Потреба в безпеці пронизує всі електронні системи. Але враховуючи зростання обчислень машинного навчання центрів обробки даних, які мають справу з надзвичайно цінними даними, деякі компанії приділяють особливу увагу безпечній обробці цих даних.
Необхідно застосувати всі звичайні рішення безпеки центрів обробки даних, але потрібні додаткові зусилля, щоб забезпечити захист моделей і наборів даних під час зберігання, як під час передачі на блейд-прискорювачі, так і з них, а також під час обробки в системі, яка містить більше одного орендаря одночасно на одному сервері.
«Моделі логічного висновку, алгоритми логічного висновку, моделі навчання та набори навчальних даних вважаються цінною інтелектуальною власністю та потребують захисту — особливо тому, що ці цінні активи передаються в центри обробки даних для обробки на спільних ресурсах», — сказав Барт Стівенс, старший директор із маркетингу продуктів. для захисту IP при Рамбус, в нещодавній презентації.
Будь-яке втручання в навчальні дані ШІ може призвести до створення несправної моделі. І будь-які зміни в добре навченій моделі можуть призвести до неправильних висновків механізму ШІ. «Усі три основні типи навчання (під наглядом, без нагляду та з підкріпленням) використовують зважені обчислення для отримання результату», — сказав Гаджиндер Панесар, співробітник Siemens EDA. «Якщо ці зважування застарілі, пошкоджені або підроблені, результат може бути просто неправильним».
Наслідки атаки для робочого навантаження ШІ залежатимуть від програми, але результат ніколи не буде хорошим. Питання лише в тому, чи призведе це до серйозних пошкоджень або травм.
Хоча атаки є головною метою захисту, вони не єдині сфери, що викликають занепокоєння. «Загрози» поділяються на дві широкі категорії — навмисне втручання зловмисника та ненавмисні проблеми, які зазвичай можна розглядати як помилки в апаратному чи програмному забезпеченні», — сказав Панесар.
Основа безпеки
Існують фундаментальні поняття безпеки, які застосовуються до будь-якого обчислювального середовища, і штучний інтелект не є винятком. Хоча певним аспектам робочого навантаження штучного інтелекту слід приділяти особливу увагу, необхідно захищати не лише це навантаження. «Ми маємо думати про цілісність роботи всієї системи, а не лише окремого чіпа чи вбудованої підсистеми, з якою ми маємо справу», — сказав Панесар.
Як підкреслив Стівенс, існує чотири аспекти безпеки, якими необхідно керуватися. По-перше, дані та обчислення мають бути конфіденційними. По-друге, для зловмисника не повинно бути можливості змінити будь-які дані в будь-якому місці в будь-який час. По-третє, усі суб’єкти, які беруть участь у обчисленні, мають бути автентичними. І по-четверте, зловмисник не повинен мати можливості втручатися в нормальну роботу обчислювальної платформи.
Це веде до деяких базових концепцій безпеки, які, сподіваюся, будуть знайомі кожному, хто займається проектуванням безпечних систем. Перший із них — захист даних у три етапи:
1. Дані в стані спокою, які включають будь-які збережені дані;
2. Дані в русі, коли вони передаються з одного місця в інше
3. Дані, що використовуються, які є активними та живими в обчислювальній платформі під час роботи.
Ще одна знайома вимога — довірене середовище виконання (TEE). Це обчислювальне середовище, обмежене надійним програмним забезпеченням і доступне для решти обчислювальної платформи лише через висококонтрольовані та надійні канали. Будь-яке критичне обладнання чи інші активи, які не можуть бути скомпрометовані, буде розміщено в цьому середовищі та не буде безпосередньо доступним за межами TEE.
TEE забезпечує фундаментальний спосіб обробки критично важливих операцій безпеки таким чином, що значно менше піддається втручанню зовнішнього програмного забезпечення. Він відокремлює прикладне програмне забезпечення від операцій безпеки нижчого рівня. Він також керує процесом завантаження, щоб забезпечити його безпечне та надійне проходження, відловлюючи будь-які спроби завантаження неавтентичного коду.
