Code Velocity
Bezpieczeństwo AI

Fabryki AI Zero-Trust: Zabezpieczanie poufnych obciążeń AI za pomocą TEE

·7 min czytania·NVIDIA·Źródło oryginalne
Udostępnij
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Diagram ilustrujący architekturę zero-trust chroniącą poufne obciążenia AI w fabrykach AI.

Szybki rozwój sztucznej inteligencji przeniósł ją z fazy eksperymentalnej do centrum operacji przedsiębiorstw. Pozostaje jednak znacząca przeszkoda: zdecydowana większość krytycznych danych korporacyjnych, w tym wysoce wrażliwe dane pacjentów, zastrzeżone badania rynkowe i bezcenna wiedza historyczna, znajduje się poza chmurą publiczną. Integracja tych wrażliwych informacji z modelami AI wprowadza znaczne obawy dotyczące prywatności i zaufania, często spowalniając lub całkowicie blokując adopcję AI.

Aby w pełni wykorzystać potencjał AI, przedsiębiorstwa budują "fabryki AI" — wyspecjalizowane, wysokowydajne infrastruktury zaprojektowane do generowania inteligencji na dużą skalę. Aby te fabryki odnosiły sukcesy z wrażliwymi danymi i zastrzeżonymi modelami, muszą być zbudowane na niezachwianych podstawach zero-trust. Ten paradygmat zakłada, że żadna jednostka, czy to użytkownik, urządzenie, czy aplikacja, nie jest domyślnie zaufana. Zamiast tego wszystkie żądania dostępu są rygorystycznie uwierzytelniane i autoryzowane. Osiąga się to poprzez sprzętowo egzekwowane Zaufane Środowiska Wykonawcze (TEE) i kryptograficzną atestację, tworząc architekturę bezpieczeństwa, która eliminuje wrodzone zaufanie do bazowej infrastruktury hosta. Niniejszy artykuł przedstawia kompleksowe podejście, opisując architekturę referencyjną NVIDIA do integrowania tej podstawy zero-trust w nowoczesnych fabrykach AI.

Dylemat zaufania w fabrykach AI: Wyzwanie dla wielu interesariuszy

Przejście na wdrażanie zaawansowanych, często własnościowych, modeli granicznych w infrastrukturze współdzielonej wprowadza złożony, wieloaspektowy dylemat zaufania między kluczowymi interesariuszami w ekosystemie fabryki AI. Ten 'cykliczny brak zaufania' wynika zasadniczo z niepowodzenia tradycyjnych środowisk obliczeniowych w szyfrowaniu danych podczas ich użytkowania.

  1. Właściciele modeli a dostawcy infrastruktury: Właściciele modeli intensywnie inwestują w rozwój własnościowych modeli AI, których wagi i logika algorytmiczna stanowią znaczącą własność intelektualną. Nie mogą oni domyślnie ufać, że system operacyjny hosta, hypervisor, a nawet administrator z uprawnieniami roota nie będą sprawdzać, kraść ani ekstrahować ich cennych modeli, gdy zostaną one wdrożone w infrastrukturze współdzielonej.
  2. Dostawcy infrastruktury a właściciele modeli/najemcy: Z drugiej strony, ci, którzy zarządzają i obsługują sprzęt oraz klastry Kubernetes — dostawcy infrastruktury — nie mogą ślepo ufać, że obciążenie właściciela modelu lub najemcy jest nieszkodliwe. Istnieje stałe ryzyko złośliwego kodu, prób eskalacji uprawnień lub naruszeń granic bezpieczeństwa hosta wbudowanych we wdrożonych aplikacjach AI.
  3. Najemcy (właściciele danych) a właściciele modeli i dostawcy infrastruktury: Właściciele danych, którzy dostarczają wrażliwe i często regulowane dane zasilające modele AI, wymagają solidnych gwarancji, że ich informacje pozostaną poufne. Nie mogą ufać, że dostawca infrastruktury nie będzie przeglądać ich danych podczas wykonywania, ani nie mogą być pewni, że dostawca modelu nie nadużyje ani nie wycieknie danych podczas wnioskowania lub przetwarzania.

Ten wszechobecny brak zaufania uwypukla krytyczną lukę: w konwencjonalnym środowisku obliczeniowym dane nie są szyfrowane podczas aktywnego przetwarzania. Pozostawia to wrażliwe dane i własnościowe modele narażone w postaci jawnego tekstu w pamięci i dostępne dla administratorów systemu, co tworzy niedopuszczalny profil ryzyka dla nowoczesnych wdrożeń AI.

