Güvenlik ihtiyacı tüm elektronik sistemlere yayılmış durumdadır. Ancak son derece değerli verilerle ilgilenen veri merkezi makine öğrenimi bilgi işlemindeki büyüme göz önüne alındığında, bazı şirketler bu verilerin güvenli bir şekilde işlenmesine özellikle dikkat ediyor.
Tüm olağan veri merkezi güvenlik çözümlerinin uygulanması gerekir, ancak modellerin ve veri kümelerinin depolandığında, hem hızlandırıcı blade'lerine aktarılırken hem de hızlandırıcı blade'lerinden aktarılırken ve barındıran bir sistem üzerinde işlenirken korunmasını sağlamak için ekstra çaba gösterilmesi gerekir. Aynı sunucuda aynı anda birden fazla kiracı.
Ürün pazarlaması kıdemli direktörü Bart Stevens, "Çıkarım modelleri, çıkarım algoritmaları, eğitim modelleri ve eğitim veri kümeleri değerli fikri mülkiyet olarak kabul ediliyor ve korumaya ihtiyaç duyuyor; özellikle de bu değerli varlıklar, paylaşılan kaynaklar üzerinde işlenmek üzere veri merkezlerine devredildiği için" dedi. güvenlik IP'si için Rambus, yakın zamanda yapılan bir sunumda.
Yapay zeka eğitim verilerine herhangi bir şekilde müdahale edilmesi hatalı bir modelin oluşturulmasına neden olabilir. İyi eğitilmiş bir modelde yapılacak herhangi bir değişiklik, yapay zeka motorunun yanlış sonuçlara varmasına neden olabilir. Gajinder Panesar, "Üç ana öğrenme türü de (denetimli, gözetimsiz ve pekiştirmeli) bir sonuç üretmek için ağırlıklı hesaplamalar kullanıyor" dedi. Siemens EDA. "Eğer bu ağırlıklandırmalar eskiyse, bozulmuşsa veya tahrif edilmişse, o zaman sonuç tamamen yanlış bir sonuç olabilir."
Yapay zeka iş yüküne yönelik bir saldırının sonuçları uygulamaya bağlı olacaktır ancak sonuç hiçbir zaman iyi olmayacaktır. Tek soru ciddi hasara veya yaralanmaya neden olup olmayacağıdır.
Korumanın ana odağı saldırılar olsa da endişe duyulan tek alan bunlar değil. Panesar, "'Tehditler' iki geniş kategoriye ayrılıyor; kötü bir aktörün kasıtlı müdahalesi ve genellikle donanımda veya yazılımda hata olarak düşünülebilecek kasıtsız sorunlar" dedi.
Güvenlik temeli
Her türlü bilgi işlem ortamı için geçerli olan temel güvenlik kavramları vardır ve yapay zeka bilişimi de bir istisna değildir. Yapay zeka iş yükünün belirli yönlerine özel dikkat gösterilmesi gerekse de korunması gereken yalnızca iş yükü değildir. Panesar, "Sadece uğraştığımız belirli çip veya çip üstü alt sistem değil, tüm sistemin çalışma bütünlüğünü düşünmeliyiz" dedi.
Stevens'ın da belirttiği gibi güvenliğin ele alınması gereken dört yönü vardır. İlk olarak, veriler ve bilgi işlem gizli tutulmalıdır. İkincisi, bir saldırganın herhangi bir veriyi herhangi bir zamanda, herhangi bir yerde değiştirmesi mümkün olmamalıdır. Üçüncüsü, bilişime katılan tüm varlıkların gerçek olduğunun bilinmesi gerekir. Dördüncüsü, bir saldırganın bilgi işlem platformunun normal çalışmasına müdahale etmesi mümkün olmamalıdır.
Bu, güvenli sistem tasarımıyla ilgilenen herkesin aşina olacağını umduğumuz bazı temel güvenlik kavramlarına yol açmaktadır. Bunlardan ilki verilerin üç aşamada korunmasıdır:
1. Saklanan verileri de içeren, kullanımda olmayan veriler;
2. Bir yerden diğerine iletilirken hareket halindeki veriler ve
3. Üzerinde çalışıldığı sırada bilgi işlem platformunda aktif ve canlı olan kullanımdaki veriler.
