הצורך באבטחה חודר בכל המערכות האלקטרוניות. אבל בהתחשב בגידול במחשוב למידת מכונה במרכז הנתונים, העוסק בנתונים בעלי ערך רב, חברות מסוימות מקדישות תשומת לב מיוחדת לטיפול בנתונים אלה בצורה מאובטחת.
יש ליישם את כל פתרונות האבטחה הרגילים של מרכז הנתונים, אך נדרש מאמץ נוסף כדי להבטיח שדגמים וערכות נתונים מוגנים בעת אחסון, הן בעת העברה ללהבי מאיץ וממנו, והן בעת עיבוד במערכת המארחת יותר מדייר אחד בו-זמנית בתוך אותו שרת.
"מודלים של הסקה, אלגוריתמים להסקת מסקנות, מודלים של אימון ומערך נתוני אימון נחשבים לקניין רוחני בעל ערך וצריכים הגנה - במיוחד מכיוון שנכסים יקרי ערך אלו מועברים למרכזי נתונים לצורך עיבוד במשאבים משותפים", אמר בארט סטיבנס, מנהל בכיר לשיווק מוצרים עבור IP אבטחה ב רמבוס, במצגת לאחרונה.
כל התעסקות בנתוני אימון בינה מלאכותית עלולה לגרום ליצירת מודל פגום. וכל שינוי במודל מיומן היטב יכול לגרום למסקנות שגויות המתקבלות על ידי מנוע הבינה המלאכותית. "כל שלושת סוגי הלמידה העיקריים (בפיקוח, ללא פיקוח וחיזוק) משתמשים בחישובים משוקללים כדי להפיק תוצאה", אמר גאג'ינדר פאנסאר, עמית ב- סימנס EDA. "אם השקלולים האלה מיושנים, מושחתים או מבולבלים, אז התוצאה יכולה להיות תוצאה שפשוט לא נכונה."
ההשלכות של התקפה על עומס עבודה בינה מלאכותית יהיו תלויות באפליקציה, אך התוצאה לעולם לא תהיה טובה. השאלה היחידה היא אם זה יגרום לנזק חמור או לפציעה.
בעוד שהתקפות הן המוקד העיקרי להגנה, הן לא תחומי הדאגה היחידים. "ה'איומים' מתחלקים לשתי קטגוריות רחבות - התערבות מכוונת של שחקן גרוע ובעיות לא מכוונות, שבדרך כלל אפשר לחשוב עליהן כבאגים, בין אם בחומרה ובין אם בתוכנה", אמר Panesar.
הקרן הביטחונית
יש מושגי אבטחה בסיסיים החלים על כל סביבת מחשוב, ומחשוב AI אינו יוצא דופן. אמנם יש להקדיש תשומת לב מיוחדת להיבטים מסוימים של עומס עבודה בינה מלאכותית, אך לא רק עומס העבודה הזה חייב להיות מוגן. "עלינו לחשוב על שלמות הפעולה של המערכת כולה, לא רק על השבב המסוים או תת-המערכת על השבב שאנו עוסקים בו", אמר Panesar.
כפי שתואר על ידי סטיבנס, ישנם ארבעה היבטים של אבטחה שיש לטפל בהם. ראשית, הנתונים והמחשוב חייבים להישמר פרטיים. שנית, לא אמור להיות אפשרי לתוקף לשנות כל אחד מהנתונים בכל מקום ובכל זמן. שלישית, כל הישויות המשתתפים במחשוב חייבות להיות ידועות כאותנטיות. ורביעית, לא אמור להיות אפשרי לתוקף להפריע לפעולה הרגילה של פלטפורמת המחשוב.
זה מוביל לכמה מושגי אבטחה בסיסיים שבתקווה יהיו מוכרים לכל מי שעוסק בתכנון מערכת מאובטחת. הראשון שבהם הוא הגנה על נתונים בשלושה שלבים:
1. נתונים במנוחה, הכוללים כל נתונים מאוחסנים;
2. נתונים בתנועה כפי שהם מועברים ממקום אחד למשנהו, וכן
3. נתונים בשימוש, הפעילים וחיים בפלטפורמת המחשוב תוך כדי העבודה.
