Kebutuhan akan keamanan meliputi semua sistem elektronik. Namun mengingat pertumbuhan komputasi pembelajaran mesin di pusat data, yang menangani data yang sangat berharga, beberapa perusahaan memberikan perhatian khusus untuk menangani data tersebut dengan aman.
Semua solusi keamanan pusat data yang biasa harus diterapkan, namun upaya ekstra diperlukan untuk memastikan bahwa model dan kumpulan data terlindungi saat disimpan, baik saat ditransfer ke dan dari bilah akselerator, dan saat memproses pada sistem yang dihosting. lebih dari satu penyewa secara bersamaan dalam server yang sama.
โModel inferensi, algoritme inferensi, model pelatihan, dan kumpulan data pelatihan dianggap sebagai kekayaan intelektual yang berharga dan memerlukan perlindungan โ terutama karena aset berharga ini diserahkan ke pusat data untuk diproses pada sumber daya bersama,โ kata Bart Stevens, direktur senior pemasaran produk untuk keamanan IP di Rambus, dalam presentasi baru-baru ini.
Segala gangguan pada data pelatihan AI dapat menyebabkan pembuatan model yang salah. Dan perubahan apa pun pada model yang terlatih dapat mengakibatkan kesimpulan yang salah yang diambil oleh mesin AI. โKetiga jenis pembelajaran utama (supervisi, non-supervisi, dan penguatan) menggunakan perhitungan berbobot untuk menghasilkan suatu hasil,โ kata Gajinder Panesar, rekan di EDA Siemens. โJika bobot tersebut sudah basi, rusak, atau diubah, maka hasilnya bisa saja salah.โ
Implikasi serangan terhadap beban kerja AI akan bergantung pada aplikasinya, namun hasilnya tidak akan pernah baik. Satu-satunya pertanyaan adalah apakah hal itu akan menyebabkan kerusakan atau cedera serius.
Meskipun serangan merupakan fokus utama perlindungan, serangan bukanlah satu-satunya hal yang menjadi perhatian. โ'Ancaman' terbagi dalam dua kategori besar โ campur tangan yang disengaja oleh pelaku kejahatan dan masalah yang tidak disengaja, yang umumnya dapat dianggap sebagai bug, baik pada perangkat keras maupun perangkat lunak,โ kata Panesar.
Landasan keamanan
Ada gagasan keamanan mendasar yang berlaku untuk lingkungan komputasi apa pun, dan komputasi AI tidak terkecuali. Meskipun perhatian khusus harus diberikan pada aspek tertentu dari beban kerja AI, bukan hanya beban kerja tersebut saja yang harus dilindungi. โKita harus memikirkan integritas pengoperasian seluruh sistem, bukan hanya chip tertentu atau subsistem on-chip yang kita hadapi,โ kata Panesar.
Diuraikan Stevens, ada empat aspek keamanan yang harus ditangani. Pertama, data dan komputasi harus dijaga kerahasiaannya. Kedua, penyerang tidak boleh mengubah data apa pun di mana pun dan kapan pun. Ketiga, semua entitas yang berpartisipasi dalam komputasi harus diketahui keasliannya. Dan keempat, penyerang tidak boleh mengganggu pengoperasian normal platform komputasi.
Hal ini mengarah pada beberapa konsep keamanan dasar yang diharapkan dapat diketahui oleh siapa pun yang terlibat dalam perancangan sistem yang aman. Yang pertama adalah perlindungan data dalam tiga tahap:
1. Data tidak aktif, yang mencakup semua data yang disimpan;
2. Data bergerak saat dikomunikasikan dari satu tempat ke tempat lain, dan
3. Data yang digunakan, yang aktif dan hidup di platform komputasi saat sedang dikerjakan.
Persyaratan umum lainnya adalah lingkungan eksekusi tepercaya (TEE). Ini adalah lingkungan komputasi yang terbatas pada perangkat lunak yang sangat tepercaya dan dapat diakses oleh platform komputasi lainnya hanya melalui saluran yang sangat terkontrol dan tepercaya. Perangkat keras penting atau aset lain apa pun yang tidak dapat disusupi akan ditempatkan di lingkungan ini dan tidak akan dapat diakses langsung di luar TEE.
TEE menyediakan cara mendasar untuk menangani operasi keamanan penting dengan cara yang jauh lebih aman dari campur tangan perangkat lunak luar. Itu membuat perangkat lunak aplikasi terpisah dari operasi keamanan tingkat rendah. Ia juga mengelola proses booting untuk memastikannya berjalan dengan aman dan andal, menangkap segala upaya untuk mem-boot kode yang tidak autentik.