Bilinen bir diğer gereksinim ise güvenilir yürütme ortamıdır (TEE). Bu, son derece güvenilir yazılımlarla sınırlı olan ve bilgi işlem platformunun geri kalanına yalnızca yüksek düzeyde kontrol edilen ve güvenilir kanallar aracılığıyla erişilebilen bir bilgi işlem ortamıdır. Güvenliği ihlal edilemeyecek her türlü kritik donanım veya diğer varlıklar bu ortama yerleştirilecek ve TEE dışından doğrudan erişilemeyecek.
TEE, kritik güvenlik operasyonlarını, dış yazılımların müdahalesine çok daha az maruz kalacak şekilde yürütmenin temel bir yolunu sağlar. Uygulama yazılımını alt düzey güvenlik operasyonlarından ayrı tutar. Ayrıca, orijinal olmayan kodu başlatma girişimlerini yakalayarak, güvenli ve güvenilir bir şekilde ilerlemesini sağlamak için önyükleme sürecini yönetir.
Güvenli bilgi işlem için gereken çok çeşitli işlemler vardır. Kimlik doğrulama, kişinin iletişim kurduğu varlıkların gerçekten söyledikleri kişi olmasını sağlar. Şifreleme, verileri meraklı gözlerden korur. Yazılım ve diğer veri yapılarının kaynağı, karma ve imzalama işlemleriyle doğrulanabilir. Ve tüm bu işlevler, kaba kuvvet korsanlığına karşı koruma sağlamak için yeterli güce sahip anahtarlar gerektirir ve bu da etkili anahtar tedariği ve yönetimini zorunlu kılar.
TEE'lerin ve diğer kritik güvenlik devrelerinin izinsiz girme veya çalışmayı bozma girişimlerine karşı korunması sağlanarak ek korumalar sağlanır. Güç veya elektromanyetik radyasyon gibi harici olarak algılanabilen elektronik yapaylıkları ölçerek verileri veya anahtarları gözetlemenin mümkün olmadığından emin olmak için yan kanalların korunması gerekir.
Ve son olarak, şüpheli bir durum ortaya çıktığında uyarı vermek üzere dahili gelişmeleri izleyen devreler tarafından ilave bir koruma katmanı sağlanabilir.
Bunu özellikle yapay zekaya uygulamak
Yapay zeka iş yüklerini güvende tutmak, ister eğitim ister çıkarım olsun, ister bir veri merkezinde, ister yerel bir sunucuda ister uç ekipmanda olsun, bu temel güvenlik gereksinimleriyle başlar. Ancak yapay zeka iş yüklerine özel dikkate alınması gereken ek hususlar vardır.
Stevens, "Çıkarım algoritmalarının, modellerinin ve parametrelerinin, eğitim algoritmalarının ve eğitim setlerinin çıkarılmasını veya çalınmasını önlemek için güvenli yapay zeka uygulamaları gereklidir" diye açıkladı. "Bu aynı zamanda bu varlıkların istenmeyen şekilde kötü amaçlı algoritmalar veya veri kümeleriyle değiştirilmesinin önlenmesi anlamına da gelecektir. Bu, çıkarım sonuçlarını değiştirecek şekilde sistemin zehirlenmesini ve yanlış sınıflandırmaya neden olmasını önleyecektir."
Yeni yapay zeka işleme donanımı mimarileri, sistemin korunması gereken başka bir bölümünü sağlıyor. “Sistemin kalbi, bir avuç dolusu özel yapay zeka işleme birimlerinden oluşan, kendi bellek havuzlarına sahip ve tek bir görevi olan, mümkün olduğu kadar çok veriyi tek bir işlem biriminde işlemek olan, büyük bir matrise kadar değişen, güçlü hızlandırıcı çiplerden oluşan bir dizidir. en kısa zaman dilimi” diye belirtti Stevens.
Tasarımcılar öncelikle korunması gereken belirli varlıkları hesaba katmalıdır. En belirgin olanı eğitim veya çıkarım donanımıdır. Stevens, "Genellikle blade'lerde görülen, özel bir flash ve DDR'ye sahip bir ağ geçidi CPU'sudur" dedi. “Görevi modelleri yönetmek, varlıkları eklemek. ve kontrol hızlandırıcıları. Daha sonra yapıya bağlantı var - yüksek hızlı bir ağ veya PCIe-4 veya -5 arayüzleri. Bazı bıçakların ayrıca bıçaklar arası özel bağlantıları da vardır."