Obliczenia poufne i kontenery: Fundament zaufania w AI

Obliczenia poufne jawią się jako kluczowe rozwiązanie tego głębokiego dylematu zaufania. Zasadniczo zmieniają one krajobraz bezpieczeństwa, zapewniając, że dane i modele pozostają kryptograficznie chronione przez cały cykl ich wykonania, a nie tylko w spoczynku lub w transporcie. Osiąga się to poprzez wykorzystanie sprzętowych Zaufanych Środowisk Wykonawczych (TEE), które tworzą izolowane, zaszyfrowane regiony pamięci, gdzie wrażliwe obliczenia mogą być wykonywane bez narażania systemu operacyjnego hosta lub hypervisora.

Podczas gdy obliczenia poufne zapewniają kluczową podstawę sprzętową, Kontenery Poufne (CoCo) operacjonalizują ten paradygmat bezpieczeństwa specjalnie dla środowisk Kubernetes. CoCo umożliwia uruchamianie podów Kubernetes w tych sprzętowo wspieranych TEE bez konieczności wprowadzania jakichkolwiek zmian lub przepisywania kodu aplikacji. Zamiast współdzielić jądro hosta, każdy pod jest przezroczysto hermetyzowany w lekkiej, sprzętowo izolowanej maszynie wirtualnej (VM) zasilanej przez Kata Containers. To innowacyjne podejście zachowuje istniejące natywne dla chmury przepływy pracy i narzędzia, jednocześnie wymuszając rygorystyczne granice izolacji, podnosząc bezpieczeństwo bez uszczerbku dla elastyczności operacyjnej.

Dla dostawców modeli, zagrożenie kradzieżą własnościowych wag modeli jest nadrzędnym problemem. CoCo bezpośrednio się tym zajmuje, skutecznie usuwając system operacyjny hosta i hypervisor z równania krytycznego zaufania. Kiedy model AI jest wdrażany w Kontenerze Poufnym, pozostaje zaszyfrowany. Dopiero po tym, jak sprzęt matematycznie zweryfikuje integralność i bezpieczeństwo enklawy TEE poprzez proces znany jako zdalna atestacja, wyspecjalizowana Usługa Key Broker (KBS) udostępnia niezbędny klucz deszyfrujący. Klucz ten jest następnie dostarczany wyłącznie do chronionej pamięci w obrębie TEE, zapewniając, że wagi modelu nigdy nie zostaną ujawnione w postaci jawnego tekstu środowisku hosta, nawet wysoko uprzywilejowanym administratorom.

Referencyjna architektura zero-trust NVIDIA dla bezpiecznych fabryk AI

NVIDIA, we współpracy ze społecznością open-source Confidential Containers, opracowała kompleksową architekturę referencyjną dla stosu oprogramowania CoCo. Ten projekt definiuje ustandaryzowane, pełnowymiarowe podejście do budowy fabryk AI zero-trust na infrastrukturze bare-metal. Szczegółowo przedstawia, jak integrować najnowocześniejsze komponenty sprzętowe i programowe, aby bezpiecznie wdrażać modele graniczne, chroniąc zarówno ich wrażliwe dane, jak i własność intelektualną przed ujawnieniem w środowisku hosta.

Główne filary tej solidnej architektury to:

FilarOpis
Sprzętowy Korzeń Zaufania (Hardware Root of Trust)Wykorzystuje Zaufane Środowiska Wykonawcze (TEE) procesora w połączeniu z poufnymi procesorami graficznymi NVIDIA (np. NVIDIA Hopper, NVIDIA Blackwell) dla sprzętowo akcelerowanych, szyfrowanych w pamięci obciążeń AI.
Środowisko wykonawcze Kata ContainersOpakowuje standardowe pody Kubernetes w lekkie, sprzętowo izolowane maszyny wirtualne (UVM), zapewniając silną izolację zamiast współdzielenia jądra hosta.
Wzmocnione Środowisko Mikro-Gościa (Hardened Micro-Guest Environment)Wykorzystuje minimalistyczny, niezależny od dystrybucji system operacyjny gościa z okrojonym systemem plików root i NVIDIA Runtime Container (NVRC) dla bezpiecznego systemu inicjalizacji, drastycznie zmniejszając powierzchnię ataku maszyny wirtualnej.
Usługa Atestacji (Attestation Service)Kryptograficznie weryfikuje integralność środowiska sprzętowego przed udostępnieniem wrażliwych kluczy deszyfrujących modeli lub tajemnic gościowi, często z udziałem Usługi Key Broker (KBS).
Cykl Życia Poufnego Obciążenia (Confidential Workload Lifecycle)Ułatwia bezpieczne pobieranie zaszyfrowanych i podpisanych obrazów (kontenerów, modeli, artefaktów) bezpośrednio do zaszyfrowanej pamięci TEE, zapobiegając ujawnieniu w spoczynku lub w transporcie oraz umożliwiając szczegółowe polityki interfejsów.
Natywna Integracja z Kubernetesem i GPU OperatoremUmożliwia zarządzanie całym stosem za pomocą standardowych prymitywów Kubernetes i NVIDIA GPU Operator, pozwalając na wdrożenie aplikacji AI metodą 'lift-and-shift' bez przepisywania.