Існує широкий спектр операцій, необхідних для безпечного обчислення. Автентифікація гарантує, що суб’єкти, з якими спілкуються, справді є тими, за кого себе видають. Шифрування захищає дані від сторонніх очей. Програмне забезпечення та інші артефакти даних можуть мати своє походження за допомогою хешування та операцій підписання. І для всіх цих функцій потрібні ключі достатньої міцності для захисту від злому грубою силою, а це робить необхідним ефективне надання та керування ключами.
Додатковий захист забезпечується гарантією того, що TEE та інші критичні схеми безпеки захищені від спроб злому або переривання роботи. Бокові канали мають бути захищені, щоб не було можливості перехопити дані або ключі шляхом вимірювання зовнішніх електронних артефактів, таких як потужність або електромагнітне випромінювання.
І, нарешті, додатковий рівень захисту може бути забезпечений схемами, які відстежують внутрішні події, щоб попередити, якщо з’являється щось підозріле.
Застосовуючи це конкретно до ШІ
Захист робочих навантажень штучного інтелекту починається з цих базових вимог безпеки, незалежно від того, чи це навчання чи підтвердження, і незалежно від того, чи це робиться в центрі обробки даних, на локальному сервері чи на периферійному обладнанні. Але є додаткові міркування, характерні для робочих навантажень штучного інтелекту, які слід брати до уваги.
«Потрібні безпечні впровадження штучного інтелекту, щоб запобігти вилученню або викраденню алгоритмів логічного висновку, моделей і параметрів, алгоритмів навчання та навчальних наборів», — пояснив Стівенс. «Це також означатиме запобігання ненавмисної заміни цих активів шкідливими алгоритмами або наборами даних. Це дозволить уникнути отруєння системи, щоб змінити результати висновків, викликаючи неправильну класифікацію».
Нові апаратні архітектури обробки штучного інтелекту забезпечують ще одну частину системи, яка потребує захисту. «Серцем системи, очевидно, є масив потужних чіпів-прискорювачів, починаючи від кількох і закінчуючи великою матрицею виділених блоків обробки штучного інтелекту з власним пулом пам’яті та лише з одним завданням — обробити якомога більше даних у найкоротші терміни», – зазначив Стівенс.
Дизайнери повинні спочатку враховувати конкретні активи, які потребують захисту. Найбільш очевидним є обладнання для навчання або логічного висновку. «На блейд-серверах зазвичай використовується шлюзовий ЦП із виділеною флеш-пам’яттю та DDR», — сказав Стівенс. «Його завдання — керувати моделями, додавати активи. і контрольні прискорювачі. Потім є з’єднання з мережею — високошвидкісна мережа або інтерфейси PCIe-4 або -5. Деякі леза також мають власні міжлезові зв’язки».
Рис. 1: Узагальнений блейд ШІ для центру обробки даних. На додаток до звичайного процесора, динамічної пам’яті та підключення до мережі, прискорювачі виконають важку роботу за допомогою внутрішньої пам’яті SRAM. Джерело: Rambus
Крім того, існують різні типи даних, які потрібно захистити, і вони залежать від того, чи є операція навчанням чи висновком. Під час навчання моделі необхідно захистити зразки навчальних даних і базову модель, що навчається. Під час висновку навчена модель, усі ваги, вхідні дані та вихідні результати потребують захисту.
Оперативно це нова область, яка швидко розвивається, тому ймовірне налагодження. Будь-яке налагодження має виконуватися безпечно — і будь-які можливості налагодження мають бути вимкнуті, якщо вони не автентифіковані.
Зміни в коді чи будь-яких інших активах мають бути доставлені в добре захищених оновленнях. Зокрема, ймовірно, що моделі з часом будуть вдосконалюватися. Отже, має бути спосіб замінити старі версії на новіші, і в той же час не дозволити неавторизованій особі замінити дійсну модель на неавтентичну.
«Захищені оновлення вбудованого програмного забезпечення, а також можливість безпечного налагодження системи стають головними в наші дні», — зазначив Стівенс.