Şekil 1: Bir veri merkezi için genelleştirilmiş bir AI blade. Olağan CPU, dinamik bellek ve ağ bağlantısına ek olarak hızlandırıcılar, dahili SRAM'ın desteğiyle işin zor kısmını halledecektir. Kaynak: Rambus
Ayrıca korunması gereken çeşitli veri türleri vardır ve bunlar işlemin eğitim mi yoksa çıkarım mı olduğuna bağlıdır. Bir modeli eğitirken, eğitim veri örnekleri ve eğitilen temel model korunmalıdır. Çıkarım yaparken, eğitilen modelin, tüm ağırlıkların, giriş verilerinin ve çıkış sonuçlarının korunması gerekir.
Operasyonel olarak bu yeni, hızla gelişen bir alandır ve bu nedenle hata ayıklama olasılığı yüksektir. Tüm hata ayıklama işlemleri güvenli bir şekilde gerçekleştirilmelidir ve kimlik doğrulaması yapılmadığında tüm hata ayıklama özellikleri kapatılmalıdır.
Kodda veya diğer varlıklardan herhangi birinde yapılan değişikliklerin iyi güvenlikli güncellemeler halinde teslim edilmesi gerekir. Özellikle modellerin zaman içinde gelişmesi muhtemeldir. Bu nedenle, eski sürümleri daha yenileriyle değiştirmenin bir yolu olmalı, aynı zamanda yetkisiz kişilerin geçerli bir modeli orijinal olmayan bir modelle değiştirmesine de izin verilmemelidir.
Stevens, "Güvenli donanım yazılımı güncellemeleri ve sistemde güvenli bir şekilde hata ayıklama yeteneği bugünlerde önemli hale geliyor" dedi.
Veri ihlali riskleri
Verilerin çalınmaya karşı korunması gerektiği oldukça açıktır. Bu tür bir hırsızlık açıkça bir gizlilik ihlalidir, ancak hükümet düzenlemeleri söz konusu olduğunda bunun sonuçları daha da vahimdir. Bu tür düzenlemelerin örnekleri, Avrupa'daki GDPR kuralları ve Amerika Birleşik Devletleri'ndeki HIPAA sağlık hizmetleri kurallarıdır.
Ancak doğrudan hırsızlığın yanı sıra verilerin manipülasyonu da endişe vericidir. Örneğin eğitim verileri, bazı sırları açığa çıkarmak için veya sonuçta ortaya çıkan modelin kötü çalışmasını sağlayacak şekilde eğitimi zehirlemek için değiştirilebilir.
Bilgi işlemin büyük bir kısmı (özellikle bir model eğitilirken) bir veri merkezinde gerçekleştirilecektir ve bu, daha düşük maliyetli operasyon için çok kiracılı sunucuları içerebilir. Güvenlik IP'sinden sorumlu kıdemli ürün pazarlama müdürü Dana Neustadter, "Daha fazla şirket ve ekip, başta ölçeklenebilirlik ve maliyet olmak üzere çeşitli nedenlerden dolayı paylaşılan bulut bilişim kaynaklarına güveniyor" dedi. Synopsus.
Bu, aynı donanım üzerinde birden fazla işin bir arada var olduğu anlamına gelir. Ancak yine de bu işlerin, ayrı sunucularda olduğundan daha az güvenli bir şekilde yürütülmesi gerekir. Herhangi bir şeyin (veri veya başka bir şey) bir işten diğerine sızmasını önleyecek şekilde bir yazılımla izole edilmeleri gerekir.
Neustadter, "Bilgisayarın buluta taşınması, sistem artık sizin kontrolünüz altında olmadığında potansiyel güvenlik risklerini beraberinde getirebilir" dedi. “İster hatalı ister kötü niyetli olsun, bir kullanıcının verileri başka bir kullanıcının kötü amaçlı yazılımı olabilir. Kullanıcıların uyumluluk standartlarını karşılamak, risk değerlendirmeleri yapmak, kullanıcı erişimini kontrol etmek vb. konularda bulut sağlayıcısına güvenmesi gerekiyor."
