Il bisogno di sicurezza pervade tutti i sistemi elettronici. Ma data la crescita del machine learning computing nei data center, che si occupa di dati estremamente preziosi, alcune aziende stanno prestando particolare attenzione alla gestione sicura di tali dati.
È necessario adottare tutte le consuete soluzioni di sicurezza per i data center, ma è necessario uno sforzo aggiuntivo per garantire che i modelli e i set di dati siano protetti durante l'archiviazione, sia durante il trasferimento da e verso i blade acceleratori, sia durante l'elaborazione su un sistema che ospita più tenant contemporaneamente all'interno dello stesso server.
"I modelli di inferenza, gli algoritmi di inferenza, i modelli di addestramento e i set di dati di addestramento sono considerati proprietà intellettuale preziosa e necessitano di protezione, soprattutto perché queste preziose risorse vengono trasferite ai data center per l'elaborazione su risorse condivise", ha affermato Bart Stevens, direttore senior del marketing di prodotto per IP di sicurezza a Rambus, in una recente presentazione.
Qualsiasi manomissione dei dati di addestramento dell'IA può causare la creazione di un modello difettoso. E qualsiasi modifica a un modello ben addestrato può portare a conclusioni errate da parte del motore di intelligenza artificiale. "Tutti e tre i principali tipi di apprendimento (supervisionato, non supervisionato e di rinforzo) utilizzano calcoli ponderati per produrre un risultato", ha affermato Gajinder Panesar, membro di SiemensEDA. "Se tali ponderazioni sono stantie, corrotte o manomesse, il risultato può essere un risultato semplicemente sbagliato".
Le implicazioni di un attacco a un carico di lavoro AI dipenderanno dall'applicazione, ma il risultato non sarà mai buono. L'unica domanda è se causerà gravi danni o lesioni.
Sebbene gli attacchi siano l'obiettivo principale della protezione, non sono le uniche aree di preoccupazione. "Le 'minacce' rientrano in due grandi categorie: interferenza intenzionale da parte di un cattivo attore e problemi non intenzionali, che generalmente possono essere considerati bug, sia nell'hardware che nel software", ha affermato Panesar.
La base di sicurezza
Esistono nozioni di sicurezza fondamentali che si applicano a qualsiasi ambiente informatico e l'intelligenza artificiale non fa eccezione. Sebbene sia necessario prestare particolare attenzione ad alcuni aspetti di un carico di lavoro di intelligenza artificiale, non è solo quel carico di lavoro che deve essere protetto. "Dobbiamo pensare all'integrità del funzionamento dell'intero sistema, non solo al particolare chip o sottosistema on-chip con cui abbiamo a che fare", ha affermato Panesar.
Come sottolineato da Stevens, ci sono quattro aspetti della sicurezza che devono essere gestiti. In primo luogo, i dati e l'elaborazione devono essere mantenuti privati. In secondo luogo, non dovrebbe essere possibile per un utente malintenzionato alterare i dati ovunque e in qualsiasi momento. In terzo luogo, tutte le entità che partecipano al calcolo devono essere note per essere autentiche. E quarto, non dovrebbe essere possibile per un utente malintenzionato interferire con il normale funzionamento della piattaforma informatica.
Questo porta ad alcuni concetti di sicurezza di base che si spera siano familiari a chiunque sia coinvolto nella progettazione di sistemi sicuri. La prima di queste è la protezione dei dati in tre fasi:
1. Dati inattivi, che include tutti i dati memorizzati;
2. Dati in movimento man mano che vengono comunicati da un luogo all'altro, e
3. Dati in uso, che sono attivi e vivi nella piattaforma informatica mentre viene lavorata.
Ancora un altro requisito familiare è l'ambiente di esecuzione attendibile (TEE). Questo è un ambiente informatico limitato a software altamente affidabile e accessibile al resto della piattaforma informatica solo attraverso canali altamente controllati e affidabili. Qualsiasi hardware critico o altra risorsa che non può essere compromessa verrà collocata in questo ambiente e non sarà direttamente accessibile al di fuori del TEE.
Il TEE fornisce un modo fondamentale per gestire le operazioni di sicurezza critiche in un modo molto meno soggetto a interferenze da parte di software esterni. Mantiene il software applicativo separato dalle operazioni di sicurezza di livello inferiore. Gestisce inoltre il processo di avvio per garantire che proceda in modo sicuro e affidabile, rilevando eventuali tentativi di avvio di codice non autentico.
