Potrzeba bezpieczeństwa przenika wszystkie systemy elektroniczne. Biorąc jednak pod uwagę rozwój przetwarzania opartego na uczeniu maszynowym w centrach danych, które zajmuje się niezwykle cennymi danymi, niektóre firmy zwracają szczególną uwagę na bezpieczne przetwarzanie tych danych.
Należy zastosować wszystkie typowe rozwiązania w zakresie bezpieczeństwa centrów danych, ale należy podjąć dodatkowy wysiłek, aby zapewnić ochronę modeli i zbiorów danych podczas przechowywania, zarówno podczas przesyłania do i z modułów akceleratorów, jak i podczas przetwarzania w systemie hostującym więcej niż jeden dzierżawca jednocześnie na tym samym serwerze.
„Modele wnioskowania, algorytmy wnioskowania, modele szkoleniowe i zbiory danych szkoleniowych są uważane za cenną własność intelektualną i wymagają ochrony — zwłaszcza, że te cenne aktywa są przekazywane centrom danych w celu przetwarzania na współdzielonych zasobach” – powiedział Bart Stevens, starszy dyrektor ds. marketingu produktów dla bezpiecznego adresu IP pod adresem Rambus, w niedawnej prezentacji.
Jakakolwiek ingerencja w dane szkoleniowe AI może spowodować utworzenie wadliwego modelu. Wszelkie zmiany w dobrze wyszkolonym modelu mogą skutkować wyciągnięciem przez silnik sztucznej inteligencji błędnych wniosków. „Wszystkie trzy główne typy uczenia się (pod nadzorem, bez nadzoru i ze wzmocnieniem) w celu uzyskania wyniku wykorzystują obliczenia ważone” – powiedział Gajinder Panesar, pracownik naukowy w EDA firmy Siemens. „Jeśli te wagi są przestarzałe, zepsute lub zmienione, wynik może być po prostu błędny”.
Konsekwencje ataku na obciążenie AI będą zależeć od aplikacji, ale wynik nigdy nie będzie dobry. Pytanie tylko, czy spowoduje to poważne szkody lub obrażenia.
Chociaż ataki są głównym przedmiotem zainteresowania ochrony, nie są to jedyne obszary budzące obawy. „Zagrożenia” można podzielić na dwie szerokie kategorie — zamierzoną ingerencję złego podmiotu i niezamierzone problemy, które ogólnie można uznać za błędy, zarówno w sprzęcie, jak i w oprogramowaniu” — powiedział Panesar.
Podstawa bezpieczeństwa
Istnieją podstawowe pojęcia dotyczące bezpieczeństwa, które mają zastosowanie w każdym środowisku komputerowym, a przetwarzanie oparte na sztucznej inteligencji nie jest wyjątkiem. Chociaż szczególną uwagę należy zwrócić na niektóre aspekty obciążenia pracą związanego ze sztuczną inteligencją, nie tylko to obciążenie musi być chronione. „Musimy myśleć o integralności działania całego systemu, a nie tylko o konkretnym chipie lub podsystemie na chipie, z którym mamy do czynienia” – powiedział Panesar.
Jak zauważył Stevens, należy uwzględnić cztery aspekty bezpieczeństwa. Po pierwsze, dane i obliczenia muszą pozostać prywatne. Po drugie, osoba atakująca nie powinna mieć możliwości zmiany jakichkolwiek danych w dowolnym miejscu i czasie. Po trzecie, należy wiedzieć, że wszystkie podmioty uczestniczące w przetwarzaniu danych są autentyczne. Po czwarte, osoba atakująca nie powinna mieć możliwości zakłócania normalnego działania platformy obliczeniowej.
