Potreba po varnosti prežema vse elektronske sisteme. Toda glede na rast računalništva s strojnim učenjem v podatkovnih centrih, ki se ukvarja z izjemno dragocenimi podatki, nekatera podjetja namenjajo posebno pozornost varnemu ravnanju s temi podatki.
Uporabiti je treba vse običajne varnostne rešitve podatkovnih centrov, vendar so potrebni dodatni napori, da se zagotovi, da so modeli in nabori podatkov zaščiteni, ko so shranjeni, tako pri prenosu v pospeševalne rezine in iz njih kot pri obdelavi v sistemu, ki gosti več kot en najemnik hkrati znotraj istega strežnika.
»Modeli sklepanja, algoritmi sklepanja, modeli za usposabljanje in nabori podatkov za usposabljanje veljajo za dragoceno intelektualno lastnino in potrebujejo zaščito – zlasti ker se ta dragocena sredstva predajo podatkovnim centrom za obdelavo v skupnih virih,« je povedal Bart Stevens, višji direktor trženja izdelkov. za varnost IP pri Rambus, v nedavni predstavitvi.
Kakršno koli poseganje v podatke o usposabljanju AI lahko povzroči ustvarjanje napačnega modela. Vsaka sprememba dobro usposobljenega modela lahko povzroči napačne sklepe, ki jih povzroči motor AI. »Vse tri glavne vrste učenja (nadzorovano, nenadzorovano in okrepljeno) uporabljajo ponderirane izračune za ustvarjanje rezultata,« je povedal Gajinder Panesar, sodelavec pri Siemens EDA. "Če so te uteži zastarele, poškodovane ali spremenjene, je lahko rezultat preprosto napačen."
Posledice napada na delovno obremenitev AI bodo odvisne od aplikacije, vendar rezultat nikoli ne bo dober. Vprašanje je le, ali bo povzročil resno škodo ali poškodbo.
Čeprav so napadi glavni poudarek zaščite, niso edina skrb vzbujajoča področja. "Grožnje" spadajo v dve široki kategoriji - namerno vmešavanje slabega akterja in nenamerne težave, ki jih na splošno lahko razumemo kot hrošče, bodisi v strojni ali programski opremi," je dejal Panesar.
Varnostni temelj
Obstajajo temeljni varnostni pojmi, ki veljajo za vsako računalniško okolje, in računalništvo z umetno inteligenco ni izjema. Medtem ko je treba posebno pozornost nameniti določenim vidikom delovne obremenitve umetne inteligence, ni treba zaščititi le te delovne obremenitve. »Razmišljati moramo o integriteti delovanja celotnega sistema, ne le o določenem čipu ali podsistemu na čipu, s katerim imamo opravka,« je dejal Panesar.
Kot je opisal Stevens, je treba obravnavati štiri vidike varnosti. Prvič, podatki in računalništvo morajo biti zasebni. Drugič, napadalcu ne bi smelo biti omogočeno, da kjer koli in kadar koli spremeni podatke. Tretjič, za vse subjekte, ki sodelujejo pri računanju, mora biti znano, da so pristni. In četrtič, napadalcu ne bi smelo biti mogoče posegati v normalno delovanje računalniške platforme.
To vodi do nekaterih osnovnih varnostnih konceptov, za katere upamo, da jih bodo poznali vsi, ki se ukvarjajo z načrtovanjem varnega sistema. Prva od teh je zaščita podatkov v treh fazah:
1. Podatki v mirovanju, ki vključujejo vse shranjene podatke;
2. Podatki v gibanju, ko se sporočajo z enega kraja na drugega, in
3. Podatki v uporabi, ki so aktivni in živi v računalniški platformi, ko se na njej dela.
Še ena znana zahteva je zaupanja vredno okolje izvajanja (TEE). To je računalniško okolje, omejeno na zelo zaupanja vredno programsko opremo in dostopno preostali računalniški platformi samo prek visoko nadzorovanih in zaupanja vrednih kanalov. Vsa kritična strojna oprema ali druga sredstva, ki jih ni mogoče ogroziti, bodo postavljena v to okolje in ne bodo neposredno dostopna zunaj TEE.
TEE zagotavlja temeljni način obravnavanja kritičnih varnostnih operacij na način, ki je veliko manj podvržen motnjam zunanje programske opreme. Aplikacijsko programsko opremo ohranja ločeno od varnostnih operacij na nižji ravni. Prav tako upravlja postopek zagona, da zagotovi, da poteka varno in zanesljivo, ter ujame vse poskuse zagona nepristne kode.