Ada berbagai macam operasi yang diperlukan untuk komputasi yang aman. Otentikasi memastikan bahwa entitas yang berkomunikasi dengan seseorang benar-benar sesuai dengan apa yang mereka katakan. Enkripsi menjaga data tetap aman dari pengintaian. Perangkat lunak dan artefak data lainnya dapat dijamin asal usulnya melalui operasi hashing dan penandatanganan. Dan semua fungsi ini memerlukan kunci dengan kekuatan yang cukup untuk melindungi dari peretasan brute force, dan hal ini menjadikan penyediaan dan pengelolaan kunci yang efektif menjadi penting.
Perlindungan tambahan diberikan dengan memastikan bahwa TEE dan sirkuit keamanan penting lainnya terlindungi dari upaya pembobolan atau gangguan operasi. Saluran samping harus dilindungi untuk memastikan bahwa tidak ada cara untuk mengintip data atau kunci dengan mengukur artefak elektronik yang dapat dideteksi secara eksternal seperti daya atau radiasi elektromagnetik.
Dan yang terakhir, lapisan perlindungan lebih lanjut dapat diberikan oleh sirkuit yang memantau kejadian internal untuk memberikan peringatan jika sesuatu yang mencurigakan sedang terjadi.
Menerapkan ini secara khusus pada AI
Menjaga beban kerja AI tetap aman dimulai dengan persyaratan keamanan dasar ini, baik pelatihan atau kesimpulan, dan baik melakukannya di pusat data, server lokal, atau di peralatan edge. Namun ada pertimbangan tambahan khusus untuk beban kerja AI yang harus dipertimbangkan.
โImplementasi AI yang aman diperlukan untuk mencegah ekstraksi atau pencurian algoritma inferensi, model dan parameter, algoritma pelatihan, dan set pelatihan,โ jelas Stevens. โIni juga berarti mencegah penggantian aset-aset ini secara tidak disengaja dengan algoritma atau kumpulan data yang berbahaya. Hal ini akan menghindari keracunan sistem sehingga mengubah hasil inferensi, sehingga menyebabkan kesalahan klasifikasi.โ
Arsitektur perangkat keras pemrosesan AI yang baru menyediakan bagian lain dari sistem yang memerlukan perlindungan. โInti dari sistem ini jelas merupakan rangkaian chip akselerator yang kuat, mulai dari segelintir hingga matriks besar unit pemrosesan AI khusus dengan kumpulan memorinya sendiri dan hanya dengan satu tugas, yaitu memproses data sebanyak mungkin dalam satu waktu. jangka waktu terpendek,โ kata Stevens.
Desainer pertama-tama harus memperhitungkan aset spesifik yang memerlukan perlindungan. Yang paling jelas adalah perangkat keras pelatihan atau inferensi. โBiasanya terlihat pada blade adalah CPU gateway, dengan flash khusus dan DDR,โ kata Stevens. โTugasnya mengelola model, menambah aset. dan mengontrol akselerator. Lalu ada koneksi ke fabric โ jaringan berkecepatan tinggi atau antarmuka PCIe-4 atau -5. Beberapa bilah juga memiliki tautan antar bilah yang dipatenkan.โ
Gambar 1: Bilah AI umum untuk pusat data. Selain CPU biasa, memori dinamis, dan koneksi jaringan, akselerator akan melakukan tugas berat, dibantu oleh SRAM internal. Sumber: Rambus
Selain itu, ada berbagai jenis data yang harus dilindungi, dan itu bergantung pada apakah operasinya berupa pelatihan atau inferensi. Saat melatih model, sampel data pelatihan dan model dasar yang dilatih harus dilindungi. Saat menyimpulkan, model yang dilatih, semua bobot, data masukan, dan hasil keluaran memerlukan perlindungan.
Secara operasional, ini adalah area baru yang berkembang pesat, sehingga kemungkinan terjadi debug. Debug apa pun harus dilakukan dengan aman โ dan kemampuan debug apa pun harus dimatikan saat tidak digunakan dengan autentikasi.
Dan perubahan pada kode atau aset lainnya harus dikirimkan dalam pembaruan yang aman. Secara khusus, kemungkinan besar model akan meningkat seiring berjalannya waktu. Jadi harus ada cara untuk mengganti versi lama dengan yang lebih baru, sekaligus tidak mengizinkan orang yang tidak berwenang mengganti model yang valid dengan model yang tidak autentik.
โPembaruan firmware yang aman, serta kemampuan untuk dapat melakukan debug sistem dengan cara yang aman, menjadi taruhannya saat ini,โ kata Stevens.