Prowadzi to do kilku podstawowych koncepcji bezpieczeństwa, które, miejmy nadzieję, będą znane każdemu zaangażowanemu w projektowanie bezpiecznych systemów. Pierwszy z nich to ochrona danych w trzech fazach:
1. Dane w stanie spoczynku, które obejmują wszelkie przechowywane dane;
2. Dane w ruchu podczas przesyłania z jednego miejsca do drugiego oraz
3. Dane w użyciu, które są aktywne i żywe na platformie obliczeniowej w trakcie pracy nad nimi.
Jeszcze innym znanym wymaganiem jest zaufane środowisko wykonawcze (TEE). Jest to środowisko komputerowe ograniczone do wysoce zaufanego oprogramowania i dostępne dla reszty platformy obliczeniowej wyłącznie za pośrednictwem ściśle kontrolowanych i zaufanych kanałów. Każdy krytyczny sprzęt lub inne zasoby, których nie można naruszyć, zostaną umieszczone w tym środowisku i nie będą bezpośrednio dostępne poza TEE.
TEE zapewnia podstawowy sposób obsługi krytycznych operacji związanych z bezpieczeństwem w sposób znacznie mniej podatny na zakłócenia ze strony oprogramowania zewnętrznego. Oddziela oprogramowanie aplikacyjne od operacji bezpieczeństwa niższego poziomu. Zarządza również procesem rozruchu, aby zapewnić jego bezpieczny i niezawodny przebieg, wychwytując wszelkie próby uruchomienia nieautentycznego kodu.
Bezpieczne przetwarzanie danych wymaga szerokiego zakresu operacji. Uwierzytelnianie gwarantuje, że podmioty, z którymi się komunikuje, są naprawdę tymi, za których się podają. Szyfrowanie chroni dane przed wzrokiem ciekawskich. Pochodzenie oprogramowania i innych artefaktów danych można potwierdzić poprzez operacje mieszania i podpisywania. Wszystkie te funkcje wymagają kluczy o wystarczającej sile, aby chronić przed hakowaniem metodą brute-force, a to sprawia, że skuteczne udostępnianie kluczy i zarządzanie nimi jest niezbędne.
Dodatkowe zabezpieczenia zapewniają ochronę TEE i innych krytycznych obwodów bezpieczeństwa przed próbami włamań lub zakłóceniami działania. Kanały boczne muszą być chronione, aby nie było możliwości przechwycenia danych lub kluczy poprzez pomiar wykrywalnych zewnętrznie artefaktów elektronicznych, takich jak moc lub promieniowanie elektromagnetyczne.
I wreszcie, kolejny poziom ochrony mogą zapewnić obwody monitorujące zdarzenia wewnętrzne w celu podniesienia alarmu, jeśli wydarza się coś podejrzanego.
Stosując to konkretnie do sztucznej inteligencji
Zapewnienie bezpieczeństwa obciążeń AI zaczyna się od tych podstawowych wymagań bezpieczeństwa, niezależnie od tego, czy chodzi o szkolenie, czy wnioskowanie, i czy robi się to w centrum danych, na serwerze lokalnym czy na sprzęcie brzegowym. Istnieją jednak dodatkowe kwestie specyficzne dla obciążeń AI, które należy wziąć pod uwagę.
„Wymagane są bezpieczne implementacje sztucznej inteligencji, aby zapobiec ekstrakcji lub kradzieży algorytmów wnioskowania, modeli i parametrów, algorytmów uczących i zbiorów uczących” – wyjaśnił Stevens. „Oznaczałoby to również zapobieganie niezamierzonej wymianie tych zasobów złośliwymi algorytmami lub zbiorami danych. Pozwoliłoby to uniknąć zatrucia systemu i zmiany wyników wnioskowania, powodując błędną klasyfikację.
Nowe architektury sprzętowe przetwarzające sztuczną inteligencję stanowią kolejną część systemu wymagającą ochrony. „Sercem systemu jest oczywiście szereg potężnych chipów akceleracyjnych, począwszy od kilku aż po dużą matrycę dedykowanych jednostek przetwarzających AI z własną pulą pamięci i mającą tylko jedno zadanie, jakim jest przetworzenie jak największej ilości danych w w najkrótszym czasie” – zauważył Stevens.
Projektanci muszą najpierw uwzględnić konkretne zasoby wymagające ochrony. Najbardziej oczywisty jest sprzęt do uczenia lub wnioskowania. „Na serwerach kasetowych zwykle spotykany jest procesor typu gateway z dedykowaną pamięcią flash i pamięcią DDR” – powiedział Stevens. „Jego zadaniem jest zarządzanie modelami, dodawanie zasobów. i akceleratory sterujące. Następnie następuje połączenie z siecią szkieletową — szybką siecią lub interfejsami PCIe-4 lub -5. Niektóre ostrza mają również własne łączniki między ostrzami.