C'è un'ampia gamma di operazioni necessarie per l'elaborazione sicura. L'autenticazione garantisce che le entità con cui si sta comunicando siano veramente chi dicono di essere. La crittografia protegge i dati da occhi indiscreti. Software e altri artefatti di dati possono avere la loro provenienza garantita da operazioni di hashing e firma. E tutte queste funzioni richiedono chiavi di forza sufficiente per la protezione contro l'hacking della forza bruta, e ciò rende essenziali un provisioning e una gestione delle chiavi efficaci.
Ulteriori protezioni sono fornite assicurando che i TEE e altri circuiti di sicurezza critici siano protetti dai tentativi di irruzione o di interruzione del funzionamento. I canali laterali devono essere protetti per garantire che non ci sia modo di spiare dati o chiavi misurando artefatti elettronici rilevabili esternamente come energia o radiazioni elettromagnetiche.
E infine, un ulteriore livello di protezione può essere fornito da circuiti che monitorano gli eventi interni per segnalare se qualcosa di sospetto sembra essere in atto.
Applicando questo in modo specifico all'IA
La protezione dei carichi di lavoro dell'IA inizia con questi requisiti di sicurezza di base, indipendentemente dal fatto che si tratti di formazione o inferenza, in un data center, un server locale o in apparecchiature perimetrali. Ma ci sono ulteriori considerazioni specifiche per i carichi di lavoro dell'IA che devono essere prese in considerazione.
"Sono necessarie implementazioni di IA sicure per prevenire l'estrazione o il furto di algoritmi, modelli e parametri di inferenza, algoritmi di addestramento e set di addestramento", ha spiegato Stevens. “Ciò significherebbe anche impedire la sostituzione involontaria di queste risorse con algoritmi o set di dati dannosi. Ciò eviterebbe di avvelenare il sistema per alterare i risultati dell'inferenza, causando un'errata classificazione".
Le nuove architetture hardware di elaborazione dell'IA forniscono un'altra parte del sistema che necessita di protezione. "Il cuore del sistema è ovviamente l'array di potenti chip acceleratori, che vanno da una manciata a una grande matrice di unità di elaborazione AI dedicate con il proprio pool di memoria e con un solo compito, che è elaborare quanti più dati possibile in il più breve lasso di tempo", ha osservato Stevens.
I progettisti devono prima tenere conto delle risorse specifiche che necessitano di protezione. Il più ovvio è l'hardware di addestramento o di inferenza. "Di solito si vede sui blade una CPU gateway, con una memoria flash e DDR dedicata", ha affermato Stevens. “Il suo compito è gestire i modelli, aggiungere gli asset. e controllare gli acceleratori. Poi c'è la connessione alla struttura: una rete ad alta velocità o interfacce PCIe-4 o -5. Alcune lame hanno anche collegamenti tra le lame proprietari.
Fig. 1: Una lama AI generalizzata per un data center. Oltre alla solita CPU, memoria dinamica e connessione di rete, gli acceleratori faranno il lavoro pesante, assistiti dalla SRAM interna. Fonte: Rambus
Inoltre, esistono vari tipi di dati da proteggere, che dipendono dal fatto che l'operazione sia di addestramento o di inferenza. Quando si esegue il training di un modello, è necessario proteggere i campioni di dati di training e il modello di base da addestrare. Durante l'inferenza, il modello addestrato, tutti i pesi, i dati di input e i risultati di output necessitano di protezione.
Operativamente, questa è una nuova area in rapida evoluzione, quindi è probabile che venga eseguito il debug. Qualsiasi debug deve essere eseguito in modo sicuro e qualsiasi funzionalità di debug deve essere interrotta quando non è in uso autenticato.
E le modifiche al codice oa qualsiasi altra risorsa devono essere fornite in aggiornamenti ben protetti. In particolare, è probabile che i modelli migliorino nel tempo. Quindi ci deve essere un modo per sostituire le vecchie versioni con quelle più recenti, mentre allo stesso tempo non consentire a nessuna persona non autorizzata di sostituire un modello valido con uno non autentico.