Risiko pelanggaran data
Sangat jelas bahwa data harus dilindungi agar tidak dicuri. Pencurian semacam ini jelas merupakan pelanggaran kerahasiaan, namun dampaknya akan lebih buruk jika melibatkan peraturan pemerintah. Contoh peraturan tersebut adalah peraturan GDPR di Eropa dan peraturan layanan kesehatan HIPAA di Amerika Serikat.
Namun selain pencurian, manipulasi data juga menjadi perhatian. Data pelatihan, misalnya, dapat diubah baik sebagai cara untuk mengungkap suatu rahasia atau sekadar untuk meracuni pelatihan sehingga model yang dihasilkan akan bekerja dengan buruk.
Sebagian besar komputasi โ terutama saat melatih model โ akan dilakukan di pusat data, dan mungkin melibatkan server multi-penyewa untuk pengoperasian berbiaya lebih rendah. โSemakin banyak perusahaan dan tim yang mengandalkan sumber daya komputasi awan bersama karena berbagai alasan, sebagian besar karena skalabilitas dan biaya,โ kata Dana Neustadter, manajer pemasaran produk senior untuk IP keamanan di Synopsys.
Itu berarti banyak pekerjaan yang ada bersamaan pada perangkat keras yang sama. Namun pekerjaan tersebut harus dijalankan dengan keamanan yang tidak kalah amannya dibandingkan jika dilakukan di server terpisah. Mereka harus diisolasi oleh perangkat lunak sedemikian rupa sehingga apa pun โ data atau lainnya โ tidak bocor dari satu pekerjaan ke pekerjaan lainnya.
โMemindahkan komputasi ke cloud dapat menimbulkan potensi risiko keamanan ketika sistem tidak lagi berada di bawah kendali Anda,โ kata Neustadter. โBaik keliru atau berbahaya, data satu pengguna bisa menjadi malware bagi pengguna lain. Pengguna perlu memercayai penyedia cloud untuk memenuhi standar kepatuhan, melakukan penilaian risiko, mengontrol akses pengguna, dan sebagainya.โ
Kontainerisasi biasanya membantu mengisolasi proses di lingkungan multi-penyewa, namun satu proses jahat masih mungkin memengaruhi proses lainnya. โMasalah yang menyebabkan aplikasi memakan sumber daya pemrosesan dapat berdampak pada penyewa lainnya,โ kata Panesar. โHal ini sangat penting terutama dalam lingkungan kritis seperti pelaporan medis, atau di mana pun penyewa memiliki SLA (perjanjian tingkat layanan) yang mengikat.โ
Yang terakhir, meskipun hal ini mungkin tidak mempengaruhi hasil komputasi tertentu atau kerahasiaan data, operasional pusat data harus memastikan bahwa operasional administratif aman dari tindakan manipulasi. โKeamanan juga harus ada untuk memastikan penagihan layanan yang tepat dan untuk mencegah penggunaan yang tidak etis, seperti profil rasial,โ kata Stevens.
Standar baru akan membantu pengembang memastikan bahwa mereka mencakup semua hal yang diperlukan.
โIndustri sedang mengembangkan standar seperti keamanan antarmuka PCIe, dengan PCI-SIG yang menggerakkan spesifikasi integritas dan enkripsi data (IDE), dilengkapi dengan pengukuran dan otentikasi komponen (CMA) dan I/O lingkungan eksekusi tepercaya (TEE-I/ O),โ kata Neustadter. โProtokol keamanan antarmuka perangkat yang dapat dialihkan (ADISP) dan protokol lainnya memperluas kemampuan virtualisasi mesin virtual tepercaya yang digunakan untuk menjaga beban kerja komputasi rahasia tetap terisolasi dari lingkungan hosting, didukung oleh autentikasi yang kuat dan manajemen kunci.โ
Gambar 2: Komputasi AI melibatkan sejumlah aset, dan masing-masing aset memiliki kebutuhan keamanan spesifik. Sumber: Rambus
Menerapkan perlindungan
Mengingat lingkungan komputasi AI pada umumnya, ada beberapa langkah yang harus diambil untuk mengunci operasi. Mereka mulai dengan perangkat keras akar kepercayaan (HRoT).
HRoT adalah lingkungan yang tepercaya dan buram tempat operasi aman seperti autentikasi dan enkripsi dapat dilakukan tanpa mengungkap kunci atau rahasia lain yang digunakan. Ini bisa menjadi komponen penting dari TEE. Mereka biasanya dikaitkan dengan prosesor dalam arsitektur klasik, tetapi di sini biasanya terdapat lebih dari satu elemen pemrosesan.
