Le besoin de sécurité imprègne tous les systèmes électroniques. Mais compte tenu de la croissance de l’informatique d’apprentissage automatique dans les centres de données, qui traite des données extrêmement précieuses, certaines entreprises accordent une attention particulière à la gestion sécurisée de ces données.
Toutes les solutions de sécurité habituelles des centres de données doivent être mises en œuvre, mais des efforts supplémentaires sont nécessaires pour garantir que les modèles et les ensembles de données sont protégés lorsqu'ils sont stockés, à la fois lors de leur transfert vers et depuis des lames d'accélérateur, et lors du traitement sur un système qui héberge plusieurs locataires en même temps au sein du même serveur.
« Les modèles d'inférence, les algorithmes d'inférence, les modèles de formation et les ensembles de données de formation sont considérés comme une propriété intellectuelle précieuse et doivent être protégés, d'autant plus que ces actifs précieux sont transmis aux centres de données pour être traités sur des ressources partagées », a déclaré Bart Stevens, directeur principal du marketing produit. pour la sécurité IP à Rambus, dans une présentation récente.
Toute falsification des données d’entraînement de l’IA peut entraîner la création d’un modèle défectueux. Et toute modification apportée à un modèle bien entraîné peut entraîner des conclusions incorrectes tirées par le moteur d’IA. "Les trois principaux types d'apprentissage (supervisé, non supervisé et par renforcement) utilisent des calculs pondérés pour produire un résultat", a déclaré Gajinder Panesar, chercheur à Siemens EDA. « Si ces pondérations sont périmées, corrompues ou falsifiées, le résultat peut alors être tout simplement faux. »
Les implications d’une attaque sur une charge de travail d’IA dépendront de l’application, mais le résultat ne sera jamais bon. La seule question est de savoir si cela entraînera des dommages ou des blessures graves.
Si les attaques constituent le principal objectif de protection, elles ne constituent pas le seul sujet de préoccupation. "Les 'menaces' se répartissent en deux grandes catégories : l'interférence intentionnelle d'un mauvais acteur et les problèmes involontaires, qui peuvent généralement être considérés comme des bugs, que ce soit dans le matériel ou dans le logiciel", a déclaré Panesar.
Le fondement de la sécurité
Il existe des notions fondamentales de sécurité qui s’appliquent à tout environnement informatique, et l’IA ne fait pas exception. Même si une attention particulière doit être accordée à certains aspects d’une charge de travail d’IA, ce n’est pas seulement cette charge de travail qui doit être protégée. "Nous devons penser à l'intégrité du fonctionnement de l'ensemble du système, et pas seulement à la puce ou au sous-système sur puce avec lequel nous avons affaire", a déclaré Panesar.
Comme l'a souligné Stevens, quatre aspects de la sécurité doivent être pris en compte. Premièrement, les données et l’informatique doivent rester privées. Deuxièmement, il ne devrait pas être possible pour un attaquant de modifier les données, où que ce soit et à tout moment. Troisièmement, toutes les entités participant au calcul doivent être connues pour être authentiques. Et quatrièmement, il ne devrait pas être possible pour un attaquant d’interférer avec le fonctionnement normal de la plateforme informatique.
Cela conduit à quelques concepts de sécurité de base qui, espérons-le, seront familiers à toute personne impliquée dans la conception de systèmes sécurisés. La première d’entre elles est la protection des données en trois phases :
1. Données au repos, qui incluent toutes les données stockées ;
2. Les données en mouvement lorsqu'elles sont communiquées d'un endroit à un autre, et
3. Les données utilisées, qui sont actives et vivantes dans la plateforme informatique au fur et à mesure qu'elles sont utilisées.
Une autre exigence familière est l’environnement d’exécution fiable (TEE). Il s'agit d'un environnement informatique limité à des logiciels hautement fiables et accessible au reste de la plate-forme informatique uniquement via des canaux hautement contrôlés et fiables. Tout matériel critique ou autre actif qui ne peut être compromis sera placé dans cet environnement et ne sera pas directement accessible en dehors du TEE.
Le TEE constitue un moyen fondamental de gérer les opérations de sécurité critiques d'une manière beaucoup moins sujette aux interférences de logiciels externes. Il permet de séparer les logiciels d'application des opérations de sécurité de niveau inférieur. Il gère également le processus de démarrage pour garantir qu'il se déroule de manière sécurisée et fiable, en détectant toute tentative de démarrage de code non authentique.