Architektura ta zapewnia, że obciążenia AI korzystają z wydajności procesorów graficznych NVIDIA, jednocześnie będąc hermetyzowane w kryptograficznie zabezpieczonych granicach.

Zrozumienie modelu zagrożeń CoCo i granic zaufania w bezpieczeństwie AI

Kontenery Poufne (CoCo) działają w oparciu o rygorystycznie zdefiniowany model zagrożeń. W tym modelu cała warstwa infrastruktury — w tym system operacyjny hosta, hypervisor, a potencjalnie nawet sam dostawca chmury — jest traktowana jako z natury niezaufana. To fundamentalne założenie jest kluczowe dla podejścia zero-trust.

Zamiast polegać na czujności lub integralności administratorów infrastruktury w celu egzekwowania kontroli bezpieczeństwa, CoCo strategicznie przesuwa główną granicę zaufania do sprzętowo wspieranych Zaufanych Środowisk Wykonawczych (TEE). Oznacza to, że obciążenia AI są wykonywane w zaszyfrowanych, zwirtualizowanych środowiskach, gdzie zawartość pamięci jest niedostępna dla hosta. Co najważniejsze, wrażliwe tajemnice, takie jak klucze deszyfrujące modeli, są udostępniane dopiero po tym, jak środowisko wykonawcze kryptograficznie udowodni swoją integralność i autentyczność poprzez zdalną atestację.

Kluczowe jest jednak zrozumienie dokładnego zakresu tej ochrony — co CoCo chroni, a co pozostaje poza jego zakresem.

Co chroni CoCo

CoCo zapewnia solidne gwarancje zarówno poufności, jak i integralności podczas wykonywania obciążeń AI:

  1. Ochrona danych i modeli: Szyfrowanie pamięci jest kamieniem węgielnym, zapobiegającym dostępowi środowiska hosta do wrażliwych danych, własnościowych wag modeli lub ładunków wnioskowania, gdy obciążenie aktywnie działa w TEE.
  2. Integralność wykonania: Zdalna atestacja odgrywa kluczową rolę, weryfikując, czy obciążenie faktycznie działa w zaufanym, nienaruszonym środowisku z oczekiwanymi pomiarami oprogramowania, zanim jakiekolwiek wrażliwe tajemnice lub klucze deszyfrujące modeli zostaną udostępnione.
  3. Bezpieczna obsługa obrazów i przechowywania: Obrazy kontenerów są pobierane, weryfikowane i rozpakowywane bezpośrednio w bezpiecznym, zaszyfrowanym środowisku gościa. Gwarantuje to, że infrastruktura hosta nie może sprawdzać ani modyfikować kodu aplikacji ani cennych artefaktów modelu w żadnym momencie.
  4. Ochrona przed dostępem na poziomie hosta: Architektura skutecznie chroni obciążenia przed uprzywilejowanymi działaniami hosta. Administracyjne narzędzia debugowania, inspekcja pamięci czy skanowanie dysku przez hosta nie mogą ujawnić poufnej zawartości działającego obciążenia AI.