Ризики витоку даних
Цілком очевидно, що дані повинні бути захищені від крадіжки. Будь-яка така крадіжка явно є порушенням конфіденційності, але наслідки цього ще страшніші, якщо задіяні державні постанови. Прикладами такого регулювання є правила GDPR у Європі та правила охорони здоров’я HIPAA у Сполучених Штатах.
Але окрім прямої крадіжки, занепокоєння викликає також маніпулювання даними. Навчальні дані, наприклад, можуть бути змінені або як засіб розвідки якоїсь таємниці, або просто для того, щоб отруїти навчання, щоб отримана модель не працювала погано.
Значна частина обчислень — особливо під час навчання моделі — відбуватиметься в центрі обробки даних, і це може включати сервери з кількома клієнтами для меншої вартості роботи. «Більше компаній і команд покладаються на спільні хмарні обчислювальні ресурси з різних причин, здебільшого через масштабованість і вартість», — зазначила Дана Нойстадтер, старший менеджер із маркетингу продуктів безпеки IP у Синопсис.
Це означає, що кілька завдань співіснують на одному обладнанні. І все ж ці завдання повинні виконуватися не менш безпечно, ніж якби вони були на окремих серверах. Вони повинні бути ізольовані за допомогою програмного забезпечення таким чином, щоб будь-що – дані чи інші – не витікало з однієї роботи на іншу.
«Перенесення обчислень у хмару може створити потенційні ризики безпеці, коли система більше не знаходиться під вашим контролем», — сказав Нойштадтер. «Незалежно від того, помилкові чи шкідливі, дані одного користувача можуть бути шкідливим програмним забезпеченням іншого користувача. Користувачі повинні довіряти постачальнику хмарних технологій відповідати стандартам відповідності, виконувати оцінку ризиків, контролювати доступ користувачів і так далі».
Контейнерізація зазвичай допомагає ізолювати процеси в середовищі з кількома клієнтами, але все одно може бути, що один шахрайський процес вплине на інші. «Проблема, яка спричиняє використання ресурсів обробки програмою, може вплинути на інших орендарів», — зазначив Панесар. «Це особливо важливо в критичних ситуаціях, таких як медичні звіти, або будь-де, коли орендарі мають зобов’язуючу угоду про рівень обслуговування».
Нарешті, хоча це може не вплинути на конкретний результат обчислень або конфіденційність даних, операції в центрі обробки даних повинні гарантувати, що адміністративні операції захищені від підробок. «Безпека також має бути присутньою, щоб забезпечити належне виставлення рахунків за послуги та запобігти неетичному використанню, такому як расове профілювання», — зазначив Стівенс.
Нові стандарти допоможуть розробникам переконатися, що вони охоплюють усі необхідні основи.
«Індустрія розробляє такі стандарти, як безпека інтерфейсу PCIe, з PCI-SIG, що керує специфікацією цілісності та шифрування даних (IDE), доповненою вимірюванням та автентифікацією компонентів (CMA) і довіреним середовищем введення-виведення (TEE-I/ О), — сказав Нойштадтер. «Протокол безпеки призначеного інтерфейсу пристрою (ADISP) та інші протоколи розширюють можливості віртуалізації довірених віртуальних машин, які використовуються для збереження конфіденційних обчислювальних навантажень ізольовано від хостингових середовищ за підтримки надійної автентифікації та керування ключами».
Рис. 2. Обчислення штучного інтелекту включають низку активів, і кожен має певні потреби безпеки. Джерело: Rambus
Впровадження захисту
З огляду на типове обчислювальне середовище штучного інтелекту, необхідно виконати кілька кроків, щоб заблокувати операції. Вони починаються з обладнання корінь довіри (HRoT).
HRoT — це надійне, непрозоре середовище, де безпечні операції, такі як автентифікація та шифрування, можна виконувати без розкриття ключів чи інших секретів, що використовуються. Це може бути критичним компонентом TEE. Зазвичай вони асоціюються з процесором у класичній архітектурі, але тут, як правило, є більше ніж один елемент обробки.
