Behovet for sikkerhet gjennomsyrer alle elektroniske systemer. Men gitt veksten innen maskinlæring i datasenter, som omhandler ekstremt verdifulle data, er noen selskaper spesielt oppmerksomme på å håndtere disse dataene på en sikker måte.
Alle de vanlige datasentersikkerhetsløsningene må tas i bruk, men det kreves ekstra innsats for å sikre at modeller og datasett er beskyttet når de lagres, både når de overføres til og fra akseleratorblader, og når de behandles på et system som er vert for mer enn én leietaker samtidig innenfor samme server.
"Inferensmodeller, slutningsalgoritmer, treningsmodeller og opplæringsdatasett anses som verdifull intellektuell eiendom og trenger beskyttelse - spesielt siden disse verdifulle eiendelene blir overlevert til datasentre for behandling på delte ressurser," sa Bart Stevens, seniordirektør for produktmarkedsføring. for sikkerhets-IP på Rambus, i en nylig presentasjon.
Enhver tukling med AI-treningsdata kan føre til at det lages en defekt modell. Og eventuelle endringer i en godt trent modell kan resultere i feil konklusjoner som trekkes av AI-motoren. "Alle tre hovedtypene for læring (overvåket, uovervåket og forsterkning) bruker vektede beregninger for å produsere et resultat," sa Gajinder Panesar, stipendiat ved Siemens EDA. "Hvis disse vektingene er foreldede, ødelagte eller tuklet med, kan resultatet bli et resultat som rett og slett er feil."
Implikasjonene av et angrep på en AI-arbeidsmengde vil avhenge av applikasjonen, men resultatet vil aldri bli bra. Spørsmålet er bare om det vil forårsake alvorlig skade eller skade.
Selv om angrep er hovedfokuset for beskyttelse, er de ikke de eneste bekymringsområdene. "Truslene" faller inn i to brede kategorier - tilsiktet forstyrrelse fra en dårlig skuespiller og utilsiktede problemer, som vanligvis kan betraktes som feil, enten i maskinvaren eller programvaren," sa Panesar.
Sikkerhetsstiftelsen
Det er grunnleggende sikkerhetsbegreper som gjelder for ethvert datamiljø, og AI-databehandling er intet unntak. Mens spesiell oppmerksomhet må rettes mot visse aspekter av en AI-arbeidsbelastning, er det ikke bare den arbeidsbelastningen som må beskyttes. "Vi må tenke på integriteten til driften av hele systemet, ikke bare den spesielle brikken eller undersystemet på brikken vi har å gjøre med," sa Panesar.
Som skissert av Stevens, er det fire aspekter ved sikkerhet som må håndteres. For det første må dataene og databehandlingen holdes private. For det andre skal det ikke være mulig for en angriper å endre noen av dataene hvor som helst når som helst. For det tredje må alle enheter som deltar i databehandlingen være kjent for å være autentiske. Og for det fjerde skal det ikke være mulig for en angriper å forstyrre den normale driften av dataplattformen.
Dette fører til noen grunnleggende sikkerhetskonsepter som forhåpentligvis vil være kjent for alle som er involvert i design av sikre system. Den første av disse er beskyttelse av data i tre faser:
1. Data i hvile, som inkluderer alle lagrede data;
2. Data i bevegelse når de kommuniseres fra ett sted til et annet, og
3. Data i bruk, som er aktive og levende i dataplattformen mens det jobbes med det.
Nok et kjent krav er det pålitelige utførelsesmiljøet (TEE). Dette er et datamiljø begrenset til svært pålitelig programvare og kun tilgjengelig for resten av dataplattformen gjennom svært kontrollerte og pålitelige kanaler. Eventuell kritisk maskinvare eller andre eiendeler som ikke kan kompromitteres vil bli plassert i dette miljøet og vil ikke være direkte tilgjengelig utenfor TEE.
TEE gir en grunnleggende måte å håndtere kritiske sikkerhetsoperasjoner på en måte som er langt mindre utsatt for forstyrrelser fra ekstern programvare. Den holder applikasjonsprogramvare atskilt fra sikkerhetsoperasjoner på lavere nivå. Den administrerer også oppstartsprosessen for å sikre at den fortsetter sikkert og pålitelig, og fanger opp eventuelle forsøk på å starte opp uautentisk kode.