"Gli aggiornamenti sicuri del firmware, così come la possibilità di essere in grado di eseguire il debug del sistema in modo sicuro, stanno diventando una posta in gioco in questi giorni", ha osservato Stevens.
Rischi di violazione dei dati
È abbastanza ovvio che i dati devono essere protetti contro il furto. Qualsiasi furto di questo tipo è chiaramente una violazione della riservatezza, ma le conseguenze di ciò sono ancora più terribili quando sono coinvolte le normative governative. Esempi di tale regolamentazione sono le norme GDPR in Europa e le norme sanitarie HIPAA negli Stati Uniti.
Ma oltre al furto, anche la manipolazione dei dati è motivo di preoccupazione. I dati di addestramento, ad esempio, potrebbero essere modificati come mezzo per scoprire qualche segreto o semplicemente per avvelenare l'addestramento in modo che il modello risultante funzioni male.
Gran parte dell'elaborazione, soprattutto durante l'addestramento di un modello, avverrà in un data center e ciò potrebbe coinvolgere server multi-tenant per operazioni a basso costo. "Più aziende e team si affidano a risorse di cloud computing condivise per una serie di motivi, principalmente per scalabilità e costi", ha osservato Dana Neustadter, senior product marketing manager per la sicurezza IP presso Synopsys.
Ciò significa che più lavori coesistono sullo stesso hardware. Eppure quei lavori devono essere eseguiti in modo non meno sicuro che se si trovassero su server separati. Devono essere isolati dal software in modo da evitare che qualsiasi cosa, dati o altro, possa fuoriuscire da un lavoro all'altro.
"Spostare l'informatica nel cloud può comportare potenziali rischi per la sicurezza quando il sistema non è più sotto il tuo controllo", ha affermato Neustadter. “Siano essi errati o dannosi, i dati di un utente possono essere il malware di un altro utente. Gli utenti devono fidarsi del provider cloud per soddisfare gli standard di conformità, eseguire valutazioni del rischio, controllare l'accesso degli utenti e così via".
La containerizzazione in genere aiuta a isolare i processi in un ambiente multi-tenant, ma è comunque possibile che un processo non autorizzato influisca sugli altri. "Un problema che fa sì che un'applicazione monopolizzi le risorse di elaborazione può interessare altri inquilini", ha osservato Panesar. "Ciò è particolarmente importante in ambienti critici come i referti medici o ovunque gli inquilini abbiano uno SLA vincolante (accordo sul livello di servizio)."
Infine, sebbene non influisca sull'esito specifico di un calcolo o sulla riservatezza dei dati, le operazioni del data center devono garantire che le operazioni amministrative siano al sicuro da manomissioni. "La sicurezza dovrebbe essere presente anche per garantire la corretta fatturazione dei servizi e per prevenire l'uso non etico, come la profilazione razziale", ha sottolineato Stevens.
I nuovi standard aiuteranno gli sviluppatori a garantire che coprano tutte le basi necessarie.
"Il settore sta sviluppando standard come la sicurezza dell'interfaccia PCIe, con il PCI-SIG che guida una specifica di integrità e crittografia dei dati (IDE), integrata da misurazione e autenticazione dei componenti (CMA) e I/O affidabile dell'ambiente di esecuzione (TEE-I/ O)," disse Neustadter. "Il protocollo di sicurezza dell'interfaccia del dispositivo assegnabile (ADISP) e altri protocolli espandono le capacità di virtualizzazione delle macchine virtuali affidabili utilizzate per mantenere i carichi di lavoro di elaborazione riservati isolati dagli ambienti di hosting, supportati da un'autenticazione avanzata e dalla gestione delle chiavi".
Fig. 2: L'intelligenza artificiale comprende una serie di risorse e ciascuna ha esigenze di sicurezza specifiche. Fonte: Rambus
Implementazione delle protezioni
Dato un tipico ambiente di elaborazione AI, quindi, sono necessari diversi passaggi per bloccare le operazioni. Iniziano con un hardware radice di fiducia (HRRoT).
Un HRoT è un ambiente affidabile e opaco in cui è possibile eseguire operazioni sicure come l'autenticazione e la crittografia senza esporre le chiavi o altri segreti utilizzati. Potrebbe essere un componente critico di un TEE. Di solito sono associati a un processore in un'architettura classica, ma qui in genere c'è più di un elemento di elaborazione.