דרישה מוכרת נוספת היא סביבת הביצוע המהימנה (TEE). זוהי סביבת מחשוב המוגבלת לתוכנות מהימנות מאוד ונגישה לשאר פלטפורמת המחשוב רק דרך ערוצים מבוקרים ומהימנים. כל חומרה קריטית או נכס אחר שלא ניתן להתפשר עליהם יוצבו בסביבה זו ולא יהיו נגישים ישירות מחוץ ל-TEE.
ה-TEE מספק דרך בסיסית לטיפול בפעולות אבטחה קריטיות באופן שהרבה פחות נתון להפרעות של תוכנות חיצוניות. זה שומר על תוכנת יישומים נפרדת מפעולות אבטחה ברמה נמוכה יותר. הוא גם מנהל את תהליך האתחול כדי להבטיח שהוא ימשיך בצורה מאובטחת ואמינה, ותופס כל ניסיונות לאתחל קוד לא אותנטי.
יש מגוון רחב של פעולות הנדרשות למחשוב מאובטח. אימות מבטיח שישויות שאיתם מתקשרים הם באמת מי שהם אומרים שהם. ההצפנה שומרת על הנתונים מפני עיניים סקרניות. תוכנה וחפצי נתונים אחרים יכולים להוכיח את מקורם על ידי פעולות hashing וחתימה. וכל הפונקציות הללו דורשות מפתחות בעלי חוזק מספיק כדי להגן מפני פריצת כוח גס, וזה הופך אספקת מפתח וניהול יעילים לחיוניים.
הגנות נוספות מסופקות על ידי הבטחת TEEs ומעגלי אבטחה קריטיים אחרים מוגנים מפני ניסיונות פריצה או שיבוש פעולה. יש להגן על ערוצי צד כדי להבטיח שאין דרך לחטט בנתונים או מפתחות על ידי מדידת חפצים אלקטרוניים הניתנים לזיהוי חיצוני כמו חשמל או קרינה אלקטרומגנטית.
ולבסוף, ניתן לספק שכבת הגנה נוספת על ידי מעגלים המנטרים את ההתרחשויות הפנימיות כדי להעלות התראה אם נראה שמשהו חשוד מתנהל.
יישום זה ספציפית על AI
שמירה על עומסי עבודה של בינה מלאכותית מתחילה בדרישות האבטחה הבסיסיות הללו, בין אם מדובר בהדרכה ובין אם בהסקת מסקנה, ובין אם עושים זאת במרכז נתונים, בשרת מקומי או בציוד קצה. אבל יש שיקולים נוספים ספציפיים לעומסי עבודה של AI שיש לקחת בחשבון.
"ישומי AI מאובטחים נדרשים כדי למנוע מיצוי או גניבה של אלגוריתמי הסקה, מודלים ופרמטרים, אלגוריתמי אימון ומערכות אימון", הסביר סטיבנס. "משמעות הדבר היא גם מניעת החלפה לא מכוונת של נכסים אלה באלגוריתמים זדוניים או מערכי נתונים. זה ימנע הרעלת המערכת כדי לשנות את תוצאות ההסקה, ולגרום לסיווג שגוי".
ארכיטקטורות החומרה החדשות של עיבוד הבינה המלאכותית מספקות חלק נוסף של המערכת שזקוק להגנה. "לב המערכת הוא ללא ספק מערך שבבי האצה החזקים, החל מקומץ ועד למטריצה גדולה של יחידות עיבוד AI ייעודיות עם מאגר זיכרון משלהן ועם משימה אחת בלבד, שהיא לעבד כמה שיותר נתונים ב- מסגרת הזמן הקצרה ביותר", ציין סטיבנס.
מעצבים חייבים קודם כל לתת את הדעת על הנכסים הספציפיים שזקוקים להגנה. הברור ביותר הוא חומרת ההכשרה או ההסקה. "בדרך כלל רואים על להבים מעבד שער, עם פלאש ייעודי ו-DDR", אמר סטיבנס. "המשימה שלה היא לנהל מודלים, להוסיף את הנכסים. ושליטה במאיצים. ואז יש את החיבור למארג - רשת מהירה או ממשקי PCIe-4 או -5. לחלק מהלהבים יש גם קישורים בין-להבים קנייניים."