Konteynerleştirme genellikle çok kiracılı bir ortamda süreçlerin yalıtılmasına yardımcı olur, ancak yine de bir hileli sürecin diğerlerini etkilemesi mümkündür. Panesar, "Bir uygulamanın işleme kaynaklarını tüketmesine neden olan bir sorun diğer kiracıları etkileyebilir" dedi. "Bu özellikle tıbbi raporlama gibi kritik ortamlarda veya kiracıların bağlayıcı bir SLA'ya (hizmet düzeyi sözleşmesi) sahip olduğu her yerde önemlidir."
Son olarak, bir hesaplamanın spesifik sonucunu veya veri gizliliğini etkilemese de veri merkezi operasyonları, idari operasyonların kurcalamaya karşı güvenli olmasını sağlamalıdır. Stevens, "Hizmetlerin uygun şekilde faturalandırılmasını sağlamak ve ırksal profil oluşturma gibi etik olmayan kullanımları önlemek için güvenliğin de mevcut olması gerekir" dedi.
Yeni standartlar, geliştiricilerin gerekli tüm temelleri karşıladıklarından emin olmalarına yardımcı olacak.
“Sektör, PCI-SIG'nin bir bütünlük ve veri şifreleme (IDE) spesifikasyonu sağlayan, bileşen ölçümü ve kimlik doğrulama (CMA) ve güvenilir yürütme ortamı I/O (TEE-I/) ile tamamlandığı PCIe arayüzü güvenliği gibi standartlar geliştiriyor. O)," dedi Neustadter. "Atanabilir cihaz arayüzü güvenlik protokolü (ADISP) ve diğer protokoller, güçlü kimlik doğrulama ve anahtar yönetimiyle desteklenen, gizli bilgi işlem iş yüklerini barındırma ortamlarından izole etmek için kullanılan güvenilir sanal makinelerin sanallaştırma yeteneklerini genişletiyor."
Şekil 2: Yapay zeka bilişimi bir dizi varlık içerir ve her birinin kendine özgü güvenlik ihtiyaçları vardır. Kaynak: Rambus
Korumaların uygulanması
Tipik bir yapay zeka bilgi işlem ortamı göz önüne alındığında, işlemleri kilitlemek için atılması gereken birkaç adım vardır. Bir donanımla başlıyorlar güven kaynağı (HRoT).
HRoT, kimlik doğrulama ve şifreleme gibi güvenli işlemlerin, kullanılan anahtarları veya diğer sırları açığa çıkarmadan gerçekleştirilebildiği güvenilir, opak bir ortamdır. Bir TEE'nin kritik bir bileşeni olabilir. Genellikle klasik mimaride bir işlemciyle ilişkilendirilirler ancak burada genellikle birden fazla işlem öğesi bulunur.
Özellikle yapay zeka işlemeye ayrılmış yeni donanım yongaları, yerleşik güven kökü özelliklerine sahip değildir. Stevens, bir takip röportajında şunları söyledi: "Özellikle yeni kurulan şirketler tarafından yapılan pek çok yeni AI/ML hızlandırıcı tasarımı, temel olarak en uygun NPU işlemeyi sağlamaya odaklandı." "Güvenlik ana odak noktası değildi ya da onların radarında değildi."
Bu, bir sistemin başka bir yerde HRoT sağlaması gerekeceği anlamına gelir ve bunun için birkaç seçenek vardır.
Kullanımdaki verilere odaklanan yaklaşımlardan biri, her bilgi işlem elemanına (örneğin ana bilgisayar çipi ve hızlandırıcı çip) kendi HRoT'sini vermektir. Her HRoT kendi anahtarlarını yönetecek ve ilgili işlemcinin talimatı doğrultusunda işlemleri gerçekleştirecektir. Şu anda sinir işlemcileri için durum böyle olmasa da, SoC'lere monolitik olarak entegre edilmiş olabilirler.
Hareket halindeki verilere odaklanan diğer seçenek ise ağ bağlantısında HRoT sağlayarak panoya giren tüm verilerin temiz olmasını sağlamaktır. Stevens, "Hareket halindeki veriler için üretim gereksinimleri son derece yüksek ve çok düşük gecikme gereksinimleri var" dedi. "Sistemler genellikle oturum anahtarlarıyla çalıştıkları için geçici anahtarlar kullanıyor."