Rys. 1: Uogólniony moduł AI typu blade dla centrum danych. Oprócz zwykłego procesora, pamięci dynamicznej i połączenia sieciowego, akceleratory wykonają ciężką pracę, wspomagane przez wewnętrzną pamięć SRAM. źródło: Rambus
Ponadto istnieje wiele rodzajów danych podlegających ochronie, w zależności od tego, czy operacja ma charakter uczenia, czy wnioskowania. Podczas uczenia modelu należy chronić próbki danych szkoleniowych i szkolony model podstawowy. Podczas wnioskowania wyszkolony model, wszystkie wagi, dane wejściowe i wyniki wyjściowe wymagają ochrony.
Pod względem operacyjnym jest to nowy, szybko rozwijający się obszar, dlatego prawdopodobne jest debugowanie. Wszelkie debugowanie musi być przeprowadzane w sposób bezpieczny, a wszelkie możliwości debugowania muszą zostać wyłączone, gdy nie są używane uwierzytelnione.
Zmiany w kodzie lub innych zasobach muszą być dostarczane w dobrze zabezpieczonych aktualizacjach. W szczególności prawdopodobne jest, że modele będą z biegiem czasu udoskonalane. Musi więc istnieć sposób na zastąpienie starych wersji nowszymi, jednocześnie uniemożliwiając osobie nieuprawnionej wymianę prawidłowego modelu na nieautentyczny.
„Bezpieczne aktualizacje oprogramowania sprzętowego, a także możliwość bezpiecznego debugowania systemu to obecnie podstawa” – zauważył Stevens.
Ryzyko naruszeń danych
To oczywiste, że dane należy chronić przed kradzieżą. Każda taka kradzież stanowi oczywiste naruszenie poufności, ale jej konsekwencje są jeszcze bardziej tragiczne, jeśli w grę wchodzą regulacje rządowe. Przykładami takich regulacji są przepisy RODO w Europie i przepisy HIPAA dotyczące opieki zdrowotnej w Stanach Zjednoczonych.
Jednak oprócz zwykłej kradzieży niepokój budzi także manipulacja danymi. Dane szkoleniowe można na przykład zmienić w celu odkrycia jakiejś tajemnicy lub po prostu zatrucia szkolenia, tak aby powstały model działał słabo.
Duża część obliczeń — zwłaszcza podczas uczenia modelu — będzie odbywać się w centrum danych, co może obejmować serwery obsługujące wielu dzierżawców, co zapewnia tańsze działanie. „Coraz więcej firm i zespołów korzysta ze współdzielonych zasobów przetwarzania w chmurze z różnych powodów, głównie ze względu na skalowalność i koszty” – zauważyła Dana Neustadter, starszy menedżer ds. marketingu produktów ds. zabezpieczeń własności intelektualnej w firmie Synopsys.
Oznacza to, że wiele zadań współistnieje na tym samym sprzęcie. A jednak zadania te muszą być wykonywane nie mniej bezpiecznie, niż gdyby znajdowały się na oddzielnych serwerach. Muszą być izolowane przez oprogramowanie w sposób zapobiegający wyciekowi czegokolwiek – danych lub innych rzeczy – z jednego zadania do drugiego.
„Przeniesienie obliczeń do chmury może wiązać się z potencjalnym zagrożeniem bezpieczeństwa, gdy system stracisz kontrolę nad systemem” – powiedział Neustadter. „Bez względu na to, czy dane jednego użytkownika są błędne, czy złośliwe, mogą być złośliwym oprogramowaniem innego użytkownika. Użytkownicy muszą ufać dostawcy usług w chmurze, aby spełniał standardy zgodności, przeprowadzał oceny ryzyka, kontrolował dostęp użytkowników itd.”.