Det er et bredt spekter av operasjoner som kreves for sikker databehandling. Autentisering sikrer at enheter som man kommuniserer med virkelig er den de sier de er. Kryptering beskytter data mot nysgjerrige øyne. Programvare og andre dataartefakter kan godkjennes for opprinnelse ved hashing og signering. Og alle disse funksjonene krever nøkler med tilstrekkelig styrke til å beskytte mot brute force-hacking, og det gjør effektiv nøkkeltilførsel og -administrasjon avgjørende.
Ytterligere beskyttelse er gitt ved å sikre at TEE-er og andre kritiske sikkerhetskretser er beskyttet mot forsøk på enten å bryte seg inn eller forstyrre driften. Sidekanaler må beskyttes for å sikre at det ikke er mulig å snoke data eller nøkler ved å måle eksternt detekterbare elektroniske artefakter som strøm eller elektromagnetisk stråling.
Og til slutt, et ytterligere lag med beskyttelse kan gis av kretser som overvåker de interne handlingene for å varsle hvis noe mistenkelig ser ut til å være på gang.
Bruker dette spesifikt på AI
Å holde AI-arbeidsbelastninger sikre starter med disse grunnleggende sikkerhetskravene, enten det er opplæring eller utledning, og enten du gjør det i et datasenter, en lokal server eller i edge-utstyr. Men det er flere hensyn som er spesifikke for AI-arbeidsbelastninger som må tas i betraktning.
"Sikker AI-implementering er nødvendig for å forhindre utvinning eller stjeling av inferensalgoritmer, modeller og parametere, treningsalgoritmer og treningssett," forklarte Stevens. "Dette ville også bety å forhindre utilsiktet erstatning av disse eiendelene med ondsinnede algoritmer eller datasett. Dette ville unngå å forgifte systemet for å endre konklusjonsresultatene og forårsake feilklassifisering.»
De nye maskinvarearkitekturene for AI-behandling gir en annen del av systemet som trenger beskyttelse. "Hjertet i systemet er åpenbart utvalget av kraftige akseleratorbrikker, som strekker seg fra en håndfull til en stor matrise av dedikerte AI-behandlingsenheter med sin egen pool av minne og med bare én oppgave, som er å behandle så mye data som mulig i den korteste tidsrammen," bemerket Stevens.
Designere må først gjøre rede for de spesifikke eiendelene som trenger beskyttelse. Mest åpenbart er trenings- eller slutningsmaskinvaren. "Vanligvis sett på blader er en gateway CPU, med en dedikert blits og DDR," sa Stevens. «Dens oppgave er å administrere modeller, legge til eiendeler. og kontrollere akseleratorer. Så er det tilkoblingen til stoffet - et høyhastighetsnettverk eller PCIe-4- eller -5-grensesnitt. Noen blader har også proprietære koblinger mellom bladene.»
Fig. 1: Et generalisert AI-blad for et datasenter. I tillegg til den vanlige CPU, dynamisk minne og nettverkstilkobling, vil akseleratorer gjøre det tunge løftet, assistert av intern SRAM. Kilde: Rambus
I tillegg er det ulike typer data som skal beskyttes, og de avhenger av om operasjonen er trening eller slutning. Ved opplæring av en modell må treningsdataprøvene og grunnmodellen som trenes beskyttes. Når man konkluderer, trenger den trente modellen, alle vektene, inndataene og utdataene beskyttelse.
Operativt sett er dette et nytt område i rask utvikling, og feilsøking er derfor sannsynlig. Enhver feilsøking må utføres på en sikker måte - og eventuelle feilsøkingsfunksjoner må slås av når de ikke er i autentisert bruk.
Og endringer i kode eller noen av de andre eiendelene må leveres i godt sikre oppdateringer. Spesielt er det sannsynlig at modellene vil forbedre seg over tid. Så det må være en måte å erstatte gamle versjoner med nyere, samtidig som man ikke lar noen uvedkommende erstatte en gyldig modell med en uekte.
