Потребность в безопасности пронизывает все электронные системы. Но учитывая рост вычислительной техники машинного обучения в центрах обработки данных, которая работает с чрезвычайно ценными данными, некоторые компании уделяют особое внимание безопасному обращению с этими данными.
Необходимо использовать все обычные решения по обеспечению безопасности центров обработки данных, но необходимы дополнительные усилия для обеспечения защиты моделей и наборов данных при хранении, как при передаче на блейды-ускорители и обратно, так и при обработке в системе, на которой размещены более одного арендатора одновременно на одном сервере.
«Модели вывода, алгоритмы вывода, модели обучения и наборы обучающих данных считаются ценной интеллектуальной собственностью и нуждаются в защите, особенно потому, что эти ценные активы передаются в центры обработки данных для обработки на общих ресурсах», — сказал Барт Стивенс, старший директор по маркетингу продуктов. для безопасности IP на Rambus, в недавней презентации.
Любое вмешательство в данные обучения ИИ может привести к созданию ошибочной модели. Любые изменения в хорошо обученной модели могут привести к неверным выводам, сделанным механизмом искусственного интеллекта. «Все три основных типа обучения (контролируемое, неконтролируемое и с подкреплением) используют взвешенные вычисления для получения результата», — сказал Гаджиндер Панесар, научный сотрудник Сименс ЭДА. «Если эти веса устарели, повреждены или подделаны, то результат может быть просто неправильным».
Последствия атаки на рабочую нагрузку ИИ будут зависеть от приложения, но результат никогда не будет хорошим. Вопрос только в том, приведет ли это к серьезным повреждениям или травмам.
Хотя атаки являются основным направлением защиты, они не единственные области, вызывающие обеспокоенность. «Угрозы» делятся на две широкие категории — преднамеренное вмешательство злоумышленника и непреднамеренные проблемы, которые обычно можно рассматривать как ошибки в аппаратном или программном обеспечении», — сказал Панесар.
Основа безопасности
Существуют фундаментальные понятия безопасности, применимые к любой вычислительной среде, и вычисления с использованием искусственного интеллекта не являются исключением. Хотя особое внимание необходимо уделять определенным аспектам рабочей нагрузки ИИ, защищать необходимо не только эту рабочую нагрузку. «Мы должны думать о целостности работы всей системы, а не только о конкретном чипе или внутрикристальной подсистеме, с которой мы имеем дело», — сказал Панесар.
Как отметил Стивенс, необходимо учитывать четыре аспекта безопасности. Во-первых, данные и вычисления должны оставаться конфиденциальными. Во-вторых, злоумышленник не должен иметь возможности изменить какие-либо данные где-либо и в любое время. В-третьих, все объекты, участвующие в вычислениях, должны быть известны как подлинные. И в-четвертых, у злоумышленника не должно быть возможности помешать нормальной работе вычислительной платформы.
Это приводит к некоторым базовым концепциям безопасности, которые, мы надеемся, будут знакомы всем, кто занимается проектированием безопасных систем. Первым из них является защита данных в три этапа:
1. Неактивные данные, включая любые сохраненные данные;
2. Данные в движении, когда они передаются из одного места в другое, и
3. Используемые данные, которые активны и активны в вычислительной платформе во время работы над ними.
Еще одно знакомое требование — это доверенная среда выполнения (TEE). Это вычислительная среда, ограниченная программным обеспечением, которому доверяют, и доступная для остальной части вычислительной платформы только через тщательно контролируемые и надежные каналы. Любое критическое оборудование или другие активы, которые не могут быть скомпрометированы, будут размещены в этой среде и не будут доступны напрямую за пределами TEE.
TEE обеспечивает фундаментальный способ выполнения критически важных операций безопасности, значительно менее подверженный вмешательству внешнего программного обеспечения. Он отделяет прикладное программное обеспечение от операций безопасности более низкого уровня. Он также управляет процессом загрузки, обеспечивая его безопасность и надежность, перехватывая любые попытки загрузки недостоверного кода.