Konteneryzacja zwykle pomaga w izolowaniu procesów w środowisku z wieloma dzierżawcami, ale nadal może się zdarzyć, że jeden nieuczciwy proces wpłynie na inne. „Problem powodujący, że aplikacja pochłania zasoby przetwarzające, może mieć wpływ na innych dzierżawców” – zauważył Panesar. „Jest to szczególnie ważne w krytycznych środowiskach, takich jak raporty medyczne lub wszędzie tam, gdzie najemcy mają wiążącą umowę SLA (umowę dotyczącą poziomu usług).”
Wreszcie, choć może to nie mieć wpływu na konkretny wynik obliczeń ani na poufność danych, operacje w centrach danych muszą zapewniać bezpieczeństwo operacji administracyjnych przed majsterkowaniem. „Powinno być również zapewnione bezpieczeństwo, aby zapewnić prawidłowe fakturowanie usług i zapobiec nieetycznemu wykorzystaniu, takiemu jak profilowanie rasowe” – zauważył Stevens.
Nowe standardy pomogą programistom zapewnić, że obejmują wszystkie niezbędne podstawy.
„Branża opracowuje standardy, takie jak bezpieczeństwo interfejsu PCIe, przy czym PCI-SIG zapewnia specyfikację integralności i szyfrowania danych (IDE), uzupełnioną pomiarami i uwierzytelnianiem komponentów (CMA) oraz we/wy zaufanego środowiska wykonawczego (TEE-I/ O)” – powiedział Neustadter. „Protokół bezpieczeństwa przypisanego interfejsu urządzenia (ADISP) i inne protokoły rozszerzają możliwości wirtualizacji zaufanych maszyn wirtualnych używanych do izolowania poufnych obciążeń obliczeniowych od środowisk hostingowych, wsparte silnym uwierzytelnianiem i zarządzaniem kluczami”.
Rys. 2: Obliczenia AI obejmują wiele zasobów, a każdy z nich ma określone potrzeby w zakresie bezpieczeństwa. źródło: Rambus
Wdrażanie zabezpieczeń
Biorąc pod uwagę typowe środowisko obliczeniowe AI, należy podjąć kilka kroków, aby zablokować operacje. Zaczynają od sprzętu korzeń zaufania (HRoT).
HRoT to zaufane, nieprzejrzyste środowisko, w którym można wykonywać bezpieczne operacje, takie jak uwierzytelnianie i szyfrowanie, bez ujawniania używanych kluczy lub innych tajemnic. Może to być kluczowy element TEE. Zwykle kojarzą się z procesorem o klasycznej architekturze, jednak tutaj zazwyczaj występuje więcej niż jeden element przetwarzający.
W szczególności nowsze chipy sprzętowe przeznaczone do przetwarzania AI nie mają wbudowanych funkcji root-of-trust. „Wiele ostatnich projektów akceleratorów AI/ML — zwłaszcza opracowanych przez start-upy — skupiało się głównie na uzyskaniu najbardziej optymalnego przetwarzania NPU na pokładzie” – wyjaśnił Stevens w kolejnym wywiadzie. „Bezpieczeństwo nie było głównym celem lub nie było na ich radarze”.
Oznacza to, że system będzie musiał zapewnić HRoT w innym miejscu, a istnieje kilka opcji, aby to zrobić.
Jedno podejście, które koncentruje się na używanych danych, polega na nadaniu każdemu elementowi obliczeniowemu – na przykład chipowi hosta i chipowi akceleratora – własnego HRoT. Każdy HRoT obsługiwałby własne klucze i wykonywał operacje pod kierunkiem powiązanego z nim procesora. Mogą być monolitycznie zintegrowane z układami SoC, chociaż obecnie nie ma to miejsca w przypadku procesorów neuronowych.
Inną opcją, która koncentruje się na danych w ruchu, jest zapewnienie HRoT na połączeniu sieciowym, aby zapewnić, że wszystkie dane wprowadzane na płytkę są czyste. „W przypadku danych w ruchu wymagania dotyczące przepustowości są niezwykle wysokie i wymagają bardzo małych opóźnień” – powiedział Stevens. „Systemy używają kluczy efemerycznych, ponieważ zazwyczaj działają z kluczami sesji”.