Il existe un large éventail d’opérations requises pour une informatique sécurisée. L'authentification garantit que les entités avec lesquelles on communique sont véritablement celles qu'elles prétendent être. Le cryptage protège les données des regards indiscrets. Les logiciels et autres artefacts de données peuvent voir leur provenance garantie par des opérations de hachage et de signature. Et toutes ces fonctions nécessitent des clés suffisamment puissantes pour se protéger contre le piratage par force brute, ce qui rend essentiel un approvisionnement et une gestion efficaces des clés.
Des protections supplémentaires sont fournies en garantissant que les TEE et autres circuits de sécurité critiques sont protégés contre les tentatives d'effraction ou de perturbation du fonctionnement. Les canaux secondaires doivent être protégés pour garantir qu'il n'y a aucun moyen d'espionner des données ou des clés en mesurant des artefacts électroniques détectables de l'extérieur comme l'énergie ou le rayonnement électromagnétique.
Et enfin, un niveau de protection supplémentaire peut être fourni par des circuits qui surveillent les événements internes pour déclencher une alerte si quelque chose de suspect semble se produire.
Appliquer cela spécifiquement à l’IA
Assurer la sécurité des charges de travail d'IA commence par ces exigences de sécurité de base, qu'il s'agisse de formation ou d'inférence, et que ce soit dans un centre de données, un serveur local ou dans un équipement de pointe. Mais il existe d’autres considérations spécifiques aux charges de travail de l’IA qui doivent être prises en compte.
« Des implémentations sécurisées de l'IA sont nécessaires pour empêcher l'extraction ou le vol d'algorithmes d'inférence, de modèles et de paramètres, d'algorithmes de formation et d'ensembles de formation », a expliqué Stevens. « Cela signifierait également empêcher le remplacement involontaire de ces actifs par des algorithmes ou des ensembles de données malveillants. Cela éviterait d’empoisonner le système pour modifier les résultats d’inférence, provoquant une mauvaise classification.
Les nouvelles architectures matérielles de traitement de l'IA fournissent une autre partie du système qui a besoin de protection. « Le cœur du système est évidemment l’ensemble de puissantes puces accélératrices, allant d’une poignée à une grande matrice d’unités de traitement d’IA dédiées avec leur propre pool de mémoire et avec une seule tâche, qui est de traiter autant de données que possible dans le délai le plus court », a noté Stevens.
Les concepteurs doivent d’abord prendre en compte les actifs spécifiques qui nécessitent une protection. Le plus évident est le matériel de formation ou d’inférence. "On voit généralement sur les lames un processeur de passerelle, avec un flash dédié et un DDR", a déclaré Stevens. « Sa tâche est de gérer les modèles, d'ajouter les actifs. et contrôler les accélérateurs. Ensuite, il y a la connexion à la structure : un réseau haut débit ou des interfaces PCIe-4 ou -5. Certaines lames disposent également de liaisons inter-lames exclusives.
Fig. 1 : Une lame d'IA généralisée pour un centre de données. En plus du processeur, de la mémoire dynamique et de la connexion réseau habituels, les accélérateurs feront le gros du travail, assistés par la SRAM interne. Source : Rambus
De plus, il existe différents types de données à protéger, et celles-ci dépendent du fait qu'il s'agisse d'une opération de formation ou d'inférence. Lors de la formation d'un modèle, les échantillons de données de formation et le modèle de base en cours de formation doivent être protégés. Lors de l'inférence, le modèle entraîné, tous les poids, les données d'entrée et les résultats de sortie doivent être protégés.
Sur le plan opérationnel, il s’agit d’un nouveau domaine en évolution rapide, et le débogage est donc probable. Tout débogage doit être effectué en toute sécurité et toutes les fonctionnalités de débogage doivent être arrêtées lorsqu'elles ne sont pas utilisées authentifiées.
Et les modifications apportées au code ou à l’un des autres actifs doivent être fournies dans des mises à jour bien sécurisées. En particulier, il est probable que les modèles s'amélioreront avec le temps. Il doit donc y avoir un moyen de remplacer les anciennes versions par des versions plus récentes, tout en interdisant à toute personne non autorisée de remplacer un modèle valide par un modèle inauthentique.