Для безопасных вычислений требуется широкий спектр операций. Аутентификация гарантирует, что сущности, с которыми человек общается, действительно являются теми, кем они себя называют. Шифрование защищает данные от посторонних глаз. Происхождение программного обеспечения и других артефактов данных можно подтвердить с помощью операций хеширования и подписи. И все эти функции требуют ключей достаточной надежности для защиты от грубого взлома, и это делает необходимым эффективное предоставление ключей и управление ими.
Дополнительная защита обеспечивается за счет защиты TEE и других критически важных цепей безопасности от попыток взлома или нарушения работы. Боковые каналы должны быть защищены, чтобы исключить возможность перехвата данных или ключей путем измерения внешних электронных артефактов, таких как мощность или электромагнитное излучение.
И, наконец, дополнительный уровень защиты могут обеспечить схемы, которые отслеживают внутренние процессы и предупреждают, если происходит что-то подозрительное.
Применяя это конкретно к ИИ
Обеспечение безопасности рабочих нагрузок ИИ начинается с этих основных требований безопасности, будь то обучение или вывод, независимо от того, выполняется ли это в центре обработки данных, на локальном сервере или на периферийном оборудовании. Но есть дополнительные соображения, характерные для рабочих нагрузок ИИ, которые необходимо принять во внимание.
«Безопасные реализации ИИ необходимы для предотвращения извлечения или кражи алгоритмов вывода, моделей и параметров, алгоритмов обучения и обучающих наборов», — объяснил Стивенс. «Это также будет означать предотвращение непреднамеренной замены этих активов вредоносными алгоритмами или наборами данных. Это позволит избежать отравления системы и изменения результатов вывода, что приведет к неправильной классификации».
Новая аппаратная архитектура обработки ИИ представляет собой еще одну часть системы, нуждающуюся в защите. «Сердцем системы, очевидно, является массив мощных микросхем-ускорителей, от нескольких до большой матрицы специализированных процессоров искусственного интеллекта с собственным пулом памяти и только одной задачей — обработать как можно больше данных в в кратчайшие сроки», — отметил Стивенс.
Проектировщики должны сначала учитывать конкретные активы, которые нуждаются в защите. Наиболее очевидным является оборудование для обучения или вывода. «На блейд-серверах обычно можно увидеть ЦП шлюза с выделенной флэш-памятью и памятью DDR», — сказал Стивенс. «Его задача — управлять моделями, добавлять активы. и управлять ускорителями. Затем происходит подключение к фабрике — высокоскоростная сеть или интерфейсы PCIe-4 или -5. Некоторые блейды также имеют собственные межблочные связи».
Рис. 1. Обобщенный блейд искусственного интеллекта для центра обработки данных. Помимо обычного процессора, динамической памяти и сетевого подключения, тяжелую работу возьмут на себя ускорители при помощи внутренней SRAM. Источник: Рамбус
Кроме того, существуют различные типы данных, которые необходимо защитить, и они зависят от того, является ли операция обучением или выводом. При обучении модели образцы обучающих данных и обучаемая базовая модель должны быть защищены. При выводе обученная модель, все веса, входные данные и выходные результаты нуждаются в защите.
С операционной точки зрения это новая, быстро развивающаяся область, поэтому возможны отладки. Любая отладка должна выполняться безопасно, а любые возможности отладки должны быть отключены, если они не используются с проверкой подлинности.
А изменения в коде или любых других ресурсах должны доставляться в виде хорошо защищенных обновлений. В частности, вполне вероятно, что со временем модели будут улучшаться. Поэтому должен быть способ заменить старые версии на более новые, не позволяя в то же время любому несанкционированному лицу заменить действующую модель на неаутентичную.
«Безопасные обновления прошивки, а также возможность безопасной отладки системы в наши дни становятся все более важными», — отметил Стивенс.
Риски утечки данных
Совершенно очевидно, что данные должны быть защищены от кражи. Любая такая кража, несомненно, является нарушением конфиденциальности, но последствия этого еще более ужасны, когда речь идет о правительственных постановлениях. Примерами такого регулирования являются правила GDPR в Европе и правила здравоохранения HIPAA в США.