"Kimlik doğrulama için blade'in bir kimlik Numarası, bunun mutlaka gizli tutulmasına gerek yok," diye devam etti. “Sadece benzersiz ve değişmez olması gerekiyor. Her çip için bir tane ya da bıçağın ya da cihazın kendisi için bir tane olmak üzere birçok kimlik olabilir."
Gelecekteki sinirsel işleme birimlerine (NPU'lar) güvenlik yerleştirildiğinde bu harici HRoT'lara ihtiyaç duyulmayabilir. "Nihayetinde, start-up'ların ilk NPU konsept kanıtlarının başarılı olduğu gösterildiğinde, bu tasarımların ikinci spininin mimarisi, daha büyük iş yüklerini idare etmek için daha fazla kriptografik yeteneklere sahip olacak olan kök güven yeteneklerine sahip olacak." Stevens'ı ekledi.
SRAM'den DRAM'e veya SRAM'den DRAM'e taşınan veriler de, gözetlenemeyeceğinden emin olmak için şifrelenmelidir. Aynı durum, komşu panele herhangi bir doğrudan yan bağlantı için de geçerli olacaktır.
Zaten yoğun olan bir hesaplamanın içine bu kadar çok şifreleme yerleştirilmişse, operasyonda çıkmaza girme riski vardır. Güvenli operasyon kritik öneme sahiptir ancak operasyonun kendisini sekteye uğratması kimseye fayda sağlamaz.
Stevens, "Yapıya giden ağ veya PCI Express bağlantısı, yüksek verimli L2 veya L3 protokolüne duyarlı bir güvenlik paketi motoru eklenerek korunmalıdır" diye ekledi. "Böyle bir paket motoru CPU'dan çok az destek gerektirir."
Bu, bellek ve blade'den blade'e trafik şifrelemesi için de geçerli olabilir. "Ağ geçidi CPU DDR ve yerel AI hızlandırıcı GDDR'lerin içerikleri, satır içi bellek şifreleme motoruyla korunabilir" dedi. "Eğer özel bir blade'den blade'e yan kanal mevcutsa, bu yüksek verimli AES-GCM tarafından korunabilir [Galois/Sayaç Modu] bağlantı şifreleme hızlandırıcıları."
Son olarak, standart güvenlik korumaları, fiili operasyonu takip eden sürekli izlemeyle desteklenebilir. Panesar, "Size sistemin nasıl davrandığını söyleyebilecek donanımdan bilgi toplamanız gerekiyor" dedi. "Bunun gerçek zamanlı, anlık ve uzun vadeli istatistiksel olması gerekiyor. Aynı zamanda anlaşılabilir (insan ya da makine tarafından) ve eyleme geçirilebilir olması da gerekir. Sıcaklık, voltaj ve zamanlama verilerinin hepsi çok iyi ancak aynı zamanda daha yüksek düzeyde, daha karmaşık bilgilere de ihtiyacınız var."
Ancak bu, sıkı güvenliğin yerini tutmaz. "Amaç, geleneksel güvenlik korumalarından kaçabilecek sorunları tespit etmektir ancak bu, bu tür bir korumanın yerini almaz" diye ekledi.
İleride sıkı çalışma
Bu unsurların uygulanması mutlaka basit değildir. Bu çok çalışmayı gerektirir. Synopsys güvenlik IP mimarı Mike Borza, "Dayanıklılık, bir sistemi güvenli bir şekilde güncelleme yeteneği ve başarılı bir saldırının ardından kurtarma yeteneği gerçek zorluklardır" dedi. "Bunun gibi sistemler oluşturmak çok ama çok zordur."
Ancak yapay zeka hesaplaması giderek daha rutin hale geldikçe, veri modelleme veya güvenlik konusunda uzman olmayan mühendisler, yapay zekayı uygulamalarında çalıştırırken makine öğrenimi hizmetlerine giderek daha fazla yönelecekler. Ürünlerini farklılaştırmak için kullanacakları model ve hesaplamaların yanlış ellere geçmemesi için altyapıya güvenebilmeleri, önemli verilerine iyi bakmaları gerekiyor.