Za varno računalništvo je potrebna široka paleta operacij. Avtentikacija zagotavlja, da so entitete, s katerimi nekdo komunicira, resnično to, za kar se predstavljajo. Šifriranje varuje podatke pred radovednimi očmi. Za izvor programske opreme in drugih podatkovnih artefaktov je mogoče jamčiti z operacijami zgoščevanja in podpisovanja. In vse te funkcije zahtevajo dovolj močne ključe za zaščito pred vdori s surovo silo, zato je učinkovito zagotavljanje in upravljanje ključev nujno.
Dodatna zaščita je zagotovljena z zagotavljanjem, da so TEE in drugi kritični varnostni tokokrogi zaščiteni pred poskusi vdora ali motenj delovanja. Stranski kanali morajo biti zaščiteni, da se zagotovi, da ni mogoče vohljati po podatkih ali ključih z merjenjem zunanjih zaznavnih elektronskih artefaktov, kot je moč ali elektromagnetno sevanje.
In končno, nadaljnjo raven zaščite lahko zagotovijo vezja, ki spremljajo notranje dogajanje, da sprožijo opozorilo, če se zdi, da se dogaja nekaj sumljivega.
Če to uporabimo posebej za AI
Zagotavljanje varnosti delovnih obremenitev umetne inteligence se začne s temi osnovnimi varnostnimi zahtevami, ne glede na to, ali gre za usposabljanje ali sklepanje, in ne glede na to, ali to počnete v podatkovnem centru, lokalnem strežniku ali v robni opremi. Vendar pa obstajajo dodatni vidiki, specifični za delovne obremenitve AI, ki jih je treba upoštevati.
»Potrebne so varne implementacije umetne inteligence, da preprečimo ekstrakcijo ali krajo algoritmov za sklepanje, modelov in parametrov, učnih algoritmov in učnih nizov,« je pojasnil Stevens. »To bi pomenilo tudi preprečitev nenamerne zamenjave teh sredstev z zlonamernimi algoritmi ali nizi podatkov. S tem bi se izognili zastrupitvi sistema, da bi spremenili rezultate sklepanja, kar bi povzročilo napačno klasifikacijo.
Nove arhitekture strojne opreme za obdelavo AI zagotavljajo še en del sistema, ki potrebuje zaščito. »Srce sistema je očitno nabor zmogljivih pospeševalnih čipov, ki segajo od peščice do velike matrike namenskih procesorskih enot AI z lastnim pomnilnikom in samo z eno nalogo, in sicer obdelati čim več podatkov v najkrajši časovni okvir,« je opozoril Stevens.
Oblikovalci morajo najprej upoštevati posebna sredstva, ki potrebujejo zaščito. Najbolj očitna je strojna oprema za usposabljanje ali sklepanje. »Na rezinah je običajno prehodni CPE z namensko bliskavico in DDR,« je dejal Stevens. »Njegova naloga je upravljanje modelov, dodajanje sredstev. in kontrolni pospeševalci. Potem je tu še povezava s strukturo — omrežje visoke hitrosti ali vmesniki PCIe-4 ali -5. Nekatera rezila imajo tudi lastniške povezave med rezili.”
Slika 1: Splošna rezina AI za podatkovni center. Poleg običajnega procesorja, dinamičnega pomnilnika in omrežne povezave bodo pospeševalci opravili težko delo, ki jim bo pomagal notranji SRAM. Vir: Rambus
Poleg tega obstajajo različne vrste podatkov, ki jih je treba zaščititi in so odvisne od tega, ali je operacija usposabljanje ali sklepanje. Pri usposabljanju modela je treba zaščititi vzorce podatkov za usposabljanje in osnovni model, ki se usposablja. Pri sklepanju je treba zaščititi usposobljeni model, vse uteži, vhodne podatke in izhodne rezultate.
Operativno je to novo, hitro razvijajoče se področje, zato je verjetno odpravljanje napak. Vsako odpravljanje napak mora biti izvedeno varno — in vse zmožnosti odpravljanja napak morajo biti izključene, ko niso v overjeni uporabi.
In spremembe kode ali katerega koli drugega sredstva morajo biti dostavljene v dobro zavarovanih posodobitvah. Predvsem je verjetno, da se bodo modeli sčasoma izboljšali. Torej mora obstajati način, kako stare različice zamenjati z novejšimi, hkrati pa nepooblaščenim osebam preprečiti zamenjavo veljavnega modela z neavtentičnim.