« Les mises à jour sécurisées du micrologiciel, ainsi que la possibilité de déboguer le système de manière sécurisée, deviennent des enjeux majeurs de nos jours », a noté Stevens.
Risques de violations de données
Il est évident que les données doivent être protégées contre le vol. Tout vol de ce type constitue clairement une violation de la confidentialité, mais les conséquences sont encore plus désastreuses lorsqu’il s’agit de réglementations gouvernementales. Des exemples d’une telle réglementation sont les règles du RGPD en Europe et les règles de santé HIPAA aux États-Unis.
Mais outre le vol pur et simple, la manipulation des données est également un sujet de préoccupation. Les données de formation, par exemple, pourraient être modifiées soit pour découvrir un secret, soit simplement pour empoisonner la formation afin que le modèle résultant fonctionne mal.
Une grande partie du calcul, en particulier lors de la formation d'un modèle, aura lieu dans un centre de données, ce qui peut impliquer des serveurs mutualisés pour un fonctionnement à moindre coût. « De plus en plus d'entreprises et d'équipes s'appuient sur des ressources de cloud computing partagées pour diverses raisons, principalement pour des raisons d'évolutivité et de coût », a observé Dana Neustadter, responsable marketing produit senior pour la sécurité IP chez Synopsys.
Cela signifie que plusieurs tâches coexistent sur le même matériel. Et pourtant, ces tâches ne doivent pas être exécutées avec moins de sécurité que si elles se trouvaient sur des serveurs distincts. Ils doivent être isolés par un logiciel de manière à empêcher toute fuite (données ou autres) d'une tâche à une autre.
« Déplacer l'informatique vers le cloud peut entraîner des risques de sécurité potentiels lorsque le système n'est plus sous votre contrôle », a déclaré Neustadter. « Qu'elles soient erronées ou malveillantes, les données d'un utilisateur peuvent constituer le malware d'un autre utilisateur. Les utilisateurs doivent faire confiance au fournisseur de cloud pour respecter les normes de conformité, effectuer des évaluations des risques, contrôler l'accès des utilisateurs, etc.
La conteneurisation permet généralement d'isoler les processus dans un environnement multi-tenant, mais il est toujours possible qu'un processus malveillant en affecte d'autres. "Un problème qui fait qu'une application monopolise les ressources de traitement peut affecter d'autres locataires", a noté Panesar. « Cela est particulièrement important dans les environnements critiques tels que les rapports médicaux, ou partout où les locataires ont un SLA (accord de niveau de service) contraignant. »
Enfin, même si cela n’affecte pas le résultat spécifique d’un calcul ou la confidentialité des données, les opérations du centre de données doivent garantir que les opérations administratives sont à l’abri du bricolage. « La sécurité doit également être présente pour garantir une facturation correcte des services et empêcher toute utilisation contraire à l'éthique, comme le profilage racial », a souligné Stevens.
Les nouvelles normes aideront les développeurs à garantir qu'elles couvrent toutes les bases nécessaires.
« L'industrie développe des normes telles que la sécurité de l'interface PCIe, le PCI-SIG pilotant une spécification d'intégrité et de chiffrement des données (IDE), complétée par la mesure et l'authentification des composants (CMA) et des E/S d'environnement d'exécution fiables (TEE-I/ O)», a déclaré Neustadter. « Le protocole de sécurité d'interface de périphérique assignable (ADISP) et d'autres protocoles étendent les capacités de virtualisation des machines virtuelles de confiance utilisées pour maintenir les charges de travail informatiques confidentielles isolées des environnements d'hébergement, soutenues par une authentification forte et une gestion des clés. »
Fig. 2 : L'informatique IA implique un certain nombre d'actifs, et chacun a des besoins de sécurité spécifiques. Source : Rambus
Mise en œuvre de protections
Dans un environnement informatique d’IA typique, plusieurs étapes doivent être suivies pour verrouiller les opérations. Ils commencent avec un matériel racine de confiance (HRoT).
Un HRoT est un environnement fiable et opaque dans lequel des opérations sécurisées telles que l'authentification et le chiffrement peuvent être effectuées sans exposer les clés ou autres secrets utilisés. Cela pourrait être un élément essentiel d’un TEE. Ils sont généralement associés à un processeur dans une architecture classique, mais il y a ici généralement plus d'un élément de traitement.