"Sikker fastvareoppdatering, så vel som muligheten til å kunne feilsøke systemet på en sikker måte, blir bordspill i disse dager," bemerket Stevens.
Risiko for datainnbrudd
Det er ganske åpenbart at dataene må beskyttes mot å bli stjålet. Ethvert slikt tyveri er helt klart et konfidensialitetsbrudd, men konsekvensene av det er enda mer alvorlige der myndighetsreguleringer er involvert. Eksempler på slik regulering er GDPR-reglene i Europa og HIPAA-reglene for helsetjenester i USA.
Men i tillegg til regelrett tyveri, er også manipulering av data bekymringsfullt. Treningsdata, for eksempel, kan endres enten som et middel til å finne ut en eller annen hemmelighet eller rett og slett for å forgifte treningen slik at den resulterende modellen ville fungere dårlig.
Mye av databehandlingen - spesielt når du trener en modell - vil skje i et datasenter, og det kan involvere servere med flere leietakere for rimeligere drift. "Flere selskaper og team er avhengige av delte nettsky-databehandlingsressurser av en rekke årsaker, mest for skalerbarhet og kostnader," observerte Dana Neustadter, senior produktmarkedssjef for IP-sikkerhet ved Synopsys.
Det betyr at flere jobber sameksisterer på samme maskinvare. Og likevel må disse jobbene utføres ikke mindre sikkert enn om de var på separate servere. De må isoleres av programvare på en måte som hindrer alt – data eller annet – fra å lekke fra en jobb til en annen.
"Å flytte databehandling til skyen kan medføre potensielle sikkerhetsrisikoer når systemet ikke lenger er under din kontroll," sa Neustadter. «Enten feil eller ondsinnet, kan én brukers data være en annen brukers skadevare. Brukerne må stole på at skyleverandøren oppfyller samsvarsstandarder, utfører risikovurderinger, kontrollerer brukertilgang og så videre.»
Containerisering hjelper vanligvis med å isolere prosesser i et miljø med flere leietakere, men det er fortsatt mulig for én useriøs prosess å påvirke andre. "Et problem som får en applikasjon til å hog behandlingsressurser kan påvirke andre leietakere," bemerket Panesar. "Dette er spesielt viktig i kritiske miljøer som medisinsk rapportering, eller hvor som helst hvor leietakerne har en bindende SLA (service-level agreement)."
Til slutt, selv om det kanskje ikke påvirker det spesifikke resultatet av en beregning eller konfidensialitet av data, må datasenteroperasjoner sikre at administrative operasjoner er trygge mot triksing. "Sikkerhet bør også være til stede for å sikre riktig fakturering av tjenester og for å forhindre uetisk bruk, som raseprofilering," påpekte Stevens.
Nye standarder vil hjelpe utviklere å sikre at de dekker alle nødvendige baser.
"Bransjen utvikler standarder som PCIe-grensesnittsikkerhet, med PCI-SIG som driver en spesifikasjon for integritet og datakryptering (IDE), supplert med komponentmåling og autentisering (CMA) og pålitelig utførelsesmiljø I/O (TEE-I/ O),» sa Neustadter. "Den tilordnede enhetsgrensesnittssikkerhetsprotokollen (ADISP) og andre protokoller utvider virtualiseringsmulighetene til de pålitelige virtuelle maskinene som brukes til å holde konfidensielle dataarbeidsbelastninger isolert fra vertsmiljøer, støttet av sterk autentisering og nøkkeladministrasjon."
Fig. 2: AI-databehandling involverer en rekke eiendeler, og hver har spesifikke sikkerhetsbehov. Kilde: Rambus
Implementere beskyttelse
Gitt et typisk AI-databehandlingsmiljø, er det flere trinn som må tas for å låse operasjoner. De starter med en maskinvare roten til tilliten (HRoT).
En HRoT er et pålitelig, ugjennomsiktig miljø der sikre operasjoner som autentisering og kryptering kan utføres uten å avsløre nøklene eller andre hemmeligheter som brukes. Det kan være en kritisk komponent i en TEE. De er vanligvis assosiert med en prosessor i en klassisk arkitektur, men her er det typisk mer enn ett prosesseringselement.