In particolare, i nuovi chip hardware dedicati all'elaborazione dell'IA non hanno funzionalità di root of trust integrate. "Molti progetti recenti di acceleratori AI/ML, in particolare da parte delle startup, si sono concentrati principalmente sull'integrazione dell'elaborazione NPU più ottimale", ha spiegato Stevens in un'intervista di follow-up. "La sicurezza non era l'obiettivo principale, o non era nel loro radar."
Ciò significa che un sistema dovrà fornire un HRoT altrove e ci sono un paio di opzioni per questo.
Un approccio, incentrato sui dati in uso, consiste nell'attribuire a ciascun elemento di elaborazione, ad esempio il chip host e il chip dell'acceleratore, il proprio HRoT. Ciascun HRoT gestirebbe le proprie chiavi ed eseguirà operazioni sotto la direzione del processore associato. Possono essere integrati in modo monolitico nei SoC, anche se attualmente non è il caso dei processori neurali.
L'altra opzione, che si concentra sui dati in movimento, è fornire un HRoT alla connessione di rete per garantire che tutti i dati che entrano nella scheda siano puliti. "Per i dati in movimento, i requisiti di throughput sono estremamente elevati, con requisiti di latenza molto bassi", ha affermato Stevens. "I sistemi utilizzano chiavi temporanee, poiché in genere funzionano con chiavi di sessione".
"Per l'autenticazione, un blade dovrebbe ottenere un numero identificativo, che non deve necessariamente essere tenuto segreto”, ha continuato. “Deve solo essere unico e immutabile. Possono essere molti ID, uno per ogni chip o uno per la lama o l'appliance stesso".
Questi HRoT esterni potrebbero non essere necessari quando la sicurezza è integrata nelle future unità di elaborazione neurale (NPU). "Alla fine, quando le prove iniziali del concetto di NPU delle startup hanno dimostrato di avere successo, l'architettura del loro secondo giro di questi progetti avrà capacità di base di fiducia, che avranno più capacità crittografiche per gestire i carichi di lavoro più grandi", ha aggiunto Stevens.
Anche i dati che si spostano dalla SRAM alla DRAM, o viceversa, dovrebbero essere crittografati per garantire che non possano essere spiati. Lo stesso si applicherebbe a qualsiasi connessione laterale diretta a una scheda vicina.
Con così tanta crittografia incorporata in un calcolo già intenso, si corre il rischio di impantanare l'operazione. Il funzionamento sicuro è fondamentale, ma non serve a nessuno se paralizza l'operazione stessa.
"La rete o il collegamento PCI Express al fabric dovrebbero essere protetti inserendo un motore di pacchetti di sicurezza sensibile al protocollo L2 o L3 ad alto throughput", ha aggiunto Stevens. "Un tale motore di pacchetti richiede poco supporto dalla CPU."
Questo può valere anche per la crittografia del traffico da blade a blade e della memoria. "I contenuti della CPU DDR del gateway e dei GDDR dell'acceleratore AI locale possono essere protetti da un motore di crittografia della memoria in linea", ha affermato. “Se esiste un canale laterale da lama a lama dedicato, può essere protetto da AES-GCM ad alto rendimento [Galois/Contatore] acceleratori di crittografia dei collegamenti.
Infine, le protezioni di sicurezza standard possono essere rafforzate da un monitoraggio continuo che tiene traccia del funzionamento effettivo. "È necessario raccogliere informazioni dall'hardware in grado di dire come si sta comportando il sistema", ha affermato Panesar. “Questo deve essere statistico in tempo reale, istantaneo e a lungo termine. Deve anche essere comprensibile (da un essere umano o da una macchina) e attuabile. I dati di temperatura, tensione e temporizzazione vanno tutti molto bene, ma sono necessarie anche informazioni di livello superiore e più sofisticate".
Ma questo non sostituisce una sicurezza rigorosa. "L'obiettivo è identificare i problemi che potrebbero eludere le protezioni di sicurezza convenzionali, ma non è un sostituto di tale protezione", ha aggiunto.
Duro lavoro avanti
Questi elementi non sono necessariamente semplici da implementare. Ciò richiede un duro lavoro. "La resilienza, la capacità di aggiornare in modo sicuro un sistema e la capacità di riprendersi da un attacco riuscito sono sfide reali", ha osservato Mike Borza, architetto di sicurezza IP di Synopsys. "Costruire sistemi di questo tipo è molto, molto difficile."