En particulier, les nouvelles puces matérielles dédiées au traitement de l’IA ne disposent pas de capacités de racine de confiance intégrées. "De nombreuses conceptions récentes d'accélérateurs d'IA/ML - en particulier par des startups - se sont principalement concentrées sur l'intégration du traitement NPU le plus optimal", a expliqué Stevens dans une interview de suivi. « La sécurité n’était pas au centre de leurs préoccupations, ou n’était pas sur leur radar. »
Cela signifie qu'un système devra fournir un HRoT ailleurs, et il existe plusieurs options pour cela.
Une approche, axée sur les données utilisées, consiste à attribuer à chaque élément informatique – la puce hôte et la puce accélératrice, par exemple – son propre HRoT. Chaque HRoT gérerait ses propres clés et effectuerait des opérations sous la direction de son processeur associé. Ils peuvent être intégrés de manière monolithique sur les SoC, bien que ce ne soit actuellement pas le cas pour les processeurs neuronaux.
L'autre option, qui se concentre sur les données en mouvement, consiste à fournir un HRoT au niveau de la connexion réseau pour garantir que toutes les données entrant dans la carte sont propres. « Pour les données en mouvement, les exigences en matière de débit sont extrêmement élevées, avec des exigences de latence très faibles », a déclaré Stevens. « Les systèmes utilisent des clés éphémères, car ils fonctionnent généralement avec des clés de session. »
« Pour l'authentification, une lame devrait obtenir un numéro d'identification, qui ne doit pas nécessairement rester secret », a-t-il poursuivi. « Il faut juste qu’il soit unique et immuable. Il peut s'agir de plusieurs identifiants, un pour chaque puce, ou un pour la lame ou l'appareil lui-même.
Ces HRoT externes pourraient ne pas être nécessaires lorsque la sécurité sera intégrée aux futures unités de traitement neuronal (NPU). "En fin de compte, lorsque les premières preuves de concept NPU des startups se seront avérées réussies, l'architecture de leur deuxième version de ces conceptions aura des capacités de racine de confiance, qui auront plus de capacités cryptographiques pour gérer des charges de travail plus importantes." » ajouta Stevens.
Les données transférées de la SRAM vers la DRAM, ou vice versa, doivent également être cryptées pour garantir qu'elles ne puissent pas être espionnées. La même chose s'appliquerait à toute connexion latérale directe à une carte voisine.
Avec autant de chiffrement intégré dans un calcul déjà intense, on court le risque d’enliser les opérations. Un fonctionnement sécurisé est essentiel, mais il ne sert à rien s’il paralyse l’opération elle-même.
"Le réseau ou la liaison PCI Express vers la structure doit être protégé en insérant un moteur de paquets de sécurité à haut débit L2 ou L3 prenant en charge les protocoles", a ajouté Stevens. "Un tel moteur de paquets nécessite peu de support de la part du processeur."
Cela peut également s’appliquer à la mémoire et au chiffrement du trafic lame à lame. "Le contenu du processeur de passerelle DDR et des GDDR de l'accélérateur d'IA local peut être protégé par un moteur de cryptage de mémoire en ligne", a-t-il déclaré. « S’il existe un canal latéral lame à lame dédié, il peut être protégé par AES-GCM à haut débit [Mode Galois / Compteur] accélérateurs de chiffrement de liens.
Enfin, les protections de sécurité standard peuvent être renforcées par une surveillance continue qui permet de suivre le fonctionnement réel. "Vous devez collecter des informations sur le matériel qui peuvent vous indiquer comment le système se comporte", a déclaré Panesar. « Cela doit être statistique en temps réel, instantané et à long terme. Il doit également être compréhensible (que ce soit par un humain ou une machine) et exploitable. Les données de température, de tension et de synchronisation sont très bien, mais vous avez également besoin d’informations de plus haut niveau et plus sophistiquées.
Mais cela ne remplace pas une sécurité rigoureuse. « L'objectif est d'identifier les problèmes qui pourraient échapper aux protections de sécurité conventionnelles – mais cela ne saurait remplacer une telle protection », a-t-il ajouté.