"Varne posodobitve vdelane programske opreme, kot tudi možnost varnega odpravljanja napak v sistemu, postajajo dandanes pomembne," je dejal Stevens.
Tveganja kršitev podatkov
Precej očitno je, da je treba podatke zaščititi pred krajo. Vsaka taka kraja je očitno kršitev zaupnosti, vendar so posledice tega še hujše, če so vpleteni državni predpisi. Primeri takšne ureditve so pravila GDPR v Evropi in pravila zdravstvenega varstva HIPAA v ZDA.
Toda poleg popolne kraje je zaskrbljujoča tudi manipulacija s podatki. Podatke o usposabljanju bi na primer lahko spremenili bodisi kot sredstvo za odkrivanje skrivnosti ali preprosto za zastrupitev usposabljanja, tako da bi nastali model deloval slabo.
Velik del računalništva – zlasti pri usposabljanju modela – se bo zgodil v podatkovnem centru, kar lahko vključuje strežnike z več najemniki za nižje stroške delovanja. »Več podjetij in ekip se zanaša na skupne vire računalništva v oblaku iz različnih razlogov, večinoma zaradi razširljivosti in stroškov,« je opazila Dana Neustadter, višja vodja trženja izdelkov za varnost IP pri Synopsys.
To pomeni, da na isti strojni opremi obstaja več opravil. In vendar se ta opravila ne smejo izvajati nič manj varno, kot če bi bila na ločenih strežnikih. Izolirati jih mora programska oprema na način, ki preprečuje, da bi karkoli – podatki ali kaj drugega – uhajalo iz enega opravila v drugo.
»Selitev računalništva v oblak lahko povzroči morebitna varnostna tveganja, ko sistem ni več pod vašim nadzorom,« je dejal Neustadter. »Ne glede na to, ali so napačni ali zlonamerni, so lahko podatki enega uporabnika zlonamerna programska oprema drugega uporabnika. Uporabniki morajo zaupati ponudniku oblaka, da izpolnjuje standarde skladnosti, izvaja ocene tveganja, nadzoruje dostop uporabnikov itd.«
Kontejnerizacija običajno pomaga izolirati procese v okolju z več najemniki, vendar je še vedno možno, da en lažni proces vpliva na druge. "Težava, ki povzroči, da aplikacija porabi sredstva za obdelavo, lahko vpliva na druge najemnike," je opozoril Panesar. "To je še posebej pomembno v kritičnih okoljih, kot je zdravniško poročilo, ali kjer koli, kjer imajo najemniki zavezujočo SLA (pogodbo o ravni storitev)."
Nazadnje, čeprav morda ne vpliva na določen izid izračuna ali zaupnost podatkov, morajo operacije podatkovnega središča zagotoviti, da so upravni postopki varni pred petljanjem. "Varnost mora biti prisotna tudi za zagotovitev pravilnega zaračunavanja storitev in za preprečevanje neetične uporabe, kot je rasno profiliranje," je poudaril Stevens.
Novi standardi bodo razvijalcem pomagali zagotoviti, da pokrivajo vse potrebne osnove.
»Industrija razvija standarde, kot je varnost vmesnika PCIe, pri čemer PCI-SIG poganja specifikacijo celovitosti in šifriranja podatkov (IDE), ki jo dopolnjujeta merjenje in avtentikacija komponent (CMA) ter V/I zaupanja vrednega izvajalskega okolja (TEE-I/ O),« je rekel Neustadter. "Varnostni protokol vmesnika dodelljive naprave (ADISP) in drugi protokoli širijo virtualizacijske zmogljivosti zaupanja vrednih virtualnih strojev, ki se uporabljajo za ohranjanje zaupnih računalniških delovnih obremenitev izoliranih od gostiteljskih okolij, podprtih z močno avtentikacijo in upravljanjem ključev."
Slika 2: Računalništvo z umetno inteligenco vključuje številna sredstva in vsako ima posebne varnostne potrebe. Vir: Rambus
Izvajanje zaščit
Glede na tipično računalniško okolje z umetno inteligenco je torej treba izvesti več korakov, da zaklenete operacije. Začnejo s strojno opremo koren zaupanja (HRoT).
HRoT je zaupanja vredno, neprozorno okolje, kjer je mogoče izvajati varne operacije, kot sta preverjanje pristnosti in šifriranje, ne da bi pri tem razkrili uporabljene ključe ali druge skrivnosti. Lahko je kritična komponenta TEE. Običajno so povezani s procesorjem v klasični arhitekturi, vendar je tukaj običajno več kot en procesni element.