Зокрема, нові апаратні чіпи, призначені для обробки штучного інтелекту, не мають вбудованих можливостей root-of-trust. «Багато останніх розробок прискорювачів AI/ML — особливо стартапів — зосереджені головним чином на отриманні найоптимальнішої обробки NPU», — пояснив Стівенс у наступному інтерв’ю. «Безпека не була головною увагою або не була на їхньому радарі».
Це означає, що системі потрібно буде надати HRoT в іншому місці, і для цього є кілька варіантів.
Один із підходів, який зосереджується на даних, що використовуються, полягає в тому, щоб надати кожному обчислювальному елементу — головному чіпу та чіпу прискорювача, наприклад — власну HRoT. Кожен HRoT буде обробляти власні ключі та виконувати операції за вказівками пов’язаного з ним процесора. Вони можуть бути монолітно інтегровані в SoC, хоча зараз це не стосується нейронних процесорів.
Інший варіант, який зосереджується на даних у русі, полягає в забезпеченні HRoT на мережевому з’єднанні, щоб гарантувати, що всі дані, що надходять на плату, чисті. «Для даних у русі вимоги до пропускної здатності надзвичайно високі з дуже низькими вимогами до затримки», — сказав Стівенс. «Системи використовують ефемерні ключі, оскільки вони зазвичай працюють із сеансовими ключами».
«Для автентифікації лезо потрібно отримати ідентифікаційний номер, що не обов’язково потрібно тримати в таємниці», – продовжив він. «Він просто має бути унікальним і незмінним. Це може бути багато ідентифікаторів, по одному для кожного чіпа або один для самого леза чи пристрою».
Ці зовнішні HRoT можуть не знадобитися, якщо захист буде вбудовано в майбутні нейронні процесори (NPU). «Зрештою, коли буде доведено, що початкові докази концепції NPU стартапів були успішними, архітектура їхньої другої версії цих проектів матиме в собі можливості root of trust, які матимуть більше криптографічних можливостей для обробки великих робочих навантажень», додав Стівенс.
Дані, що переміщуються з SRAM в DRAM або навпаки, також мають бути зашифровані, щоб гарантувати, що їх неможливо перехопити. Те саме стосується будь-якого прямого бічного підключення до сусідньої плати.
З такою кількістю шифрування, вбудованого в і без того інтенсивні обчислення, ви ризикуєте загальмувати роботу. Безпечна робота є критичною, але вона нікому не принесе користі, якщо пошкоджує саму роботу.
«Мережа або з’єднання PCI Express із структурою має бути захищено за допомогою високопродуктивного механізму безпеки пакетів L2 або L3, який підтримує протокол», — додав Стівенс. «Такий пакетний механізм потребує невеликої підтримки з боку центрального процесора».
Це також може стосуватися пам’яті та шифрування трафіку між блейдами. «Вміст пам’яті DDR центрального процесора шлюзу та GDDR локального прискорювача штучного інтелекту можна захистити вбудованим механізмом шифрування пам’яті», — сказав він. «Якщо існує спеціальний бічний канал між лезами, його можна захистити високопродуктивним AES-GCM [Режим Galois/Counter] прискорювачі шифрування каналів».
Нарешті, стандартний захист безпеки можна підкріпити постійним моніторингом, який відстежує фактичну роботу. «Вам потрібно зібрати інформацію з апаратного забезпечення, яке зможе сказати вам, як поводиться система», — сказав Панесар. «Це має бути статистика в реальному часі, миттєва та довгострокова. Він також має бути зрозумілим (людиною чи машиною) і придатним для виконання. Дані про температуру, напругу та час – це дуже добре, але вам також потрібна більш складна інформація вищого рівня».
Але це не замінить суворої безпеки. «Мета полягає в тому, щоб виявити проблеми, які можуть вислизнути звичайними засобами захисту, але це не замінить такий захист», — додав він.
Попереду важка робота
Ці елементи не обов’язково прості у виконанні. Це вимагає важкої праці. «Відмовостійкість, здатність безпечно оновлювати систему та здатність відновлюватися після успішної атаки — це реальні виклики», — зазначив Майк Борза, архітектор IP-захисту Synopsys. «Створювати такі системи дуже, дуже складно».