איור 1: להב בינה מלאכותית כללית למרכז נתונים. בנוסף למעבד הרגיל, הזיכרון הדינמי וחיבור הרשת, המאיצים יעשו את המטלה הכבדה, בסיוע SRAM פנימי. מקור: רמבוס
בנוסף, ישנם סוגים שונים של נתונים שיש להגן עליהם, ואלה תלויים אם הפעולה היא אימון או הסקה. בעת אימון מודל, יש להגן על דגימות נתוני האימון והמודל הבסיסי המתאמן. כאשר מסיקים, המודל המאומן, כל המשקולות, נתוני הקלט ותוצאות הפלט זקוקים להגנה.
מבחינה תפעולית, זהו תחום חדש שמתפתח במהירות, ולכן סביר להניח שניפוי באגים. כל ניפוי באגים חייב להתבצע בצורה מאובטחת - וכל יכולות ניפוי באגים חייבות להיות מושבתות כאשר אינן בשימוש מאומת.
ושינויים בקוד או בכל אחד מהנכסים האחרים חייבים להיות מסופקים בעדכונים מאובטחים היטב. בפרט, סביר להניח שהדגמים ישתפרו עם הזמן. אז חייבת להיות דרך להחליף גרסאות ישנות בחדשות יותר, ובו בזמן לא לאפשר לאף אדם לא מורשה להחליף דגם תקף בדגם לא אותנטי.
"עדכוני קושחה מאובטחים, כמו גם היכולת להיות מסוגלים לנפות באגים במערכת בצורה מאובטחת, הופכים להיות הימורים שולחן בימים אלה", ציין סטיבנס.
סיכונים של פרצות מידע
זה די ברור שיש להגן על הנתונים מפני גניבה. כל גניבה כזו היא ללא ספק הפרת סודיות, אבל ההשלכות של זה חמורות עוד יותר כאשר מדובר בתקנות ממשלתיות. דוגמאות לרגולציה כזו הם כללי ה-GDPR באירופה וכללי הבריאות של HIPAA בארצות הברית.
אבל בנוסף לגניבה מוחלטת, גם מניפולציה של הנתונים מעוררת דאגה. נתוני אימון, למשל, יכולים להשתנות או כאמצעי לגילוי סוד כלשהו או פשוט כדי להרעיל את האימון כך שהמודל שיתקבל יעבוד בצורה גרועה.
חלק גדול מהמחשוב - במיוחד בעת אימון מודל - יתרחש במרכז נתונים, וזה עשוי לכלול שרתי ריבוי דיירים לתפעול בעלות נמוכה יותר. "יותר חברות וצוותים מסתמכים על משאבי מחשוב ענן משותפים ממגוון סיבות, בעיקר לצורך מדרגיות ועלות", ציינה דנה נוישטטר, מנהלת שיווק מוצר בכירה לאבטחת IP ב- סינופסיס.
זה אומר שמספר עבודות מתקיימות במקביל על אותה חומרה. ובכל זאת, עבודות אלו חייבות להתבצע בצורה מאובטחת לא פחות מאשר אילו היו בשרתים נפרדים. הם חייבים להיות מבודדים על ידי תוכנה באופן שמונע מכל דבר - נתונים או אחר - לדלוף מעבודה אחת לאחרת.
"העברת המחשוב לענן יכולה להביא לסיכוני אבטחה פוטנציאליים כשהמערכת כבר לא בשליטתך", אמר נוישטטר. "בין אם הם טועים או זדוניים, הנתונים של משתמש אחד יכולים להיות תוכנות זדוניות של משתמש אחר. המשתמשים צריכים לסמוך על ספק הענן שיעמוד בתקני תאימות, יבצע הערכות סיכונים, ישלוט בגישה למשתמשים וכן הלאה."