„W celu uwierzytelnienia ostrze musiałoby uzyskać numer identyfikacyjny, co niekoniecznie musi być utrzymywane w tajemnicy” – kontynuował. „To musi być po prostu wyjątkowe i niezmienne. Może to być wiele identyfikatorów, po jednym dla każdego chipa lub jeden dla samego ostrza lub urządzenia.
Te zewnętrzne HRoT mogą nie być potrzebne, gdy w przyszłych jednostkach przetwarzania neuronowego (NPU) zostaną wbudowane zabezpieczenia. „Ostatecznie, gdy wstępne weryfikacje koncepcji NPU startupów okażą się skuteczne, architektura ich drugiej wersji tych projektów będzie zawierała funkcje root of trust, które będą miały więcej możliwości kryptograficznych, aby poradzić sobie z większymi obciążeniami.” dodał Stevens.
Dane przenoszone z pamięci SRAM do DRAM i odwrotnie również powinny być szyfrowane, aby zapobiec ich przechwyceniu. To samo dotyczy każdego bezpośredniego połączenia bocznego z sąsiednią płytką.
Przy tak dużej liczbie szyfrowań osadzonych w i tak już intensywnych obliczeniach istnieje ryzyko ugrzęźnięcia w działaniu. Bezpieczne działanie ma kluczowe znaczenie, ale nikomu nie służy, jeśli utrudnia samo działanie.
„Sieć lub łącze PCI Express ze strukturą powinno być chronione poprzez zastosowanie wysokoprzepustowego silnika pakietów obsługującego protokoły L2 lub L3” – dodał Stevens. „Taki silnik pakietowy wymaga niewielkiego wsparcia ze strony procesora.”
Może to dotyczyć również szyfrowania pamięci i ruchu typu blade-to-blade. „Zawartość pamięci DDR procesora bramy i pamięci GDDR lokalnego akceleratora AI może być chroniona za pomocą wbudowanego mechanizmu szyfrowania pamięci” – powiedział. „Jeśli istnieje dedykowany kanał boczny typu blade-to-blade, można go zabezpieczyć za pomocą wysokoprzepustowego protokołu AES-GCM [Galois/tryb licznika] akceleratory szyfrowania łączy.”
Wreszcie, standardowe zabezpieczenia można wzmocnić poprzez ciągłe monitorowanie, które śledzi rzeczywiste działanie. „Musisz zebrać informacje ze sprzętu, które powiedzą ci, jak zachowuje się system” – powiedział Panesar. „To musi mieć charakter statystyczny w czasie rzeczywistym, natychmiastowy i długoterminowy. Musi być także zrozumiały (czy to dla człowieka, czy przez maszynę) i wykonalny. Dane dotyczące temperatury, napięcia i czasu są bardzo dobre, ale potrzebne są także informacje wyższego poziomu, bardziej wyrafinowane.
Nie zastąpi to jednak rygorystycznego bezpieczeństwa. „Celem jest identyfikacja problemów, które mogą wymykać się konwencjonalnym zabezpieczeniom, ale nie zastąpi to takiej ochrony” – dodał.
Przed nami ciężka praca
Elementy te niekoniecznie są proste do wdrożenia. To wymaga ciężkiej pracy. „Odporność, możliwość bezpiecznego aktualizowania systemu i zdolność do odzyskiwania danych po udanym ataku to prawdziwe wyzwania” – zauważył Mike Borza, architekt bezpieczeństwa IP w Synopsys. „Budowanie takich systemów jest bardzo, bardzo trudne.”
Jednak w miarę jak przetwarzanie sztucznej inteligencji staje się coraz bardziej rutynowe, inżynierowie, którzy nie są specjalistami w modelowaniu danych ani bezpieczeństwie, coraz częściej będą zwracać się ku usługom uczenia maszynowego, wdrażając sztuczną inteligencję w swoich aplikacjach. Muszą móc polegać na infrastrukturze i dobrze dbać o swoje ważne dane, aby modele i obliczenia, których będą używać do różnicowania swoich produktów, nie trafiły w niepowołane ręce.