Spesielt de nyere maskinvarebrikkene dedikert til AI-behandling har ikke innebygde root-of-trust-funksjoner. "Mange nyere AI/ML-akseleratordesign - spesielt av startups - har hovedsakelig fokusert på å få den mest optimale NPU-behandlingen ombord," forklarte Stevens i et oppfølgingsintervju. "Sikkerhet var ikke hovedfokuset, eller var ikke på radaren deres."
Det betyr at et system må gi en HRoT andre steder, og det er et par alternativer for det.
En tilnærming, som fokuserer på data i bruk, er å gi hvert dataelement – for eksempel vertsbrikken og akseleratorbrikken – sin egen HRoT. Hver HRoT ville håndtere sine egne nøkler og utføre operasjoner i retning av den tilhørende prosessoren. De kan være monolittisk integrert på SoC-er, selv om det foreløpig ikke er tilfelle for nevrale prosessorer.
Det andre alternativet, som fokuserer på data i bevegelse, er å gi en HRoT ved nettverkstilkoblingen for å sikre at all data som kommer inn på brettet er ren. "For data i bevegelse er gjennomstrømningskravene ekstremt høye, med svært lave latenskrav," sa Stevens. "Systemene bruker flyktige nøkler, da de vanligvis fungerer med øktnøkler."
"For autentisering må et blad ha en identifikasjonsnummer, som ikke nødvendigvis trenger å holdes hemmelig, fortsatte han. "Det må bare være unikt og uforanderlig. Det kan være mange ID-er, én for hver brikke, eller én for selve bladet eller apparatet.»
Disse eksterne HRoT-ene er kanskje ikke nødvendige når sikkerhet er innebygd i fremtidige nevrale prosesseringsenheter (NPU-er). "Til slutt, når oppstartsbedriftenes innledende NPU-konseptbevis har vist seg å være vellykket, vil arkitekturen til deres andre spinn av disse designene ha rot av tillitsfunksjoner i dem, som vil ha flere kryptografiske evner for å håndtere de større arbeidsbelastningene," la Stevens til.
Data som flyttes fra SRAM til DRAM, eller omvendt, bør også krypteres for å sikre at de ikke kan snokes. Det samme vil gjelde enhver direkte sideforbindelse til et nabotavle.
Med så mye kryptering innebygd i en allerede intens beregning, risikerer man å gå i stå. Sikker drift er kritisk, men den tjener ingen hvis den ødelegger selve operasjonen.
"Nettverket eller PCI Express-koblingen til stoffet bør beskyttes ved å sette inn en L2- eller L3-protokollbevisst sikkerhetspakkemotor med høy ytelse," la Stevens til. "En slik pakkemotor krever lite støtte fra CPU."
Dette kan også gjelde minne og blad-til-blad trafikkkryptering. "Innholdet i gateway-CPU DDR og lokale AI-akselerator-GDDR-er kan beskyttes av en innebygd minnekrypteringsmotor," sa han. "Hvis det finnes en dedikert blad-til-blad-sidekanal, kan den beskyttes av AES-GCM med høy gjennomstrømning [Galois/Tellermodus] koblingskrypteringsakseleratorer."
Til slutt kan standard sikkerhetsbeskyttelse støttes av kontinuerlig overvåking som holder styr på faktisk drift. "Du må samle informasjon fra maskinvaren som kan fortelle deg hvordan systemet oppfører seg," sa Panesar. "Dette må være sanntid, øyeblikkelig og langsiktig statistisk. Den må også være forståelig (enten av et menneske eller en maskin) og handlingsdyktig. Temperatur-, spennings- og tidsdata er veldig bra, men du trenger også mer sofistikert informasjon på høyere nivå."
Men dette er ingen erstatning for streng sikkerhet. "Målet er å identifisere problemer som kan unngå konvensjonell sikkerhetsbeskyttelse - men det er ikke en erstatning for slik beskyttelse," la han til.
Hardt arbeid fremover
Disse elementene er ikke nødvendigvis enkle å implementere. Det krever hardt arbeid. "Spenststyrke, evnen til å oppdatere et system på en sikker måte og evnen til å komme seg etter et vellykket angrep er virkelige utfordringer," bemerket Mike Borza, sikkerhets-IP-arkitekt hos Synopsys. "Å bygge systemer som det er veldig, veldig tøft."