Secara khusus, chip perangkat keras baru yang didedikasikan untuk pemrosesan AI tidak memiliki kemampuan root-of-trust bawaan. โBanyak desain akselerator AI/ML baru-baru ini โ terutama oleh startup โ berfokus terutama pada mendapatkan pemrosesan NPU yang paling optimal,โ jelas Stevens dalam wawancara lanjutan. โKeamanan bukanlah fokus utama, atau tidak ada dalam radar mereka.โ
Artinya, sistem perlu menyediakan HRoT di tempat lain, dan ada beberapa opsi untuk itu.
Salah satu pendekatan, yang berfokus pada data yang digunakan, adalah memberikan setiap elemen komputasi โ chip host dan chip akselerator, misalnya โ HRoT-nya sendiri. Setiap HRoT akan menangani kuncinya sendiri dan melakukan operasi sesuai arahan prosesor terkait. Mereka mungkin terintegrasi secara monolitik pada SoC, meskipun saat ini hal tersebut tidak berlaku pada prosesor saraf.
Opsi lainnya, yang berfokus pada data yang bergerak, adalah menyediakan HRoT pada koneksi jaringan untuk memastikan bahwa semua data yang masuk ke papan bersih. โUntuk data yang bergerak, persyaratan throughputnya sangat tinggi, dengan persyaratan latensi yang sangat rendah,โ kata Stevens. โSistem ini menggunakan kunci sementara, karena biasanya bekerja dengan kunci sesi.โ
โUntuk otentikasi, sebuah blade perlu mendapatkan nomor identifikasi, yang tidak serta merta perlu dirahasiakan,โ lanjutnya. โItu hanya perlu unik dan tidak dapat diubah. ID-nya bisa banyak, satu untuk setiap chip, atau satu untuk blade atau alat itu sendiri.โ
HRoT eksternal ini mungkin tidak diperlukan ketika keamanan dibangun ke dalam unit pemrosesan saraf (NPU) di masa depan. โPada akhirnya, ketika bukti konsep NPU awal dari startup telah terbukti berhasil, arsitektur putaran kedua dari desain ini akan memiliki kemampuan root of trust di dalamnya, yang akan memiliki lebih banyak kemampuan kriptografi untuk menangani beban kerja yang lebih besar,โ tambah Stevens.
Data yang dipindahkan dari SRAM ke DRAM, atau sebaliknya, juga harus dienkripsi untuk memastikan data tersebut tidak dapat diintip. Hal yang sama berlaku untuk sambungan samping langsung ke papan tetangga.
Dengan enkripsi sebanyak itu yang tertanam dalam komputasi yang sudah intensif, ada risiko menghambat operasi. Pengoperasian yang aman sangatlah penting, namun tidak ada gunanya bagi siapa pun jika hal itu melumpuhkan operasi itu sendiri.
โJaringan atau tautan PCI Express ke fabric harus dilindungi dengan memasukkan mesin paket keamanan yang sadar protokol L2 atau L3 throughput tinggi,โ tambah Stevens. โMesin paket seperti itu memerlukan sedikit dukungan dari CPU.โ
Hal ini juga dapat diterapkan pada memori dan enkripsi lalu lintas blade-to-blade. โIsi DDR CPU gateway dan GDDR akselerator AI lokal dapat dilindungi oleh mesin enkripsi memori inline,โ ujarnya. โJika ada saluran samping blade-to-blade khusus, saluran tersebut dapat dilindungi oleh AES-GCM throughput tinggi [Galois/Mode Penghitung] akselerator enkripsi tautan.โ
Terakhir, perlindungan keamanan standar dapat didukung dengan pemantauan berkelanjutan yang melacak pengoperasian sebenarnya. โAnda perlu mengumpulkan informasi dari perangkat keras yang dapat memberi tahu Anda bagaimana sistem berperilaku,โ kata Panesar. โIni harus bersifat statistik real-time, instan, dan jangka panjang. Hal ini juga harus dapat dipahami (baik oleh manusia atau mesin) dan dapat ditindaklanjuti. Data suhu, voltase, dan waktu semuanya baik-baik saja, tetapi Anda juga memerlukan informasi tingkat tinggi dan lebih canggih.โ
Namun hal ini tidak bisa menggantikan keamanan yang ketat. โTujuannya adalah untuk mengidentifikasi permasalahan yang mungkin luput dari perlindungan keamanan konvensional โ namun hal ini bukanlah pengganti dari perlindungan tersebut,โ tambahnya.