Związane z
Kompromisy w zakresie bezpieczeństwa w chipach i systemach AI
Eksperci przy stole: Jak bezpieczeństwo wpływa na moc i wydajność, dlaczego systemy AI są tak trudne do zabezpieczenia i dlaczego prywatność jest coraz ważniejsza.
Bity badawcze dotyczące bezpieczeństwa
Nowe dokumenty techniczne dotyczące bezpieczeństwa zaprezentowane 21 sierpnia na Sympozjum Bezpieczeństwa USENIX.
Zawsze aktywny, zawsze zagrożony
Obawy dotyczące bezpieczeństwa chipów rosną wraz z większą liczbą elementów przetwarzających, automatycznym wybudzaniem, aktualizacjami bezprzewodowymi i lepszą łącznością.
Centrum wiedzy o bezpieczeństwie
Najważniejsze artykuły, oficjalne dokumenty, blogi i filmy dotyczące bezpieczeństwa sprzętu
Centrum wiedzy o sztucznej inteligencji
Źródło: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- akcelerator
- akceleratory
- dostęp
- Konto
- aktywny
- Dodatkowy
- Umowa
- AI
- Trening AI
- Algorytmy
- Wszystkie kategorie
- Pozwalać
- Zastosowanie
- aplikacje
- architektura
- POWIERZCHNIA
- Aktywa
- Ataki
- Sierpnia
- Autentyczny
- Uwierzytelnianie
- billing
- NÓŻ
- blogi
- deska
- naruszenie
- błędy
- który
- Spowodować
- kanały
- żeton
- Frytki
- Chmura
- cloud computing
- kod
- Firmy
- spełnienie
- składnik
- computing
- połączenie
- Łączność
- treść
- Para
- dane
- Centrum danych
- centra danych
- czynienia
- Promocje
- Wnętrze
- deweloperzy
- Dyrektor
- Zakłócać
- jazdy
- krawędź
- Efektywne
- szyfrowanie
- Inżynierowie
- Środowisko
- sprzęt
- Europie
- egzekucja
- Rozszerzać
- dodatkowe bezpieczeństwo
- ekstrakcja
- tkanina
- Figa
- W końcu
- i terminów, a
- Migać
- Skupiać
- przyszłość
- `RODO
- dobry
- Rząd
- Rozwój
- Wzrost
- włamanie
- Prowadzenie
- sprzęt komputerowy
- mieszanie
- tutaj
- Wysoki
- Hosting
- W jaki sposób
- HTTPS
- zidentyfikować
- przemysł
- Informacja
- Infrastruktura
- własność intelektualna
- Wywiad
- zaangażowany
- IP
- IT
- Praca
- Oferty pracy
- Klawisz
- Klawisze
- wiedza
- duży
- nauka
- Ograniczony
- LINK
- miejscowy
- maszyny
- malware
- i konserwacjami
- Manipulacja
- Marketing
- Matrix
- medyczny
- ML
- model
- modelowanie
- monitorowanie
- sieć
- Nerwowy
- operacje
- Option
- Opcje
- Inne
- Pozostałe
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- Platforma
- trucizna
- basen
- power
- teraźniejszość
- zapobieganie
- prywatność
- prywatny
- Produkt
- Produkty
- własność
- chronić
- ochrona
- Profilowanie rasowe
- radar
- Promieniowanie
- podnieść
- zasięg
- w czasie rzeczywistym
- Przyczyny
- Recover
- Regulacja
- regulamin
- wymagania
- Badania naukowe
- Zasoby
- REST
- Efekt
- Ryzyko
- reguły
- "bezpiecznym"
- Skalowalność
- bezpieczeństwo
- Operacje bezpieczeństwa
- Usługi
- shared
- Prosty
- So
- Tworzenie
- Rozwiązania
- Spin
- standardy
- początek
- Startups
- Zjednoczone
- skradziony
- historie
- udany
- wsparcie
- system
- systemy
- Techniczny
- kradzież
- czas
- śledzić
- ruch drogowy
- Trening
- Zaufaj
- Zjednoczony
- United States
- Aktualizacja
- Nowości
- Użytkownicy
- Filmy
- Wirtualny
- KIM
- Wikipedia
- w ciągu
- Praca