Men etter hvert som AI-databehandling blir mer og mer rutinemessig, vil ingeniører som ikke er spesialister på datamodellering eller sikkerhet i økende grad vende seg til ML-tjenester etter hvert som de arbeider AI inn i applikasjonene sine. De må kunne stole på infrastrukturen og ta godt vare på viktige data slik at modellene og beregningene de skal bruke for å skille produktene deres ikke havner i feil hender.
I slekt
Sikkerhetsavveininger i brikker og AI-systemer
Eksperter ved bordet: Hvordan sikkerhet påvirker kraft og ytelse, hvorfor AI-systemer er så vanskelig å sikre, og hvorfor personvern er et økende hensyn.
Sikkerhetsforskningsbiter
Nye sikkerhetstekniske dokumenter presentert på USENIX Security Symposium 21. august.
Alltid på, alltid i fare
Bekymringer for chipsikkerhet øker med flere prosesseringselementer, automatisk vekking, trådløse oppdateringer og bedre tilkobling.
Sikkerhetskunnskapssenter
Topphistorier, hvitebøker, blogger, videoer om maskinvaresikkerhet
AI Kunnskapssenter
Kilde: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- akselerator
- akseleratorer
- adgang
- Logg inn
- aktiv
- Ytterligere
- Avtale
- AI
- AI-trening
- algoritmer
- Alle
- tillate
- Søknad
- søknader
- arkitektur
- AREA
- Eiendeler
- Angrep
- August
- Autentisk
- Autentisering
- fakturering
- BLAD
- blogger
- borde
- brudd
- bugs
- hvilken
- Årsak
- kanaler
- chip
- chips
- Cloud
- cloud computing
- kode
- Selskaper
- samsvar
- komponent
- databehandling
- tilkobling
- Tilkobling
- innhold
- Par
- dato
- Datasenter
- datasentre
- håndtering
- Tilbud
- utforming
- utviklere
- Regissør
- Avbryte
- kjøring
- Edge
- Effektiv
- kryptering
- Ingeniører
- Miljø
- utstyr
- Europa
- gjennomføring
- Expand
- ekstra sikkerhet
- utdrag
- stoff
- Fiken
- Endelig
- Først
- Blitz
- Fokus
- framtid
- GDPR
- god
- Regjeringen
- Økende
- Vekst
- hacking
- Håndtering
- maskinvare
- hashing
- her.
- Høy
- Hosting
- Hvordan
- HTTPS
- identifisere
- industri
- informasjon
- Infrastruktur
- intellektuell eiendom
- Intervju
- involvert
- IP
- IT
- Jobb
- Jobb
- nøkkel
- nøkler
- kunnskap
- stor
- læring
- Begrenset
- LINK
- lokal
- maskiner
- malware
- ledelse
- Manipulasjon
- Marketing
- Matrix
- medisinsk
- ML
- modell
- modellering
- overvåking
- nettverk
- neural
- Drift
- Alternativ
- alternativer
- Annen
- andre
- ytelse
- plattform
- giften
- basseng
- makt
- presentere
- hindre
- privatliv
- privat
- Produkt
- Produkter
- eiendom
- beskytte
- beskyttelse
- Raciell profilering
- radar
- Stråling
- heve
- område
- sanntids
- grunner
- Gjenopprette
- Regulering
- forskrifter
- Krav
- forskning
- Ressurser
- REST
- Resultater
- Risiko
- regler
- trygge
- skalerbarhet
- sikkerhet
- Sikkerhetsoperasjoner
- Tjenester
- delt
- Enkelt
- So
- Software
- Solutions
- Snurre rundt
- standarder
- Begynn
- startups
- Stater
- stjålet
- Stories
- vellykket
- støtte
- system
- Systemer
- Teknisk
- tyveri
- tid
- spor
- trafikk
- Kurs
- Stol
- forent
- Forente Stater
- Oppdater
- oppdateringer
- Brukere
- videoer
- virtuelle
- HVEM
- Wikipedia
- innenfor
- Arbeid