Containerization בדרך כלל עוזר לבודד תהליכים בסביבת ריבוי דיירים, אך עדיין ייתכן שתהליך סורר אחד ישפיע על אחרים. "בעיה שגורמת לאפליקציה למשאבי עיבוד חזירים עלולה להשפיע על דיירים אחרים", ציין Panesar. "זה חשוב במיוחד בסביבות קריטיות כמו דיווח רפואי, או בכל מקום שלדיירים יש SLA מחייב (הסכם רמת שירות)."
לבסוף, למרות שזה עשוי שלא להשפיע על התוצאה הספציפית של חישוב או סודיות של נתונים, פעולות מרכז הנתונים חייבות להבטיח שפעולות מנהליות בטוחות מפני התעסקות. "אבטחה צריכה להיות נוכחת גם כדי להבטיח חיוב נאות של שירותים וכדי למנוע שימוש לא אתי, כגון פרופיל גזעי", ציין סטיבנס.
תקנים חדשים יעזרו למפתחים להבטיח שהם מכסים את כל הבסיסים הדרושים.
"התעשייה מפתחת סטנדרטים כמו אבטחת ממשק PCIe, כאשר ה-PCI-SIG מניע מפרט שלמות והצפנת נתונים (IDE), משלימים על ידי מדידת רכיבים ואימות (CMA) ו-I/O מהימן לביצוע (TEE-I/ O)", אמר נוישטדר. "פרוטוקול האבטחה של ממשק המכשיר הניתן להקצאה (ADISP) ופרוטוקולים אחרים מרחיבים את יכולות הווירטואליזציה של המכונות הוירטואליות המהימנות המשמשות לשמירה על עומסי עבודה מחשוב סודיים מבודדים מסביבות אירוח, מגובה באימות חזק וניהול מפתחות."
איור 2: מחשוב בינה מלאכותית כולל מספר נכסים, ולכל אחד יש צרכי אבטחה ספציפיים. מקור: רמבוס
יישום הגנות
בהתחשב בסביבת מחשוב בינה מלאכותית טיפוסית, אם כן, ישנם מספר צעדים שיש לנקוט כדי לנעול פעולות. הם מתחילים עם חומרה שורש של אמון (HRoT).
HRoT היא סביבה אמינה ואטומה שבה ניתן לבצע פעולות מאובטחות כמו אימות והצפנה מבלי לחשוף את המפתחות או סודות אחרים שבהם נעשה שימוש. זה יכול להיות מרכיב קריטי ב-TEE. בדרך כלל הם משויכים למעבד בארכיטקטורה קלאסית, אבל כאן יש בדרך כלל יותר מאלמנט עיבוד אחד.
במיוחד, לשבבי החומרה החדשים יותר המוקדשים לעיבוד בינה מלאכותית אין יכולות מובנות של שורש אמון. "תכנוני מאיץ AI/ML רבים לאחרונה - במיוחד על ידי סטארט-אפים - התמקדו בעיקר בהשגת עיבוד ה-NPU האופטימלי ביותר על הסיפון", הסביר סטיבנס בראיון המשך. "אבטחה לא הייתה המוקד העיקרי, או לא הייתה על הרדאר שלהם".
זה אומר שמערכת תצטרך לספק HRoT במקום אחר, ויש כמה אפשרויות לכך.
גישה אחת, המתמקדת בנתונים בשימוש, היא לתת לכל אלמנט מחשוב - השבב המארח ושבב המאיץ, למשל - HRoT משלו. כל HRoT יטפל במפתחות שלו ויבצע פעולות בכיוון המעבד המשויך לו. הם עשויים להיות משולבים באופן מונוליטי ב-SoCs, אם כי זה לא המקרה כרגע עבור מעבדים עצביים.
האפשרות האחרת, המתמקדת בנתונים בתנועה, היא לספק HRoT בחיבור הרשת כדי להבטיח שכל הנתונים הנכנסים ללוח נקיים. "עבור נתונים בתנועה, דרישות התפוקה הן גבוהות ביותר, עם דרישות חביון נמוכות מאוד", אמר סטיבנס. "המערכות משתמשות במפתחות ארעיים, מכיוון שהן פועלות בדרך כלל עם מפתחות הפעלה."