İlgili bağlantılar
Çipler ve Yapay Zeka Sistemlerinde Güvenlik Dengeleri
Uzmanlar Masada: Güvenliğin gücü ve performansı nasıl etkilediği, yapay zeka sistemlerinin güvenliğinin sağlanmasının neden bu kadar zor olduğu ve gizliliğin neden giderek artan bir konu olduğu.
Güvenlik Araştırma Parçaları
21 Ağustos USENIX Güvenlik Sempozyumunda sunulan yeni güvenlik teknik belgeleri.
Daima Açık, Daima Risk Altında
Çip güvenliği endişeleri, daha fazla işlem öğesi, otomatik uyandırma, kablosuz güncellemeler ve daha fazla bağlantıyla birlikte artıyor.
Güvenlik bilgi merkezi
Donanım güvenliğiyle ilgili önemli haberler, teknik incelemeler, bloglar, videolar
Yapay Zeka Bilgi Merkezi
Kaynak: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- hızlandırıcı
- hızlandırıcılar
- erişim
- Hesap
- aktif
- Ek
- Bireysel Üyelik Sözleşmesi
- AI
- AI eğitimi
- algoritmalar
- Türkiye
- Izin
- Uygulama
- uygulamaları
- mimari
- ALAN
- Varlıklar
- saldırılar
- Ağustos
- Otantik
- Doğrulama
- fatura
- BIÇAK
- birisinde
- yazı tahtası
- ihlal
- böcek
- hangi
- Sebeb olmak
- kanallar
- yonga
- cips
- bulut
- cloud computing
- kod
- Şirketler
- uyma
- bileşen
- bilgisayar
- bağ
- Bağlantı
- içindekiler
- Çift
- veri
- Veri Merkezi
- veri merkezleri
- ilgili
- Fırsatlar
- Dizayn
- geliştiriciler
- yönetmen
- Bozmak
- sürme
- kenar
- Etkili
- şifreleme
- Mühendisler
- çevre
- ekipman
- AVRUPA
- infaz
- Genişletmek
- ekstra güvenlik
- çıkarma
- kumaş
- Incir
- Nihayet
- Ad
- flaş
- odak
- gelecek
- KVKK
- Tercih Etmenizin
- Hükümet
- Büyüyen
- Büyüme
- hack
- kullanma
- donanım
- karma
- okuyun
- Yüksek
- hosting
- Ne kadar
- HTTPS
- belirlemek
- sanayi
- bilgi
- Altyapı
- fikri mülkiyet
- görüşme
- ilgili
- IP
- IT
- İş
- Mesleki Öğretiler
- anahtar
- anahtarlar
- bilgi
- büyük
- öğrenme
- Sınırlı
- LINK
- yerel
- Makineler
- kötü amaçlı yazılım
- yönetim
- hile
- Pazarlama
- Matris
- tıbbi
- ML
- model
- Modelleme
- izleme
- ağ
- sinirsel
- Operasyon
- seçenek
- Opsiyonlar
- Diğer
- Diğer
- performans
- platform
- zehir
- havuz
- güç kelimesini seçerim
- mevcut
- önlenmesi
- gizlilik
- özel
- PLATFORM
- Ürünler
- özellik
- korumak
- koruma
- Irksal profilleme
- radar
- Radyasyon
- yükseltmek
- menzil
- gerçek zaman
- nedenleri
- Kurtarmak
- Değişiklik Yapıldı
- yönetmelik
- Yer Alan Kurallar
- araştırma
- Kaynaklar
- DİNLENME
- Sonuçlar
- Risk
- kurallar
- güvenli
- ölçeklenebilirlik
- güvenlik
- Güvenlik Operasyonları
- Hizmetler
- Paylaşılan
- Basit
- So
- Software
- Çözümler
- Dönme
- standartlar
- başlama
- Startups
- Devletler
- çalıntı
- hikayeler
- başarılı
- destek
- sistem
- Sistemler
- Teknik
- hırsızlık
- zaman
- iz
- trafik
- Eğitim
- Güven
- Birleşik
- USA
- Güncelleme
- Güncellemeler
- kullanıcılar
- Videolar
- Sanal
- DSÖ
- Vikipedi
- içinde
- İş