Но помимо прямой кражи, озабоченность также вызывает манипулирование данными. Данные обучения, например, могут быть изменены либо для того, чтобы раскрыть какой-то секрет, либо просто для того, чтобы отравить обучение, чтобы полученная модель работала плохо.
Большая часть вычислений — особенно при обучении модели — будет выполняться в центре обработки данных, и для более низкой стоимости эксплуатации могут потребоваться многопользовательские серверы. «Все больше компаний и команд полагаются на общие ресурсы облачных вычислений по ряду причин, в основном из-за масштабируемости и стоимости», — заметила Дана Нойштадтер, старший менеджер по маркетингу продуктов для безопасности IP в компании Synopsys.
Это означает, что на одном оборудовании сосуществуют несколько задач. И все же эти задания должны выполняться не менее безопасно, чем если бы они находились на отдельных серверах. Они должны быть изолированы программным обеспечением таким образом, чтобы предотвратить утечку чего-либо — данных или чего-либо еще — с одного задания на другое.
«Перенос вычислений в облако может привести к потенциальным рискам безопасности, когда система больше не находится под вашим контролем», — сказал Нойштадтер. «Будь то ошибочные или злонамеренные данные одного пользователя могут оказаться вредоносным ПО для другого пользователя. Пользователи должны доверять поставщику облачных услуг в соблюдении стандартов соответствия, проведении оценки рисков, контроле доступа пользователей и так далее».
Контейнеризация обычно помогает изолировать процессы в многопользовательской среде, но один мошеннический процесс все равно может влиять на другие. «Проблема, из-за которой приложение использует ресурсы обработки, может повлиять на других арендаторов», — отметил Панесар. «Это особенно важно в критически важных средах, таких как медицинская отчетность, или везде, где у арендаторов есть обязательное SLA (соглашение об уровне обслуживания)».
Наконец, хотя это и не может повлиять на конкретный результат вычислений или конфиденциальность данных, операции центров обработки данных должны гарантировать, что административные операции защищены от вмешательства. «Также должна присутствовать безопасность, чтобы обеспечить правильное выставление счетов за услуги и предотвратить неэтичное использование, такое как расовое профилирование», — отметил Стивенс.
Новые стандарты помогут разработчикам обеспечить охват всех необходимых баз.
«В отрасли разрабатываются такие стандарты, как безопасность интерфейса PCIe, при этом PCI-SIG управляет спецификацией целостности и шифрования данных (IDE), дополненной измерением и аутентификацией компонентов (CMA) и доверенной средой выполнения ввода-вывода (TEE-I/ О)», — сказал Нойштадтер. «Протокол безопасности интерфейса назначаемых устройств (ADISP) и другие протоколы расширяют возможности виртуализации доверенных виртуальных машин, используемых для изоляции конфиденциальных вычислительных рабочих нагрузок от сред хостинга, при поддержке строгой аутентификации и управления ключами».
Рис. 2. Вычисления с использованием искусственного интеллекта включают в себя ряд активов, каждый из которых имеет особые потребности в безопасности. Источник: Рамбус
Реализация защиты
Таким образом, учитывая типичную вычислительную среду ИИ, необходимо предпринять несколько шагов для блокировки операций. Они начинаются с аппаратного обеспечения корень доверия (ХРоТ).
HRoT — это надежная непрозрачная среда, в которой можно выполнять безопасные операции, такие как аутентификация и шифрование, без раскрытия используемых ключей или других секретов. Это может быть важнейшим компонентом TEE. Обычно они связаны с процессором классической архитектуры, но здесь обычно имеется более одного обрабатывающего элемента.
В частности, новые аппаратные чипы, предназначенные для обработки ИИ, не имеют встроенных возможностей корня доверия. «Многие недавние разработки ускорителей AI/ML — особенно стартапов — были сосредоточены главным образом на обеспечении наиболее оптимальной обработки NPU», — объяснил Стивенс в последующем интервью. «Безопасность не была в центре внимания или не была в их поле зрения».