"למען אימות, להב יצטרך לקבל מספר זיהוי, מה שלא בהכרח צריך להישמר בסוד", המשיך. "זה רק צריך להיות ייחודי ובלתי ניתן לשינוי. זה יכול להיות מספר זיהויים, אחד לכל שבב, או אחד עבור הלהב או המכשיר עצמו."
ייתכן שלא יהיה צורך ב-HRoTs חיצוניים אלה כאשר האבטחה מובנית ביחידות עיבוד עצביות עתידיות (NPUs). "בסופו של דבר, כאשר הוכחו הוכחות ה-NPU הראשוניות של הסטארט-אפים כמוצלחות, לארכיטקטורת הספין השני של העיצובים הללו יהיו יכולות שורש של אמון בהן, שיהיו להן יכולות קריפטוגרפיות רבות יותר להתמודד עם עומסי העבודה הגדולים יותר." הוסיף סטיבנס.
גם נתונים העוברים מ-SRAM ל-DRAM, או להיפך, צריכים להיות מוצפנים כדי להבטיח שלא ניתן יהיה לחטט בהם. אותו הדבר יחול על כל חיבור צד ישיר ללוח שכן.
עם כל כך הרבה הצפנה מוטבעת בחישוב אינטנסיבי ממילא, אדם מסתכן בפעולה תקועה. פעולה מאובטחת היא קריטית, אבל היא לא משרתת אף אחד אם היא משביתה את הפעולה עצמה.
"יש להגן על הרשת או הקישור PCI Express למארג על ידי הכנסת מנוע מנות אבטחה בעל תפוקה גבוהה L2 או L3 פרוטוקול", הוסיף סטיבנס. "מנוע מנות כזה דורש מעט תמיכה מהמעבד."
זה יכול לחול גם על זיכרון והצפנת תעבורה בין להב ללהב. "התוכן של ה-gateway CPU DDR ו-GDDRs של מאיץ AI מקומי יכול להיות מוגן על ידי מנוע הצפנת זיכרון מוטבע", אמר. "אם קיימת ערוץ צד ייעודי בין להב ללהב, ניתן להגן עליו באמצעות AES-GCM בעל תפוקה גבוהה [מצב גלואה/מונה] מאיצי הצפנת קישורים."
לבסוף, ניתן לתמוך בהגנות אבטחה סטנדרטיות על ידי ניטור מתמשך שעוקב אחר הפעולה בפועל. "אתה צריך לאסוף מידע מהחומרה שיכול לספר לך איך המערכת מתנהגת", אמר Panesar. "זה צריך להיות בזמן אמת, מיידי וסטטיסטי לטווח ארוך. זה גם צריך להיות מובן (בין אם על ידי אדם או מכונה) וניתן לפעולה. נתוני טמפרטורה, מתח ותזמון טובים מאוד, אבל אתה גם צריך מידע ברמה גבוהה יותר ומתוחכם יותר."
אבל זה לא תחליף לאבטחה קפדנית. "המטרה היא לזהות בעיות שעלולות לחמוק מהגנות אבטחה קונבנציונליות - אבל זה לא תחליף להגנה כזו", הוסיף.
עבודה קשה לפנינו
אלמנטים אלה אינם בהכרח פשוטים ליישום. זה דורש עבודה קשה. "גמישות, היכולת לעדכן מערכת בצורה מאובטחת והיכולת להתאושש מהתקפה מוצלחת הם אתגרים אמיתיים", ציין מייק בורזה, ארכיטקט IP אבטחה בסינופסיס. "בניית מערכות כאלה היא מאוד מאוד קשה."
אבל ככל שמחשוב בינה מלאכותית הופך ליותר ויותר שגרתי, מהנדסים שאינם מומחים במודלים או אבטחה של נתונים יפנו יותר ויותר לשירותי ML בזמן שהם מעבדים AI לתוך היישומים שלהם. הם צריכים להיות מסוגלים לסמוך על התשתית, לטפל היטב בנתונים החשובים שלהם כדי שהמודלים והחישובים שבהם הם ישתמשו כדי להבדיל את המוצרים שלהם לא יגיעו לידיים הלא נכונות.