Ma poiché l'elaborazione dell'intelligenza artificiale diventa sempre più di routine, gli ingegneri che non sono specialisti nella modellazione dei dati o nella sicurezza si rivolgeranno sempre più ai servizi di machine learning mentre utilizzano l'IA nelle loro applicazioni. Devono poter contare sull'infrastruttura, prendendosi cura dei loro dati importanti in modo che i modelli e i calcoli che utilizzeranno per differenziare i loro prodotti non finiscano nelle mani sbagliate.
Leggi Anche
Compromessi di sicurezza nei chip e nei sistemi di intelligenza artificiale
Esperti al tavolo: in che modo la sicurezza influisce su potenza e prestazioni, perché i sistemi di intelligenza artificiale sono così difficili da proteggere e perché la privacy è una considerazione crescente.
Bit di ricerca sulla sicurezza
Nuovi documenti tecnici sulla sicurezza presentati all'USENIX Security Symposium del 21 agosto.
Sempre acceso, sempre a rischio
I problemi di sicurezza dei chip aumentano con più elementi di elaborazione, riattivazione automatica, aggiornamenti over-the-air e maggiore connettività.
Centro di conoscenza della sicurezza
Storie principali, white paper, blog, video sulla sicurezza dell'hardware
Centro di conoscenza dell'IA
Fonte: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- acceleratore
- acceleratori
- accesso
- Il mio account
- attivo
- aggiuntivo
- Accordo
- AI
- Addestramento AI
- Algoritmi
- Tutti
- Consentire
- Applicazioni
- applicazioni
- architettura
- RISERVATA
- Attività
- attacchi
- AGOSTO
- autentico
- Autenticazione
- fatturazione
- LAMA
- blog
- tavola
- violazione
- bug
- che
- Causare
- canali
- patata fritta
- Chips
- Cloud
- il cloud computing
- codice
- Aziende
- conformità
- componente
- informatica
- veloce
- Connettività
- testuali
- Coppia
- dati
- Banca dati
- data center
- trattare
- Offerte
- Design
- sviluppatori
- Direttore
- disturbare
- guida
- bordo
- Efficace
- crittografia
- Ingegneri
- Ambiente
- usate
- Europa
- esecuzione
- Espandere
- sicurezza extra
- estrazione
- tessuto
- Fico
- Infine
- Nome
- Cromatografia
- Focus
- futuro
- GDPR
- buono
- Enti Pubblici
- Crescita
- Crescita
- pirateria informatica
- Manovrabilità
- Hardware
- hashing
- qui
- Alta
- di hosting
- Come
- HTTPS
- identificare
- industria
- informazioni
- Infrastruttura
- proprietà intellettuale
- Colloquio
- coinvolto
- IP
- IT
- Lavoro
- Offerte di lavoro
- Le
- Tasti
- conoscenze
- grandi
- apprendimento
- Limitato
- LINK
- locale
- macchine
- il malware
- gestione
- Manipolazione
- Marketing
- Matrice
- medicale
- ML
- modello
- modellismo
- monitoraggio
- Rete
- Neurale
- Operazioni
- Opzione
- Opzioni
- Altro
- Altri
- performance
- piattaforma
- veleno
- pool
- energia
- presenti
- prevenzione
- Privacy
- un bagno
- Prodotto
- Prodotti
- proprietà
- protegge
- protezione
- Profilo razziale
- radar
- Radiazione
- aumentare
- gamma
- tempo reale
- motivi
- Recuperare
- Regolamento
- normativa
- Requisiti
- riparazioni
- Risorse
- REST
- Risultati
- Rischio
- norme
- sicura
- Scalabilità
- problemi di
- Security Operations
- Servizi
- condiviso
- Un'espansione
- So
- Software
- Soluzioni
- Spin
- standard
- inizia a
- Startup
- stati
- rubare
- Storie
- di successo
- supporto
- sistema
- SISTEMI DI TRATTAMENTO
- Consulenza
- furto
- tempo
- pista
- traffico
- Training
- Affidati ad
- Unito
- Stati Uniti
- Aggiornanento
- Aggiornamenti
- utenti
- Video
- virtuale
- OMS
- wikipedia
- entro
- Lavora