Kerja keras ke depan
Elemen-elemen ini tidak selalu mudah untuk diterapkan. Itu membutuhkan kerja keras. โKetahanan, kemampuan untuk memperbarui sistem dengan aman, dan kemampuan untuk pulih dari serangan yang berhasil merupakan tantangan nyata,โ kata Mike Borza, arsitek IP keamanan di Synopsys. โMembangun sistem seperti itu sangatlah, sangat sulit.โ
Namun seiring dengan semakin rutinnya komputasi AI, para insinyur yang tidak ahli dalam pemodelan data atau keamanan akan semakin beralih ke layanan ML saat mereka menerapkan AI ke dalam aplikasi mereka. Mereka harus dapat mengandalkan infrastruktur, menjaga data penting mereka dengan baik sehingga model dan komputasi yang akan mereka gunakan untuk membedakan produk mereka tidak jatuh ke tangan yang salah.
terkait
Pengorbanan Keamanan Dalam Chip dan Sistem AI
Pakar di Meja: Bagaimana keamanan memengaruhi daya dan kinerja, mengapa sistem AI sangat sulit diamankan, dan mengapa privasi semakin menjadi pertimbangan.
Bit Riset Keamanan
Makalah teknis keamanan baru dipresentasikan pada Simposium Keamanan USENIX 21 Agustus.
Selalu Aktif, Selalu Berisiko
Masalah keamanan chip meningkat seiring dengan bertambahnya elemen pemrosesan, pengaktifan otomatis, pembaruan melalui udara, dan konektivitas yang lebih besar.
Pusat pengetahuan keamanan
Berita utama, kertas putih, blog, video tentang keamanan perangkat keras
Pusat Pengetahuan AI
Sumber: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- akselerator
- akselerator
- mengakses
- Akun
- aktif
- Tambahan
- Persetujuan
- AI
- Pelatihan AI
- algoritma
- Semua
- Membiarkan
- Aplikasi
- aplikasi
- arsitektur
- DAERAH
- Aktiva
- Serangan
- Agustus
- Asli
- Otentikasi
- penagihan
- PEDANG
- blog
- papan
- pelanggaran
- bug
- yang
- Menyebabkan
- saluran
- keping
- Keripik
- awan
- komputasi awan
- kode
- Perusahaan
- pemenuhan
- komponen
- komputasi
- koneksi
- Konektivitas
- isi
- sepasang
- data
- Data Center
- Pusat Data
- berurusan
- Penawaran
- Mendesain
- pengembang
- Kepala
- Mengganggu
- penggerak
- Tepi
- Efektif
- enkripsi
- Insinyur
- Lingkungan Hidup
- peralatan
- Eropa
- eksekusi
- Lihat lebih lanjut
- keamanan ekstra
- ekstraksi
- kain
- Ara
- Akhirnya
- Pertama
- flash
- Fokus
- masa depan
- GDPR
- baik
- Pemerintah
- Pertumbuhan
- Pertumbuhan
- peretasan
- Penanganan
- Perangkat keras
- hashing
- di sini
- High
- tuan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- mengenali
- industri
- informasi
- Infrastruktur
- kekayaan intelektual
- Wawancara
- terlibat
- IP
- IT
- Pekerjaan
- Jobs
- kunci
- kunci-kunci
- pengetahuan
- besar
- pengetahuan
- Terbatas
- LINK
- lokal
- Mesin
- malware
- pengelolaan
- manipulasi
- Marketing
- Matriks
- medis
- ML
- model
- pemodelan
- pemantauan
- jaringan
- saraf
- Operasi
- pilihan
- Opsi
- Lainnya
- Lainnya
- prestasi
- Platform
- racun
- kolam
- kekuasaan
- menyajikan
- mencegah
- pribadi
- swasta
- Produk
- Produk
- milik
- melindungi
- perlindungan
- Profil Rasial
- radar
- Radiasi
- menaikkan
- jarak
- real-time
- alasan
- Memulihkan
- Regulasi
- peraturan
- Persyaratan
- penelitian
- Sumber
- ISTIRAHAT
- Hasil
- Risiko
- aturan
- aman
- Skalabilitas
- keamanan
- Operasi Keamanan
- Layanan
- berbagi
- Sederhana
- So
- Perangkat lunak
- Solusi
- Berputar
- standar
- awal
- Startups
- Negara
- dicuri
- cerita
- sukses
- mendukung
- sistem
- sistem
- Teknis
- pencurian
- waktu
- jalur
- lalu lintas
- Pelatihan
- Kepercayaan
- Serikat
- Amerika Serikat
- Memperbarui
- Pembaruan
- Pengguna
- Video
- maya
- SIAPA
- Wikipedia
- dalam
- Kerja