Code Velocity
Безбедност на вештачка интелигенција

Фабрики за вештачка интелигенција со нула доверба: Обезбедување доверливи работни оптоварувања со вештачка интелигенција со TEE

·7 мин читање·NVIDIA·Оригинален извор
Сподели
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Дијаграм што илустрира архитектура со нула доверба која ги штити доверливите работни оптоварувања со вештачка интелигенција во фабриките за вештачка интелигенција.

title: "Фабрики за вештачка интелигенција со нула доверба: Обезбедување доверливи работни оптоварувања со вештачка интелигенција со TEE" slug: "building-a-zero-trust-architecture-for-confidential-ai-factories" date: "2026-03-25" lang: "mk" source: "https://developer.nvidia.com/blog/building-a-zero-trust-architecture-for-confidential-ai-factories/" category: "Безбедност на вештачка интелигенција" keywords:

  • Нула доверба
  • Безбедност на вештачка интелигенција
  • Доверливо пресметување
  • Доверливи извршни средини
  • TEE
  • NVIDIA
  • Фабрики за вештачка интелигенција
  • Kubernetes
  • Доверливи контејнери
  • Заштита на податоци
  • Безбедност на модели
  • Оддалечена атестација meta_description: "Истражете како да изградите фабрики за вештачка интелигенција со нула доверба користејќи ја референтната архитектура на NVIDIA, искористувајќи ги доверливите контејнери и TEE за робусна безбедност на вештачката интелигенција и заштита на податоците." image: "/images/articles/building-a-zero-trust-architecture-for-confidential-ai-factories.png" image_alt: "Дијаграм што илустрира архитектура со нула доверба која ги штити доверливите работни оптоварувања со вештачка интелигенција во фабриките за вештачка интелигенција." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • NVIDIA schema_type: "NewsArticle" reading_time: 7 faq:
  • question: "Што е фабрика за вештачка интелигенција со нула доверба и зошто е важна за претпријатијата?" answer: "Фабрика за вештачка интелигенција со нула доверба е инфраструктура со високи перформанси дизајнирана да 'произведува' интелигенција во голем обем, изградена врз принципот 'никогаш не верувај, секогаш проверувај'. Таа ја елиминира имплицитната доверба во основната хост инфраструктура со користење на хардверски засилени доверливи извршни средини (TEEs) и криптографска атестација. Ова е клучно за претпријатијата кои работат со чувствителни податоци (како што се медицински досиеја или истражување на пазарот) и сопственички AI модели, бидејќи ги ублажува ризиците од изложување на податоци, кражба на интелектуална сопственост и проблеми со приватноста, со што се забрзува усвојувањето на AI во производните средини. Нејзината важност лежи во овозможувањето безбедна обработка на високо доверливи информации."
  • question: "Што е 'дилемата на доверба' при распоредување на AI модели во заедничка инфраструктура?" answer: "Дилемата на доверба при распоредување на вештачка интелигенција произлегува од конфликтните барања за доверба помеѓу сопствениците на моделите, давателите на инфраструктура и сопствениците на податоци. Сопствениците на модели се плашат од кражба на интелектуална сопственост од давателите на инфраструктура; давателите на инфраструктура се грижат за малициозни работни оптоварувања од сопствениците на модели; а сопствениците на податоци имаат потреба од гаранција дека ниту давателите на инфраструктура, ниту давателите на модели нема да ги злоупотребат или изложат нивните чувствителни податоци за време на извршувањето. Овој кружен недостаток на доверба првенствено се должи на тоа што податоците не се шифрираат додека се користат во традиционалните компјутерски средини, што ги остава ранливи на инспекција од системските администратори и хипервизори, создавајќи значителни безбедносни предизвици."
  • question: "Како доверливото пресметување ја подобрува безбедноста на AI моделите и податоците?" answer: "Доверливото пресметување се справува со основниот проблем на изложување на податоци со обезбедување дека податоците и AI моделите остануваат криптографски заштитени низ целиот нивен животен циклус на извршување. За разлика од традиционалните системи каде податоците во употреба се нешифрирани, доверливото пресметување користи хардверски поддржани доверливи извршни средини (TEEs) за шифрирање на меморијата. Ова значи дека чувствителните податоци, тежините на моделот и влезните податоци за инференција се заштитени од неовластен пристап, дури и од привилегиран хост софтвер или администратори, значително намалувајќи го ризикот од кражба на интелектуална сопственост и пробивање на податоци за време на инференција и обука на AI моделот и обезбедувајќи робусна заштита."
  • question: "Што се доверливи контејнери (CoCo) и како го операционализираат доверливото пресметување за Kubernetes?" answer: "Доверливи контејнери (CoCo) ги операционализираат придобивките од доверливото пресметување во рамките на Kubernetes средини. Наместо да се извршуваат стандардни Kubernetes подови директно на хост кернелот, CoCo го завиткува секој под во лесна, хардверски изолирана виртуелна машина (ВМ) користејќи Kata Containers. Овој пристап ги одржува облачните работни текови додека наметнува силна изолација. За вештачка интелигенција, CoCo осигурува дека сопственичките тежини на моделот остануваат шифрирани сè додека хардверот математички не ја докаже безбедноста на енклавата преку оддалечена атестација. Услугата Key Broker потоа ги ослободува клучевите за декрипција само во оваа заштитена меморија, спречувајќи изложување на хост ОС или хипервизорот."
  • question: "Кои се основните столбови на референтната архитектура на NVIDIA за фабрики за вештачка интелигенција со нула доверба?" answer: "Референтната архитектура на NVIDIA комбинира неколку клучни компоненти за изградба на робусни фабрики за вештачка интелигенција со нула доверба. Клучните столбови вклучуваат Хардверски корен на доверба (Hardware Root of Trust), користејќи CPU TEEs и доверливи GPU на NVIDIA (на пр., NVIDIA Hopper, NVIDIA Blackwell) за хардверски забрзани, мемориски шифрирани работни оптоварувања со вештачка интелигенција; извршна околина Kata Containers за хардверски изолирани Kubernetes подови; зацврстена микро-гостинска околина (Hardened Micro-Guest Environment) со минимален гостински ОС за намалување на површината за напад; услуга за атестација (Attestation Service) за криптографска верификација на интегритетот на хардверот пред ослободување на тајни; животен циклус на доверливо работно оптоварување (Confidential Workload Lifecycle) за безбедно преземање и распоредување на слики; и интеграција со изворни Kubernetes и GPU Operator за беспрекорно управување и распоредување без препишување на апликации."
  • question: "Кои безбедносни аспекти не се опфатени со доверливи контејнери (CoCo)?" answer: "Додека CoCo обезбедува силни гаранции за доверливост и интегритет за извршување на податоци и модели, тој не штити од сите видови напади. Конкретно, CoCo не се справува со ранливости на апликациите, што значи грешки во самиот код на AI апликацијата кои би можеле да бидат искористени. Исто така, тој не ги спречува нападите на достапност, кои имаат за цел да ја нарушат услугата наместо да украдат податоци. Покрај тоа, мрежната безбедност, како што е заштитата на податоците во транзит или обезбедувањето на мрежните крајни точки, останува надвор од директниот опсег на CoCo. Овие аспекти бараат комплементарни безбедносни мерки заедно со рамката за доверливо пресметување за целосна безбедносна состојба."

Брзиот напредок на вештачката интелигенција ја придвижи од експериментални фази до срцето на деловните операции. Сепак, останува значителна пречка: огромното мнозинство на критични корпоративни податоци, вклучувајќи високо чувствителни медицински досиеја, сопственички истражувања на пазарот и непроценливо наследно знаење, се наоѓа надвор од јавниот облак. Интегрирањето на овие чувствителни информации со AI моделите воведува значителни проблеми со приватноста и довербата, честопати забавувајќи го или целосно блокирајќи го усвојувањето на вештачката интелигенција.

За вистински да се отклучи потенцијалот на вештачката интелигенција, претпријатијата градат "фабрики за вештачка интелигенција"—специјализирани инфраструктури со високи перформанси дизајнирани да генерираат интелигенција во голем обем. За овие фабрики да успеат со чувствителни податоци и сопственички модели, тие мора да бидат изградени врз цврста основа на нула доверба. Оваа парадигма налага дека ниту еден ентитет, без разлика дали е корисник, уред или апликација, не е имплицитно доверлив. Наместо тоа, сите барања за пристап се ригорозно автентицирани и авторизирани. Ова се постигнува преку хардверски засилени доверливи извршни средини (TEEs) и криптографска атестација, создавајќи безбедносна архитектура која ја елиминира вродената доверба во основната хост инфраструктура. Овој напис истражува пристап со целосен стек, опишувајќи ја референтната архитектура на NVIDIA за интегрирање на оваа основа на нула доверба во модерните фабрики за вештачка интелигенција.

Дилемата на доверба во фабриките за вештачка интелигенција: Предизвик за повеќе засегнати страни

Преминувањето кон распоредување на напредни, честопати сопственички, модели на заедничка инфраструктура воведува сложена, повеќестрана дилема на доверба помеѓу клучните засегнати страни во екосистемот на фабриките за вештачка интелигенција. Овој 'кружен недостаток на доверба' фундаментално произлегува од неуспехот на традиционалната компјутерска средина да ги шифрира податоците додека се во употреба.

  1. Сопственици на модели наспроти даватели на инфраструктура: Сопствениците на моделите интензивно инвестираат во развој на сопственички AI модели, чии тежини и алгоритамска логика претставуваат значителна интелектуална сопственост. Тие не можат имплицитно да веруваат дека оперативниот систем домаќин, хипервизорот, па дури и администратор со root пристап, нема да ги прегледа, украде или извлече нивните вредни модели кога се распоредени на заедничка инфраструктура.
  2. Даватели на инфраструктура наспроти сопственици/закупци на модели: Обратно, оние кои управуваат и оперираат со хардверот и Kubernetes кластерите—давателите на инфраструктура—не можат слепо да веруваат дека работното оптоварување на сопственикот или закупецот на моделот е бенигно. Постои постојан ризик од малициозен код, обиди за ескалација на привилегии или пробивање на безбедносните граници на домаќинот вградени во распоредените AI апликации.
  3. Закупци (сопственици на податоци) наспроти сопственици на модели и даватели на инфраструктура: Сопствениците на податоци, кои ги обезбедуваат чувствителните и често регулирани податоци кои ги напојуваат AI моделите, бараат робусна гаранција дека нивните информации остануваат доверливи. Тие не можат да веруваат дека давателот на инфраструктура нема да ги прегледа нивните податоци за време на извршувањето, ниту можат да бидат сигурни дека давателот на моделот нема да ги злоупотреби или истече податоците за време на инференција или обработка.

Овој сеприсутен недостаток на доверба укажува на критична ранливост: во конвенционалното пресметување, податоците не се шифрираат додека активно се обработуваат. Ова ги остава чувствителните податоци и сопственичките модели изложени во обичен текст во меморијата и достапни за системските администратори, создавајќи неприфатлив ризичен профил за модерни AI распоредувања.

Доверливо пресметување и контејнери: Основа на довербата во вештачката интелигенција

Доверливото пресметување се појавува како клучно решение за оваа длабока дилема на доверба. Тоа фундаментално го менува безбедносниот пејзаж со обезбедување дека податоците и моделите остануваат криптографски заштитени низ целиот нивен животен циклус на извршување, не само во мирување или во транзит. Ова се постигнува со искористување на хардверски поддржани доверливи извршни средини (TEEs) кои создаваат изолирани, шифрирани мемориски региони каде што можат да се извршуваат чувствителни пресметки без изложување на оперативниот систем домаќин или хипервизорот.

Додека доверливото пресметување ја обезбедува клучната хардверска основа, Доверливи контејнери (CoCo) ја операционализираат оваа безбедносна парадигма конкретно за Kubernetes средини. CoCo им овозможува на Kubernetes подовите да работат во овие TEE-и поддржани од хардвер без да бара никакви промени или препишување на кодот на апликацијата. Наместо да го споделуваат хост кернелот, секој под е транспарентно енкапсулиран во лесна, хардверски изолирана виртуелна машина (ВМ) напојувана од Kata Containers. Овој иновативен пристап ги зачувува постоечките cloud-native работни текови и алатки додека наметнува строги граници на изолација, подигајќи ја безбедноста без да ја компромитира оперативната агилност.

За давателите на модели, заканата од кражба на сопственички тежини на модели е најважна грижа. CoCo директно се справува со ова со ефикасно отстранување на оперативниот систем домаќин и хипервизорот од критичната равенка на доверба. Кога AI модел е распореден во доверлив контејнер, тој останува шифриран. Само откако хардверот математички ќе го потврди интегритетот и безбедноста на TEE енклавата преку процес познат како оддалечена атестација, специјализирана услуга за брокер на клучеви (KBS) го ослободува потребниот клуч за декрипција. Овој клуч потоа се испорачува исклучиво во заштитената меморија во рамките на TEE, осигурувајќи дека тежините на моделот никогаш не се изложени во обичен текст на хост околината, дури и за високо привилегирани администратори.

Референтна архитектура на NVIDIA со нула доверба за безбедни фабрики за вештачка интелигенција

NVIDIA, во соработка со заедницата за отворен код Confidential Containers, разви сеопфатна референтна архитектура за софтверскиот стек CoCo. Овој план дефинира стандардизиран пристап со целосен стек за градење фабрики за вештачка интелигенција со нула доверба на bare-metal инфраструктура. Тој детално објаснува како да се интегрираат најсовремените хардверски и софтверски компоненти за безбедно распоредување на напредни модели, заштитувајќи ги нивните чувствителни податоци и интелектуална сопственост од изложеност на хост околината.

Основните столбови на оваа робусна архитектура се:

СтолбОпис
Хардверски корен на довербаКористи CPU Trusted Execution Environments (TEEs) во комбинација со доверливи GPU на NVIDIA (на пр., NVIDIA Hopper, NVIDIA Blackwell) за хардверски забрзани, мемориски шифрирани работни оптоварувања со вештачка интелигенција.
Извршна околина Kata ContainersГи обвиткува стандардните Kubernetes подови во лесни, хардверски изолирани Utility VM (UVMs), обезбедувајќи силна изолација наместо споделување на хост кернелот.
Зацврстена микро-гостинска околинаКористи минимален гостински ОС без дистрибуција, со издлабен root датотечен систем и NVIDIA Runtime Container (NVRC) за безбеден init систем, драстично намалувајќи ја површината за напад на VM.
Услуга за атестацијаКриптографски го верифицира интегритетот на хардверската околина пред ослободување на чувствителни клучеви за декрипција на модели или тајни за гостинот, често вклучувајќи Key Broker Service (KBS).
Животен циклус на доверливо работно оптоварувањеОвозможува безбедно преземање на шифрирани и потпишани слики (контејнери, модели, артефакти) директно во шифрирана TEE меморија, спречувајќи изложување во мирување или во транзит, и овозможувајќи детални политики за интерфејс.
Изворна Kubernetes и GPU Operator интеграцијаОвозможува управување со целиот стек користејќи стандардни Kubernetes примитиви и NVIDIA GPU Operator, овозможувајќи 'lift-and-shift' распоредување на AI апликации без препишување.

Оваа архитектура гарантира дека AI работните оптоварувања ги користат предностите од перформансите на GPU на NVIDIA, додека се капсулирани во криптографски обезбедени граници.

Разбирање на моделот на закани на CoCo и границите на доверба во безбедноста на вештачката интелигенција

Доверливи контејнери (CoCo) работат според ригорозно дефиниран модел на закани. Во рамките на овој модел, целиот инфраструктурен слој—вклучувајќи го оперативниот систем домаќин, хипервизорот, а потенцијално и самиот провајдер на облак—се третира како инхерентно недоверлив. Оваа фундаментална претпоставка е клучна за пристапот на нула доверба.

Наместо да се потпира на будноста или интегритетот на администраторите на инфраструктурата за да спроведат безбедносни контроли, CoCo стратешки ја префрла примарната граница на доверба на хардверски поддржани доверливи извршни средини (TEEs). Ова значи дека AI работните оптоварувања се извршуваат во шифрирани, виртуелизирани средини каде што содржината на меморијата е нечитлива за домаќинот. Клучно, чувствителните тајни, како што се клучевите за декрипција на моделите, се ослободуваат само откако извршната средина криптографски ќе го докаже својот интегритет и автентичност преку оддалечена атестација.

Сепак, од витално значење е да се разбере прецизниот опсег на оваа заштита—што CoCo заштитува, а што останува надвор од неговиот домен.

Што CoCo штити

CoCo обезбедува робусни гаранции и за доверливост и за интегритет за време на извршувањето на AI работните оптоварувања:

  1. Заштита на податоци и модели: Шифрирањето на меморијата е камен-темелник, спречувајќи ја хост околината да пристапи до чувствителни податоци, сопственички тежини на модели или влезни податоци за инференција додека работното оптоварување активно се извршува во TEE.
  2. Интегритет на извршувањето: Оддалечената атестација игра клучна улога со верификација дека работното оптоварување навистина се извршува во доверлива, некомпромитирана средина со очекувани софтверски мерења пред да се ослободат какви било чувствителни тајни или клучеви за декрипција на модели.
  3. Безбедно ракување со слики и складирање: Сликите на контејнерите се преземаат, верифицираат и распакуваат директно во безбедната, шифрирана гостинска околина. Ова осигурува дека хост инфраструктурата не може да го прегледа или измени кодот на апликацијата или вредните артефакти на моделот во ниту еден момент.
  4. Заштита од пристап на ниво на хост: Архитектурата ефикасно ги штити работните оптоварувања од привилегирани хост дејства. Административните алатки за дебагирање, инспекција на меморијата или стружење на диск од страна на домаќинот не можат да ги изложат доверливите содржини на тековното AI работно оптоварување.

Што CoCo не штити

Додека е многу ефикасна, одредени ризици и вектори на напад спаѓаат надвор од инхерентниот опсег на архитектурата CoCo:

  1. Ранливости на апликациите: CoCo обезбедува верифицирана и доверлива извршна околина, но не ги поправа или спречува инхерентно ранливостите во самиот код на AI апликацијата. Ако апликацијата има грешка што води до истекување на податоци или неточна обработка, CoCo не може да го ублажи ова.
  2. Напади на достапност: Примарниот фокус на CoCo е доверливоста и интегритетот. Тој не спречува директно напади за одбивање услуга (DoS) или други напади на достапност кои имаат за цел да ја нарушат услугата наместо да украдат податоци. Мерки како редундантна инфраструктура и заштита на мрежно ниво сè уште се неопходни.
  3. Мрежна безбедност: Податоците во транзит, безбедноста на мрежните крајни точки и ранливостите во мрежните протоколи спаѓаат надвор од директната заштита на TEE. Безбедните комуникациски канали (на пр., TLS/SSL) и робусната мрежна сегментација се комплементарни барања. За подетални сознанија за обезбедување на вештачка интелигенција, размислете за истражување на стратегии за спречување на малициозна употреба на вештачка интелигенција.

Градење на иднината на безбедна вештачка интелигенција

Патувањето на вештачката интелигенција од експериментирање до производство бара промена на парадигмата во безбедноста. Претпријатијата повеќе не распоредуваат само модели; тие градат сложени фабрики за вештачка интелигенција кои произведуваат интелигенција во голем обем. Архитектурата со нула доверба на NVIDIA, напојувана од доверливи контејнери и TEE-и поддржани од хардвер, ја обезбедува критичната основа за оваа нова ера. Со прецизно справување со инхерентните дилеми на доверба и обезбедување робусни криптографски гаранции, организациите можат самоуверено да распоредуваат сопственички модели и да обработуваат чувствителни податоци, забрзувајќи го усвојувањето на вештачката интелигенција без компромитирање на безбедноста. Овој пристап не само што ја заштитува интелектуалната сопственост и приватните информации, туку и поттикнува ново ниво на доверба низ целиот животен циклус на развој и распоредување на вештачката интелигенција. Како што вештачката интелигенција продолжува да се развива, интеграцијата на таквите напредни безбедносни рамки ќе биде од најголема важност за реализирање на нејзиниот целосен, трансформативен потенцијал. Покрај тоа, тековната стратешка соработка помеѓу лидерите во индустријата, како што е AWS и NVIDIA кои ја продлабочуваат нивната стратешка соработка за забрзување на вештачката интелигенција, ја нагласува посветеноста на индустријата за унапредување на безбедни и скалабилни решенија за вештачка интелигенција.

Оригинален извор

https://developer.nvidia.com/blog/building-a-zero-trust-architecture-for-confidential-ai-factories/

Често поставувани прашања

What is a zero-trust AI factory and why is it important for enterprises?
A zero-trust AI factory is a high-performance infrastructure designed to manufacture intelligence at scale, built on the principle of 'never trust, always verify.' It eliminates implicit trust in the underlying host infrastructure by using hardware-enforced Trusted Execution Environments (TEEs) and cryptographic attestation. This is crucial for enterprises dealing with sensitive data (like patient records or market research) and proprietary AI models, as it mitigates risks of data exposure, intellectual property theft, and privacy concerns, thereby accelerating the adoption of AI into production environments. Its importance lies in enabling secure processing of highly confidential information.
What is the 'trust dilemma' in deploying AI models in shared infrastructure?
The trust dilemma in AI deployment arises from conflicting trust requirements among model owners, infrastructure providers, and data owners. Model owners fear IP theft from infrastructure providers; infrastructure providers worry about malicious workloads from model owners; and data owners need assurance that neither infrastructure nor model providers will misuse or expose their sensitive data during execution. This circular lack of trust is primarily due to data not being encrypted while in use in traditional computing environments, leaving it vulnerable to inspection by system administrators and hypervisors, creating significant security challenges.
How does confidential computing enhance the security of AI models and data?
Confidential computing addresses the core issue of data exposure by ensuring that data and AI models remain cryptographically protected throughout their entire execution lifecycle. Unlike traditional systems where data in use is unencrypted, confidential computing leverages hardware-backed Trusted Execution Environments (TEEs) to encrypt memory. This means sensitive data, model weights, and inference payloads are shielded from unauthorized access, even from privileged host software or administrators, significantly reducing the risk of intellectual property theft and data breaches during AI model inference and training and ensuring robust protection.
What are Confidential Containers (CoCo), and how do they operationalize confidential computing for Kubernetes?
Confidential Containers (CoCo) operationalize the benefits of confidential computing within Kubernetes environments. Instead of running standard Kubernetes pods directly on the host kernel, CoCo wraps each pod in a lightweight, hardware-isolated virtual machine (VM) using Kata Containers. This approach maintains cloud-native workflows while enforcing strong isolation. For AI, CoCo ensures that proprietary model weights remain encrypted until the hardware mathematically proves the enclave's security via remote attestation. A Key Broker Service then releases decryption keys only into this protected memory, preventing exposure to the host OS or hypervisor.
What are the core pillars of NVIDIA's reference architecture for zero-trust AI factories?
NVIDIA's reference architecture combines several crucial components to build robust zero-trust AI factories. Key pillars include a Hardware Root of Trust, utilizing CPU TEEs and NVIDIA confidential GPUs for memory-encrypted AI workloads; Kata Containers runtime for hardware-isolated Kubernetes pods; a Hardened Micro-Guest Environment with a minimal guest OS to reduce the attack surface; an Attestation Service to cryptographically verify hardware integrity before releasing secrets; a Confidential Workload Lifecycle for secure image pulling and deployment; and Native Kubernetes and GPU Operator Integration for seamless management and deployment without application rewrites.
What security aspects are *not* covered by Confidential Containers (CoCo)?
While CoCo provides strong confidentiality and integrity guarantees for data and model execution, it does not protect against all types of attacks. Specifically, CoCo does not address application vulnerabilities, meaning flaws within the AI application code itself that could be exploited. It also doesn't inherently prevent availability attacks, which aim to disrupt service rather than steal data. Furthermore, network security, such as protecting data in transit or securing network endpoints, remains outside CoCo's direct scope. These aspects require complementary security measures alongside the confidential computing framework for a complete security posture.

Бидете информирани

Добивајте ги најновите AI вести на е-пошта.

Сподели