Але оскільки штучний інтелект стає все більш повсякденною справою, інженери, які не є фахівцями в моделюванні даних або безпеці, все частіше звертатимуться до послуг машинного навчання, використовуючи штучний інтелект у своїх програмах. Вони повинні мати можливість розраховувати на інфраструктуру, ретельно піклуватися про свої важливі дані, щоб моделі та обчислення, які вони використовуватимуть для диференціації своїх продуктів, не потрапили в чужі руки.
споріднений
Компроміси безпеки в чіпах і системах ШІ
Експерти за столом: як безпека впливає на потужність і продуктивність, чому системи штучного інтелекту так важко захистити та чому конфіденційність стає все більш актуальною.
Біти дослідження безпеки
Нові технічні документи щодо безпеки, представлені на симпозіумі безпеки USENIX 21 серпня.
Завжди ввімкнено, завжди під загрозою
Проблеми з безпекою чіпів зростають із збільшенням кількості процесорних елементів, автоматичним виведенням із режиму сну, оновленнями по повітрю та розширеним підключенням.
Центр знань безпеки
Головні новини, офіційні документи, блоги, відео про безпеку обладнання
Центр знань AI
Джерело: https://semiengineering.com/ai-ml-workloads-need-extra-security/
- прискорювач
- прискорювачі
- доступ
- рахунки
- активний
- Додатковий
- Угода
- AI
- Навчання AI
- алгоритми
- ВСІ
- Дозволити
- додаток
- застосування
- архітектура
- ПЛОЩА
- Активи
- нападки
- Серпня
- Authentic
- Authentication
- біллінг
- BLADE
- блоги
- рада
- порушення
- помилки
- який
- Викликати
- канали
- чіп
- Чіпси
- хмара
- хмарних обчислень
- код
- Компанії
- дотримання
- компонент
- обчислення
- зв'язку
- зв'язок
- зміст
- Пара
- дані
- Центр обробки даних
- центрів обробки даних
- справу
- Пропозиції
- дизайн
- розробників
- Директор
- Зривати
- водіння
- край
- Ефективний
- шифрування
- Інженери
- Навколишнє середовище
- обладнання
- Європа
- виконання
- Розширювати
- додаткова безпека
- видобуток
- тканину
- Фіга
- в кінці кінців
- Перший
- спалах
- Сфокусувати
- майбутнє
- GDPR
- добре
- Уряд
- Зростання
- Зростання
- злом
- Обробка
- апаратні засоби
- хешування
- тут
- Високий
- хостинг
- Як
- HTTPS
- ідентифікувати
- промисловість
- інформація
- Інфраструктура
- інтелектуальна власність
- інтерв'ю
- залучений
- IP
- IT
- робота
- Джобс
- ключ
- ключі
- знання
- великий
- вивчення
- обмеженою
- LINK
- місцевий
- Машинки для перманенту
- шкідливих програм
- управління
- Маніпуляція
- Маркетинг
- Матриця
- медичний
- ML
- модель
- моделювання
- моніторинг
- мережу
- Нейронний
- операції
- варіант
- Опції
- Інше
- інші
- продуктивність
- платформа
- отрута
- басейн
- влада
- представити
- попередження
- недоторканність приватного життя
- приватний
- Product
- Продукти
- власність
- захист
- захист
- Расове профілювання
- радар
- Випромінювання
- підвищення
- діапазон
- реального часу
- Причини
- Відновлювати
- Регулювання
- правила
- Вимога
- дослідження
- ресурси
- REST
- результати
- Risk
- Правила
- сейф
- масштабованість
- безпеку
- Операції з безпеки
- Послуги
- загальні
- простий
- So
- Софтвер
- Рішення
- Спін
- стандартів
- старт
- Стартапи
- Штати
- вкрали
- історії
- успішний
- підтримка
- система
- Systems
- технічний
- крадіжка
- час
- трек
- трафік
- Навчання
- Довіряйте
- United
- Сполучені Штати
- Оновити
- Updates
- користувачі
- Відео
- Віртуальний
- ВООЗ
- Вікіпедія
- в
- Work