Zlasti novejši čipi strojne opreme, namenjeni obdelavi z umetno inteligenco, nimajo vgrajenih zmožnosti korenskega zaupanja. »Številni nedavni načrti pospeševalnikov AI/ML – zlasti pri zagonskih podjetjih – so bili osredotočeni predvsem na pridobivanje najbolj optimalne obdelave NPU,« je pojasnil Stevens v nadaljnjem intervjuju. "Varnost ni bila v središču pozornosti ali pa ni bila na njihovem radarju."
To pomeni, da bo sistem moral zagotoviti HRoT drugje in za to obstaja nekaj možnosti.
Eden od pristopov, ki se osredotoča na podatke v uporabi, je dati vsakemu računalniškemu elementu – na primer gostiteljskemu čipu in pospeševalnemu čipu – svoj lastni HRoT. Vsak HRoT bi obravnaval lastne ključe in izvajal operacije po navodilih povezanega procesorja. Lahko so monolitno integrirani v SoC, čeprav to trenutno ne velja za nevronske procesorje.
Druga možnost, ki se osredotoča na podatke v gibanju, je zagotoviti HRoT na omrežni povezavi, da se zagotovi, da so vsi podatki, ki vstopajo na ploščo, čisti. »Za podatke v gibanju so zahteve glede prepustnosti izjemno visoke, z zahtevami po zelo nizkih zakasnitvah,« je dejal Stevens. "Sistemi uporabljajo efemerne ključe, saj običajno delujejo s ključi seje."
»Za preverjanje pristnosti bi moral rezilo dobiti identifikacijska številka, ki pa ni nujno, da ostane skrivnost,« je nadaljeval. »Samo mora biti edinstven in nespremenljiv. Lahko je veliko ID-jev, eden za vsak čip ali eden za samo rezilo ali napravo.«
Ti zunanji HRoT morda ne bodo potrebni, ko bo varnost vgrajena v prihodnje nevronske procesne enote (NPU). "Sčasoma, ko se bodo začetni dokazi koncepta NPU zagonskih podjetij izkazali za uspešne, bo imela arhitektura njihovega drugega vrtljaja teh modelov korenine zaupanja, ki bodo imele več kriptografskih zmogljivosti za obvladovanje večjih delovnih obremenitev," je dodal Stevens.
Podatki, ki se premikajo iz SRAM-a v DRAM ali obratno, morajo biti tudi šifrirani, da zagotovijo, da jih ni mogoče vohljati. Enako velja za vsako neposredno stransko povezavo s sosednjo ploščo.
S tolikšno količino šifriranja, ki je vgrajeno v že tako intenzivno računanje, obstaja tveganje, da se bo delovanje zapletlo. Varno delovanje je ključnega pomena, vendar nikomur ne služi, če ohromi samo delovanje.
"Omrežje ali povezavo PCI Express do tkanine je treba zaščititi z vstavitvijo visoko zmogljivega mehanizma varnostnih paketov, ki pozna protokol L2 ali L3," je dodal Stevens. "Tak paketni mehanizem zahteva malo podpore CPE."
To lahko velja tudi za pomnilnik in šifriranje prometa med rezili. »Vsebino prehoda CPE DDR in lokalnega pospeševalnika AI GDDR je mogoče zaščititi z vgrajenim mehanizmom za šifriranje pomnilnika,« je dejal. »Če obstaja namenski stranski kanal od rezila do rezila, ga je mogoče zaščititi z visoko zmogljivim AES-GCM [Način Galois/Števec] pospeševalniki šifriranja povezav.«
Nazadnje, standardne varnostne zaščite je mogoče podpreti s stalnim spremljanjem, ki sledi dejanskemu delovanju. "Iz strojne opreme morate zbrati informacije, ki vam lahko povedo, kako se sistem obnaša," je dejal Panesar. »To mora biti statistika v realnem času, takojšnja in dolgoročna. Prav tako mora biti razumljiv (človeku ali stroju) in izvedljiv. Podatki o temperaturi, napetosti in času so zelo dobri, vendar potrebujete tudi višje nivoje, bolj sofisticirane informacije.«
Vendar to ni nadomestilo za strogo varnost. "Cilj je prepoznati težave, ki bi se lahko izognile običajni varnostni zaščiti - vendar to ni nadomestilo za takšno zaščito," je dodal.
Trdo delo naprej
Ti elementi niso nujno enostavni za izvedbo. To zahteva trdo delo. »Odpornost, zmožnost varnega posodabljanja sistema in zmožnost okrevanja po uspešnem napadu so pravi izzivi,« je opozoril Mike Borza, varnostni IP arhitekt pri Synopsys. "Gradnja takšnih sistemov je zelo, zelo težka."