Un dur travail à venir
Ces éléments ne sont pas forcément simples à mettre en œuvre. Cela demande un travail acharné. « La résilience, la capacité à mettre à jour un système en toute sécurité et la capacité à se remettre d'une attaque réussie sont de véritables défis », a noté Mike Borza, architecte de sécurité IP chez Synopsys. "Construire des systèmes comme celui-là est très, très difficile."
Mais à mesure que l'informatique IA devient de plus en plus courante, les ingénieurs qui ne sont pas spécialistes de la modélisation des données ou de la sécurité se tourneront de plus en plus vers les services de ML pour intégrer l'IA dans leurs applications. Ils doivent pouvoir compter sur l'infrastructure et prendre soin de leurs données importantes afin que les modèles et les calculs qu'ils utiliseront pour différencier leurs produits ne finissent pas entre de mauvaises mains.
Services Connexes
Compromis de sécurité dans les puces et les systèmes d'IA
Experts autour de la table : Comment la sécurité affecte la puissance et les performances, pourquoi les systèmes d'IA sont si difficiles à sécuriser et pourquoi la confidentialité est une préoccupation croissante.
Bits de recherche sur la sécurité
Nouveaux documents techniques sur la sécurité présentés lors du symposium sur la sécurité USENIX du 21 août.
Toujours actif, toujours à risque
Les problèmes de sécurité des puces augmentent avec davantage d'éléments de traitement, un réveil automatique, des mises à jour en direct et une meilleure connectivité.
Centre de connaissances sur la sécurité
Actualités, livres blancs, blogs et vidéos sur la sécurité matérielle
Centre de connaissances sur l'IA
Source : https://semiengineering.com/ai-ml-workloads-need-extra-security/
- accélérateur
- accélérateurs
- accès
- Compte
- infection
- Supplémentaire
- contrat
- AI
- Formation IA
- algorithmes
- Tous
- Permettre
- Candidature
- applications
- architecture
- Réservé
- Outils
- Attaques
- Août
- Les Authentiques
- Authentification
- facturation
- BLADE
- blogue
- planche
- violation
- bogues
- les soins
- Causes
- Voies
- puce
- chips
- le cloud
- le cloud computing
- code
- Sociétés
- conformité
- composant
- informatique
- connexion
- Connectivité
- contenu
- Couples
- données
- Centre de données
- les centres de données
- traitement
- Offres
- Conception
- mobiles
- Directeur
- Perturber
- conduite
- Edge
- Efficace
- chiffrement
- Les ingénieurs
- Environment
- l'équipements
- Europe
- exécution
- Développer vous
- sécurité supplémentaire
- extraction
- .
- figues
- finalement
- Prénom
- Flash
- Focus
- avenir
- RGPD
- Bien
- Gouvernement
- Croissance
- Croissance
- piratage
- Maniabilité
- Matériel
- Hachage
- ici
- Haute
- hébergement
- Comment
- HTTPS
- identifier
- industrie
- d'information
- Infrastructure
- propriété intellectuelle
- Interview
- impliqué
- IP
- IT
- Emploi
- Emplois
- clés / KEY :
- clés
- spécialisées
- gros
- apprentissage
- limité
- LINK
- locales
- Les machines
- malware
- gestion
- Manipulation
- Stratégie
- Matrice
- médical
- ML
- modèle
- modélisation statistique
- Stack monitoring
- réseau et
- Neural
- Opérations
- Option
- Options
- Autre
- Autres
- performant
- plateforme
- poison
- pool
- power
- représentent
- prévention
- la confidentialité
- Privé
- Produit
- Produits
- propriété
- protéger
- protection
- Le profilage racial
- radar
- Radiation
- augmenter
- gamme
- en temps réel
- Les raisons
- Récupérer
- Règlement
- règlements
- Exigences
- un article
- Ressources
- REST
- Résultats
- Analyse
- des
- Évolutivité
- sécurité
- Opérations de cybersécurité
- Services
- commun
- étapes
- So
- Logiciels
- Solutions
- Spin
- Normes
- Commencer
- Startups
- États
- volé
- Stories
- réussi
- Support
- combustion propre
- Système
- Technique
- vol
- fiable
- suivre
- circulation
- Formation
- La confiance
- Uni
- États-Unis
- Mises à jour
- Actualités
- utilisateurs
- Vidéos
- Salle de conférence virtuelle
- WHO
- Wikipédia
- dans les
- Activités: