tapahtuu palvelinkeskuksessa, ja siihen voi liittyä usean vuokraajan palvelimia edullisemman toiminnan takaamiseksi. "Yhä useammat yritykset ja tiimit luottavat jaettuihin pilvilaskentaresursseihin useista syistä, lähinnä skaalautuvuuden ja kustannusten vuoksi", huomautti Dana Neustadter, IP-tietoturvan tuotemarkkinointipäällikkö. Synopsys.
Tämä tarkoittaa, että samassa laitteistossa on useita töitä. Silti näiden töiden on suoritettava vähintään yhtä turvallisesti kuin jos ne olisivat erillisillä palvelimilla. Ne on eristettävä ohjelmistolla tavalla, joka estää kaiken – tiedon tai muun – vuotamasta työstä toiseen.
"Tietokoneen siirtäminen pilveen voi tuoda mukanaan mahdollisia tietoturvariskejä, kun järjestelmä ei ole enää hallinnassasi", Neustadter sanoi. ”Onpa kyseessä virheellinen tai haitallinen tieto, yhden käyttäjän tiedot voivat olla toisen käyttäjän haittaohjelmia. Käyttäjien täytyy luottaa pilvipalveluntarjoajaan noudattamaan vaatimustenmukaisuusstandardeja, suorittamaan riskinarviointeja, hallitsemaan käyttäjien pääsyä ja niin edelleen.
Säiliöinti auttaa yleensä eristämään prosesseja usean vuokralaisen ympäristössä, mutta on silti mahdollista, että yksi roistoprosessi vaikuttaa muihin. "Ongelma, joka aiheuttaa sovelluksen hog-käsittelyresursseihin, voi vaikuttaa muihin vuokralaisiin", Panesar huomautti. "Tämä on erityisen tärkeää kriittisissä ympäristöissä, kuten lääketieteellisissä raporteissa tai missä vuokralaisilla on sitova SLA (palvelutason sopimus)."
Lopuksi, vaikka se ei saa vaikuttaa laskennan lopputulokseen tai tietojen luottamuksellisuuteen, palvelinkeskuksen toimintojen on varmistettava, että hallinnolliset toiminnot ovat turvassa puuhasteluilta. "Turvallisuus tulee myös olla paikalla, jotta varmistetaan palvelujen oikea laskutus ja estetään epäeettinen käyttö, kuten rotuprofilointi", Stevens huomautti.
Uudet standardit auttavat kehittäjiä varmistamaan, että ne kattavat kaikki tarvittavat perusteet.
"Ala kehittää standardeja, kuten PCIe-rajapinnan suojaus, jossa PCI-SIG ohjaa eheys- ja tiedonsalauksen (IDE) spesifikaatiota, jota täydentävät komponenttimittaukset ja -todennus (CMA) ja luotettava suoritusympäristön I/O (TEE-I/). O), sanoi Neustadter. "Asoitava laiterajapinnan suojausprotokolla (ADISP) ja muut protokollat laajentavat luotettujen virtuaalikoneiden virtualisointiominaisuuksia, joita käytetään pitämään luottamukselliset laskentatyökuormat erillään isännöintiympäristöistä vahvan autentikoinnin ja avaintenhallinnan tukemana."
Kuva 2: AI-laskentaan liittyy useita resursseja, ja jokaisella on erityiset tietoturvatarpeet. Lähde: Rambus
Suojausten toteuttaminen
Kun otetaan huomioon tyypillinen tekoälyn laskentaympäristö, toimintojen lukitsemiseksi on suoritettava useita vaiheita. Ne alkavat laitteistosta luottamuksen juuri (HRoT).
HRoT on luotettava, läpinäkymätön ympäristö, jossa turvallisia toimintoja, kuten todennusta ja salausta, voidaan suorittaa paljastamatta käytettyjä avaimia tai muita salaisuuksia. Se voi olla TEE:n kriittinen osa. Klassisessa arkkitehtuurissa ne yhdistetään yleensä prosessoriin, mutta tässä prosessointielementtejä on tyypillisesti useampi kuin yksi.
Erityisesti uudemmissa tekoälyn käsittelyyn omistetuissa laitteistosiruissa ei ole sisäänrakennettuja luottamuksen juuren ominaisuuksia. "Monet viimeaikaiset AI/ML-kiihdytinsuunnitelmat - erityisesti startup-yritysten - ovat keskittyneet pääasiassa optimaalisimman NPU-käsittelyn saamiseen mukana", Stevens selitti seurantahaastattelussa. "Turvallisuus ei ollut pääpaino tai se ei ollut heidän tutkassaan."
Tämä tarkoittaa, että järjestelmän on tarjottava HRoT muualle, ja siihen on muutama vaihtoehto.
Eräs lähestymistapa, joka keskittyy käytössä olevaan dataan, on antaa jokaiselle laskentaelementille – esimerkiksi isäntäsirun ja kiihdyttimen sirulle – oma HRoT. Jokainen HRoT käsittelee omat avaimensa ja suorittaa toimintoja siihen liittyvän prosessorin suunnassa. Ne voivat olla monoliittisesti integroituja SoC:iin, vaikka näin ei tällä hetkellä ole hermoprosessorien tapauksessa.
Toinen vaihtoehto, joka keskittyy liikkuvaan dataan, on tarjota HRoT verkkoyhteyteen varmistaakseen, että kaikki kortille tulevat tiedot ovat puhtaita. "Liikkuvan datan kapasiteettivaatimukset ovat erittäin korkeat ja latenssivaatimukset ovat erittäin alhaiset", Stevens sanoi. "Järjestelmät käyttävät lyhytaikaisia avaimia, koska ne toimivat yleensä istuntoavainten kanssa."
"Todennusta varten terän pitäisi saada tunnusnumero, jota ei välttämättä tarvitse pitää salassa”, hän jatkoi. "Sen täytyy vain olla ainutlaatuinen ja muuttumaton. Tunnuksia voi olla useita, yksi kullekin sirulle tai yksi itse terälle tai laitteelle."
Näitä ulkoisia HRoT-yksiköitä ei ehkä tarvita, kun turvallisuus on sisäänrakennettu tuleviin neuroprosessointiyksiköihin (NPU). "Lopulta, kun startup-yritysten alkuperäiset NPU-konseptitodistukset ovat osoittautuneet onnistuneiksi, näiden suunnitelmien toisen kierroksen arkkitehtuurissa on luottamuksen juuret, ja niillä on enemmän salausominaisuuksia suurempien työkuormien käsittelyyn." lisäsi Stevens.
SRAM-muistista DRAM-muistiin tai päinvastoin siirrettävät tiedot tulee myös salata, jotta niitä ei voida nuuskia. Sama koskee mitä tahansa suoraa sivuliitäntää naapurilevyyn.
Kun näin paljon salausta on upotettu jo valmiiksi intensiiviseen laskentaan, on olemassa riski toiminnan jumiutumisesta. Turvallinen toiminta on kriittistä, mutta se ei palvele ketään, jos se lamauttaa itse toiminnan.
"Verkko- tai PCI Express -linkki kankaaseen tulee suojata lisäämällä korkean suorituskyvyn L2- tai L3-protokollatietoinen tietoturvapakettimoottori", Stevens lisäsi. "Tällainen pakettimoottori vaatii vain vähän tukea suorittimelta."
Tämä voi koskea myös muistin ja blade-to-blade -liikenteen salausta. "Yhdyskäytävän CPU DDR:n ja paikallisten tekoälykiihdytinten GDDR:ien sisältö voidaan suojata sisäisellä muistin salausmoottorilla", hän sanoi. "Jos terien välinen sivukanava on olemassa, se voidaan suojata korkean suorituskyvyn AES-GCM:llä [Galois/Counter Mode] linkkien salauksen kiihdyttimiä.”
Lopuksi vakioturvasuojauksia voidaan tukea jatkuvalla valvonnalla, joka seuraa todellista toimintaa. "Sinun on kerättävä laitteistosta tietoja, jotka voivat kertoa, kuinka järjestelmä toimii", sanoi Panesar. "Tämän on oltava reaaliaikainen, välitön ja pitkän aikavälin tilastollinen. Sen on myös oltava ymmärrettävää (joko ihminen tai kone) ja toimintakelpoinen. Lämpötila-, jännite- ja ajoitustiedot ovat kaikki erittäin hyviä, mutta tarvitset myös korkeamman tason, kehittyneempiä tietoja."
Mutta tämä ei korvaa tiukkaa turvallisuutta. "Tavoitteena on tunnistaa ongelmia, jotka saattavat välttää tavanomaiset suojaukset - mutta se ei korvaa tällaista suojaa", hän lisäsi.
Kova työ edessä
Nämä elementit eivät välttämättä ole yksinkertaisia toteuttaa. Se vaatii kovaa työtä. "Kestävyys, kyky päivittää järjestelmä turvallisesti ja kyky toipua onnistuneesta hyökkäyksestä ovat todellisia haasteita", totesi Synopsysin IP-tietoturva-arkkitehti Mike Borza. "Tällaisten järjestelmien rakentaminen on erittäin, erittäin rankkaa."
Mutta kun tekoälylaskenta muuttuu yhä rutiinisemmaksi, insinöörit, jotka eivät ole tietomallinnuksen tai tietoturvan asiantuntijoita, kääntyvät yhä useammin ML-palveluihin, kun he käyttävät tekoälyä sovelluksiinsa. Heidän on voitava luottaa infrastruktuuriin ja pitää hyvää huolta tärkeistä tiedoistaan, jotta mallit ja laskelmat, joita he käyttävät tuotteidensa erottamiseen, eivät päädy vääriin käsiin.
liittyvä
Turvaratkaisut siruissa ja tekoälyjärjestelmissä
Asiantuntijat pöydässä: Miten turvallisuus vaikuttaa tehoon ja suorituskykyyn, miksi tekoälyjärjestelmiä on niin vaikea turvata ja miksi yksityisyys on kasvava huomionosoitus.
Tietoturvatutkimusbitit
Uudet turvallisuustekniset asiakirjat esiteltiin 21. elokuuta USENIX Security Symposiumissa.
Aina päällä, aina vaarassa
Sirujen turvallisuuteen liittyvät huolenaiheet lisääntyvät, kun prosessointielementtejä, automaattinen herätys, over-the-air-päivitykset ja parempi yhteys lisääntyy.
Tietoturvatietokeskus
Huipputarinoita, valkoisia papereita, blogeja, videoita laitteistoturvallisuudesta
AI Knowledge Center
Lähde: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- kiihdytin
- kiihdyttimiä
- pääsy
- Tili
- aktiivinen
- lisä-
- sopimus
- AI
- AI-koulutus
- algoritmit
- Kaikki
- Salliminen
- Hakemus
- sovellukset
- arkkitehtuuri
- ALUE
- Varat
- Hyökkäykset
- Elokuu
- Aito
- Authentication
- laskutus
- TERÄ
- blogit
- hallitus
- rikkominen
- Bugs
- joka
- Aiheuttaa
- kanavat
- siru
- sirut
- pilvi
- cloud computing
- koodi
- Yritykset
- noudattaminen
- komponentti
- tietojenkäsittely
- liitäntä
- Liitännät
- sisältö
- Pari
- tiedot
- Data Center
- datakeskukset
- tekemisissä
- Tarjoukset
- Malli
- kehittäjille
- Johtaja
- Häiritä
- ajo
- reuna
- Tehokas
- salaus
- Engineers
- ympäristö
- laitteet
- Eurooppa
- teloitus
- Laajentaa
- ylimääräinen turvallisuus
- uuttaminen
- kangas
- Viikuna
- Vihdoin
- Etunimi
- salama
- Keskittää
- tulevaisuutta
- GDPR
- hyvä
- Hallitus
- Kasvava
- Kasvu
- hakkerointi
- Käsittely
- Tarvikkeet
- hajautusta
- tätä
- Korkea
- hotellit
- Miten
- HTTPS
- tunnistaa
- teollisuus
- tiedot
- Infrastruktuuri
- tekijänoikeuksien
- Haastatella
- osallistuva
- IP
- IT
- Job
- Työpaikat
- avain
- avaimet
- tuntemus
- suuri
- oppiminen
- rajallinen
- LINK
- paikallinen
- Koneet
- haittaohjelmat
- johto
- Manipulointi
- Marketing
- Matriisi
- lääketieteellinen
- ML
- malli
- mallintaminen
- seuranta
- verkko
- hermo-
- Operations
- Vaihtoehto
- Vaihtoehdot
- Muut
- Muuta
- suorituskyky
- foorumi
- myrkky
- pool
- teho
- esittää
- estää
- yksityisyys
- yksityinen
- Tuotteet
- Tuotteemme
- omaisuus
- suojella
- suojaus
- Rotuprofilointi
- tutka
- Säteily
- nostaa
- alue
- reaaliaikainen
- syistä
- toipua
- Asetus
- määräykset
- vaatimukset
- tutkimus
- Esittelymateriaalit
- REST
- tulokset
- Riski
- säännöt
- turvallista
- skaalautuvuus
- turvallisuus
- Turvallisuustoimenpiteet
- Palvelut
- yhteinen
- Yksinkertainen
- So
- Tuotteemme
- Ratkaisumme
- Kierre
- standardit
- Alkaa
- Startups
- Valtiot
- varastettu
- tarinat
- onnistunut
- tuki
- järjestelmä
- järjestelmät
- Tekninen
- varkaus
- aika
- raita
- liikenne
- koulutus
- Luottamus
- Yhtenäinen
- Yhdysvallat
- Päivitykset
- Päivitykset
- Käyttäjät
- Videoita
- Virtual
- KUKA
- wikipedia
- sisällä
- Referenssit