Это означает, что системе потребуется предоставить HRoT в другом месте, и для этого есть несколько вариантов.
Один из подходов, ориентированный на используемые данные, заключается в том, чтобы предоставить каждому вычислительному элементу — например, главному чипу и чипу ускорителя — свой собственный HRoT. Каждый HRoT будет обрабатывать свои собственные ключи и выполнять операции по указанию соответствующего процессора. Они могут быть монолитно интегрированы в SoC, хотя в настоящее время это не относится к нейронным процессорам.
Другой вариант, ориентированный на движущиеся данные, заключается в обеспечении HRoT при сетевом подключении, чтобы гарантировать, что все данные, поступающие на плату, являются чистыми. «Для данных в движении требования к пропускной способности чрезвычайно высоки с очень низкой задержкой», — сказал Стивенс. «В системах используются эфемерные ключи, поскольку они обычно работают с сеансовыми ключами».
«Для аутентификации блейду необходимо получить идентификационный номер, что не обязательно должно храниться в секрете», — продолжил он. «Он просто должен быть уникальным и неизменным. Это может быть несколько идентификаторов: по одному для каждого чипа или по одному для блейда или самого устройства».
Эти внешние HRoT могут не понадобиться, когда безопасность будет встроена в будущие нейронные процессоры (NPU). «В конце концов, когда первоначальные доказательства концепции NPU стартапов окажутся успешными, архитектура их второго варианта этих проектов будет иметь в себе возможности корня доверия, которые будут иметь больше криптографических возможностей для обработки более крупных рабочих нагрузок». добавил Стивенс.
Данные, перемещаемые из SRAM в DRAM или наоборот, также должны быть зашифрованы, чтобы их нельзя было отследить. То же самое относится и к любому прямому подключению к соседней плате.
При таком большом количестве шифрования, встроенного в и без того интенсивные вычисления, есть риск застопорить операцию. Безопасная работа имеет решающее значение, но она никому не поможет, если нанесет ущерб самой операции.
«Сеть или канал PCI Express к фабрике должны быть защищены путем установки высокопроизводительного механизма обработки пакетов безопасности L2 или L3», — добавил Стивенс. «Такой пакетный механизм требует небольшой поддержки со стороны ЦП».
Это также может применяться к шифрованию памяти и межблочного трафика. «Содержимое шлюзовой памяти CPU DDR и локальных GDDR ускорителя искусственного интеллекта может быть защищено встроенным механизмом шифрования памяти», — сказал он. «Если существует выделенный побочный канал между узлами, его можно защитить с помощью высокопроизводительного AES-GCM [Галуа/Режим счетчика] ускорители шифрования ссылок».
Наконец, стандартные меры безопасности могут быть подкреплены постоянным мониторингом, позволяющим отслеживать фактическую работу. «Вам необходимо собрать информацию с оборудования, которая сможет рассказать вам, как ведет себя система», — сказал Панесар. «Это должна быть статистика в реальном времени, мгновенная и долгосрочная. Он также должен быть понятным (как для человека, так и для машины) и действенным. Данные о температуре, напряжении и времени — это очень хорошо, но вам также нужна более сложная и более сложная информация».
Но это не является заменой строгой безопасности. «Цель состоит в том, чтобы выявить проблемы, которые могут ускользнуть от традиционных мер безопасности, но это не является заменой такой защиты», — добавил он.
Впереди тяжелая работа
Эти элементы не обязательно просты в реализации. Это требует тяжелой работы. «Отказоустойчивость, возможность безопасного обновления системы и возможность восстановления после успешной атаки — это настоящие проблемы», — отметил Майк Борза, архитектор IP-безопасности компании Synopsys. «Создавать подобные системы очень и очень сложно».