מוצרים מקושרים
פשרות אבטחה במערכות שבבים ובינה מלאכותית
מומחים לשולחן: כיצד אבטחה משפיעה על כוח וביצועים, מדוע מערכות AI כל כך קשות לאבטחה ומדוע פרטיות היא שיקול הולך וגדל.
סיביות מחקר אבטחה
מאמרים טכניים אבטחה חדשים שהוצגו בסימפוזיון האבטחה USENIX ב-21 באוגוסט.
תמיד פועל, תמיד בסיכון
חששות אבטחת השבבים עולים עם יותר רכיבי עיבוד, השכמה אוטומטית, עדכונים באוויר וקישוריות רבה יותר.
מרכז ידע אבטחה
סיפורים מובילים, מסמכים לבנים, בלוגים, סרטונים על אבטחת חומרה
מרכז ידע בינה מלאכותית
מקור: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- מאיץ
- מאיצים
- גישה
- חֶשְׁבּוֹן
- פעיל
- נוסף
- הסכם
- AI
- אימון AI
- אלגוריתמים
- תעשיות
- מאפשר
- בקשה
- יישומים
- ארכיטקטורה
- AREA
- נכסים
- המתקפות
- אוגוסט
- אוֹתֶנְטִי
- אימות
- חיוב
- להב
- בלוגים
- לוּחַ
- הפרה
- באגים
- אשר
- לגרום
- ערוצים
- שבב
- שבבי
- ענן
- ענן מחשוב
- קוד
- חברות
- הענות
- רְכִיב
- מחשוב
- הקשר
- קישוריות
- תוכן
- זוג
- נתונים
- מרכז נתונים
- מרכז נתונים
- התמודדות
- דילים
- עיצוב
- מפתחים
- מְנַהֵל
- לשבש
- נהיגה
- אדג '
- אפקטיבי
- הצף
- מהנדסים
- סביבה
- ציוד
- אירופה
- הוצאת להורג
- לְהַרְחִיב
- ביטחון נוסף
- הוֹצָאָה
- בד
- תאנה
- בסופו של דבר
- ראשון
- פלאש
- להתמקד
- עתיד
- GDPR
- טוב
- ממשלה
- גדל
- צמיחה
- פריצה
- טיפול
- חומרה
- has has
- כאן
- גָבוֹהַ
- אירוח
- איך
- HTTPS
- לזהות
- תעשייה
- מידע
- תשתית
- קניין רוחני
- ראיון אישי
- מעורב
- IP
- IT
- עבודה
- מקומות תעסוקה
- מפתח
- מפתחות
- ידע
- גָדוֹל
- למידה
- מוגבל
- קשר
- מקומי
- מכונה
- תוכנות זדוניות
- ניהול
- מניפולציה
- שיווק
- מַטרִיצָה
- רפואי
- ML
- מודל
- דוגמנות
- ניטור
- רשת
- עצביים
- תפעול
- אפשרות
- אפשרויות
- אחר
- אחרים
- ביצועים
- פלטפורמה
- רעל
- בריכה
- כּוֹחַ
- להציג
- מניעה
- פְּרָטִיוּת
- פְּרָטִי
- המוצר
- מוצרים
- רכוש
- להגן
- .
- פרופיל גזעני
- מכ"ם
- קרינה
- להעלות
- רכס
- זמן אמת
- סיבות
- להחלים
- תקנה
- תקנון
- דרישות
- מחקר
- משאבים
- REST
- תוצאות
- הסיכון
- כללי
- בטוח
- בקרת מערכות ותקשורת
- אבטחה
- פעולות אבטחה
- שירותים
- משותף
- פָּשׁוּט
- So
- תוכנה
- פתרונות
- לְסוֹבֵב
- תקנים
- התחלה
- חברות סטארט
- הברית
- גָנוּב
- סיפורים
- מוצלח
- תמיכה
- מערכת
- מערכות
- טכני
- גְנֵבָה
- זמן
- לעקוב
- תְנוּעָה
- הדרכה
- סומך
- מאוחד
- ארצות הברית
- עדכון
- עדכונים
- משתמשים
- וידאו
- וירטואלי
- מי
- ויקיפדיה
- בתוך
- תיק עבודות