Ker pa računalništvo z umetno inteligenco postaja vse bolj rutinsko, se bodo inženirji, ki niso strokovnjaki za modeliranje podatkov ali varnost, vse pogosteje obračali na storitve ML, ko bodo v svoje aplikacije vgrajevali umetno inteligenco. Zanesti se morajo na infrastrukturo, dobro skrbeti za svoje pomembne podatke, tako da modeli in izračuni, ki jih bodo uporabili za razlikovanje svojih izdelkov, ne bodo prišli v napačne roke.
Podobni
Varnostni kompromisi pri čipih in sistemih AI
Strokovnjaki za mizo: Kako varnost vpliva na moč in zmogljivost, zakaj je sisteme umetne inteligence tako težko zavarovati in zakaj je zasebnost vedno bolj pomembna.
Raziskave varnosti
Novi varnostni tehnični dokumenti, predstavljeni na varnostnem simpoziju USENIX 21. avgusta.
Vedno vklopljen, vedno v nevarnosti
Zaskrbljenost glede varnosti čipov se povečuje z več procesorskimi elementi, samodejnim prebujanjem, posodobitvami po zraku in večjo povezljivostjo.
Center znanja o varnosti
Najbolj priljubljene novice, bele knjige, blogi, videoposnetki o varnosti strojne opreme
Center znanja AI
Vir: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- plin
- pospeševalniki
- dostop
- Račun
- aktivna
- Dodatne
- Sporazum
- AI
- AI usposabljanje
- algoritmi
- vsi
- Dovoli
- uporaba
- aplikacije
- Arhitektura
- OBMOČJE
- Sredstva
- Napadi
- Avgust
- Avtentična
- Preverjanje pristnosti
- zaračunavanje
- BLADE
- blogi
- svet
- kršitev
- hrošči
- ki
- Vzrok
- kanali
- čip
- čipi
- Cloud
- računalništvo v oblaku
- Koda
- Podjetja
- skladnost
- komponenta
- računalništvo
- povezava
- Povezovanje
- Vsebina
- par
- datum
- Podatkovno središče
- Centri podatki
- deliti
- Ponudba
- Oblikovanje
- Razvijalci
- Direktor
- Moti
- vožnjo
- Edge
- Učinkovito
- šifriranje
- Inženirji
- okolje
- oprema
- Evropa
- izvedba
- Razširi
- dodatna varnost
- pridobivanje
- tkanina
- Slika
- končno
- prva
- Flash
- Osredotočite
- Prihodnost
- GDPR
- dobro
- vlada
- Pridelovanje
- Rast
- taksist
- Ravnanje
- strojna oprema
- mešanje
- tukaj
- visoka
- gostovanje
- Kako
- HTTPS
- identificirati
- Industrija
- Podatki
- Infrastruktura
- intelektualne lastnine
- Intervju
- vključeni
- IP
- IT
- Job
- Delovna mesta
- Ključne
- tipke
- znanje
- velika
- učenje
- Limited
- LINK
- lokalna
- Stroji
- zlonamerna programska oprema
- upravljanje
- Manipulacija
- Trženje
- Matrix
- medicinski
- ML
- Model
- modeliranje
- spremljanje
- mreža
- Nevronski
- operacije
- Možnost
- možnosti
- Ostalo
- drugi
- performance
- platforma
- strup
- bazen
- moč
- predstaviti
- preprečevanje
- zasebnost
- zasebna
- Izdelek
- Izdelki
- nepremičnine
- zaščito
- zaščita
- Rasno profiliranje
- radar
- Sevanje
- dvigniti
- območje
- v realnem času
- Razlogi
- Obnovi
- Uredba
- predpisi
- Zahteve
- Raziskave
- viri
- REST
- Rezultati
- Tveganje
- pravila
- varna
- Prilagodljivost
- varnost
- Varnostne operacije
- Storitve
- deli
- Enostavno
- So
- Software
- rešitve
- Spin
- standardi
- Začetek
- Ustanavljanjem
- Države
- ukradeno
- zgodbe
- uspešno
- podpora
- sistem
- sistemi
- tehnični
- Kraja
- čas
- sledenje
- Prometa
- usposabljanje
- Zaupajte
- Velika
- Združene države Amerike
- Nadgradnja
- posodobitve
- Uporabniki
- Video posnetki
- Virtual
- WHO
- Wikipedia
- v
- delo