Но по мере того, как вычисления с использованием искусственного интеллекта становятся все более рутинными, инженеры, не специализирующиеся в моделировании данных или безопасности, все чаще будут обращаться к сервисам машинного обучения при использовании искусственного интеллекта в своих приложениях. Им необходимо иметь возможность рассчитывать на инфраструктуру, заботясь о своих важных данных, чтобы модели и вычисления, которые они будут использовать для дифференциации своих продуктов, не оказались в чужих руках.
Похожие страницы:
Компромиссы безопасности в чипах и системах искусственного интеллекта
Эксперты за столом: как безопасность влияет на мощность и производительность, почему системы искусственного интеллекта так сложно защитить и почему конфиденциальность становится все более важным фактором.
Биты исследования безопасности
Новые технические документы по безопасности, представленные на симпозиуме по безопасности USENIX 21 августа.
Всегда на связи, всегда в опасности
Проблемы безопасности чипов возрастают из-за увеличения количества элементов обработки, автоматического пробуждения, беспроводных обновлений и расширения возможностей подключения.
Центр знаний по безопасности
Главные новости, официальные документы, блоги, видеоролики об аппаратной безопасности
Центр знаний по искусственному интеллекту
Источник: https://semiengineering.com/ai-ml-workloads-need-extra-security/.
- ускоритель
- ускорители
- доступ
- Учетная запись
- активный
- дополнительный
- ДОГОВОР
- AI
- AI обучение
- алгоритмы
- Все
- Позволяющий
- Применение
- Приложения
- архитектура
- ПЛОЩАДЬ
- Активы
- нападки
- Август
- аутентичный
- Аутентификация
- биллинг
- BLADE
- блоги
- доска
- нарушение
- ошибки
- заботится
- Вызывать
- каналы
- чип
- чипсы
- облако
- облачных вычислений
- код
- Компании
- Соответствие закону
- компонент
- вычисление
- связи
- связь
- содержание
- Пара
- данным
- Центр обработки данных
- центров обработки данных
- занимавшийся
- Акции
- Проект
- застройщиков
- директор
- срывать
- вождение
- Edge
- Эффективный
- шифрование
- Инженеры
- Окружающая среда
- Оборудование
- Европе
- выполнение
- Расширьте
- дополнительная безопасность
- добыча
- ткань
- Фига
- в заключение
- First
- Flash
- Фокус
- будущее
- GDPR
- хорошо
- Правительство
- Рост
- Рост
- взлом
- Управляемость
- Аппаратные средства
- Хеширования
- здесь
- High
- хостинг
- Как
- HTTPS
- определения
- промышленность
- информация
- Инфраструктура
- интеллектуальная собственность
- Интервью
- вовлеченный
- IP
- IT
- работа
- Джобс
- Основные
- ключи
- знания
- большой
- изучение
- Ограниченный
- LINK
- локальным
- Продукция
- вредоносных программ
- управление
- Манипуляция
- Маркетинг
- матрица
- основным медицинским
- ML
- модель
- моделирование
- Мониторинг
- сеть
- нервный
- Операционный отдел
- Опция
- Опции
- Другие контрактные услуги
- Другое
- производительность
- Платформа
- яд
- бассейн
- мощностью
- представить
- предупреждение
- политикой конфиденциальности.
- частная
- Продукт
- Продукция
- собственность
- для защиты
- защиту
- Расовое профилирование
- радар
- излучение
- повышение
- ассортимент
- реального времени
- причины
- Recover
- "Регулирование"
- правила
- Требования
- исследованиям
- Полезные ресурсы
- ОТДЫХ
- Итоги
- Снижение
- условиями,
- безопасный
- Масштабируемость
- безопасность
- Операции безопасности
- Услуги
- общие
- просто
- So
- Software
- Решения
- Вращение
- стандартов
- Начало
- Стартапы
- Области
- украли
- Истории
- успешный
- поддержка
- система
- системы
- Технический
- кража
- время
- трек
- трафик
- Обучение
- Доверие
- Объединенный
- США
- Обновление ПО
- Updates
- пользователей
- Видео
- Виртуальный
- КТО
- Википедия.
- в
- Работа