Czego CoCo nie chroni

Chociaż jest wysoce skuteczna, pewne ryzyka i wektory ataku wykraczają poza wrodzony zakres architektury CoCo:

  1. Luki w zabezpieczeniach aplikacji: CoCo zapewnia zweryfikowane i poufne środowisko wykonawcze, ale nie łata ani nie zapobiega wrodzonym lukom w samym kodzie aplikacji AI. Jeśli aplikacja zawiera błąd, który prowadzi do wycieku danych lub nieprawidłowego przetwarzania, CoCo nie może tego złagodzić.
  2. Ataki na dostępność: Głównym celem CoCo jest poufność i integralność. Nie zapobiega ono bezpośrednio atakom typu denial-of-service (DoS) ani innym atakom na dostępność, których celem jest zakłócenie usługi, a nie kradzież danych. Środki takie jak redundantna infrastruktura i zabezpieczenia na poziomie sieci są nadal niezbędne.
  3. Bezpieczeństwo sieci: Dane w transporcie, bezpieczeństwo punktów końcowych sieci oraz luki w protokołach sieciowych wykraczają poza bezpośrednią ochronę TEE. Bezpieczne kanały komunikacji (np. TLS/SSL) i solidna segmentacja sieci są uzupełniającymi wymaganiami. Aby uzyskać głębsze informacje na temat zabezpieczania AI, rozważ zapoznanie się ze strategiami zakłócania złośliwych zastosowań AI.

Budowanie przyszłości bezpiecznej AI

Droga AI od eksperymentów do produkcji wymaga zmiany paradygmatu w bezpieczeństwie. Przedsiębiorstwa nie tylko wdrażają modele; budują złożone fabryki AI, które na dużą skalę produkują inteligencję. Architektura zero-trust NVIDIA, wspierana przez Kontenery Poufne i sprzętowe TEE, stanowi kluczową podstawę dla tej nowej ery. Dzięki skrupulatnemu rozwiązywaniu wrodzonych dylematów zaufania i zapewnianiu solidnych gwarancji kryptograficznych, organizacje mogą pewnie wdrażać własnościowe modele i przetwarzać wrażliwe dane, przyspieszając adopcję AI bez uszczerbku dla bezpieczeństwa. Takie podejście nie tylko chroni własność intelektualną i prywatne informacje, ale także sprzyja nowemu poziomowi zaufania w całym cyklu rozwoju i wdrażania AI. W miarę ewolucji AI, integracja tak zaawansowanych ram bezpieczeństwa będzie kluczowa dla realizacji jej pełnego, transformacyjnego potencjału. Ponadto, trwająca strategiczna współpraca między liderami branży, takimi jak AWS i NVIDIA pogłębiający strategiczną współpracę w celu przyspieszenia AI, podkreśla zaangażowanie branży w rozwój bezpiecznych i skalowalnych rozwiązań AI.

Źródło oryginalne

https://developer.nvidia.com/blog/building-a-zero-trust-architecture-for-confidential-ai-factories/

Często zadawane pytania

What is a zero-trust AI factory and why is it important for enterprises?
A zero-trust AI factory is a high-performance infrastructure designed to manufacture intelligence at scale, built on the principle of 'never trust, always verify.' It eliminates implicit trust in the underlying host infrastructure by using hardware-enforced Trusted Execution Environments (TEEs) and cryptographic attestation. This is crucial for enterprises dealing with sensitive data (like patient records or market research) and proprietary AI models, as it mitigates risks of data exposure, intellectual property theft, and privacy concerns, thereby accelerating the adoption of AI into production environments. Its importance lies in enabling secure processing of highly confidential information.
What is the 'trust dilemma' in deploying AI models in shared infrastructure?
The trust dilemma in AI deployment arises from conflicting trust requirements among model owners, infrastructure providers, and data owners. Model owners fear IP theft from infrastructure providers; infrastructure providers worry about malicious workloads from model owners; and data owners need assurance that neither infrastructure nor model providers will misuse or expose their sensitive data during execution. This circular lack of trust is primarily due to data not being encrypted while in use in traditional computing environments, leaving it vulnerable to inspection by system administrators and hypervisors, creating significant security challenges.
How does confidential computing enhance the security of AI models and data?
Confidential computing addresses the core issue of data exposure by ensuring that data and AI models remain cryptographically protected throughout their entire execution lifecycle. Unlike traditional systems where data in use is unencrypted, confidential computing leverages hardware-backed Trusted Execution Environments (TEEs) to encrypt memory. This means sensitive data, model weights, and inference payloads are shielded from unauthorized access, even from privileged host software or administrators, significantly reducing the risk of intellectual property theft and data breaches during AI model inference and training and ensuring robust protection.
What are Confidential Containers (CoCo), and how do they operationalize confidential computing for Kubernetes?
Confidential Containers (CoCo) operationalize the benefits of confidential computing within Kubernetes environments. Instead of running standard Kubernetes pods directly on the host kernel, CoCo wraps each pod in a lightweight, hardware-isolated virtual machine (VM) using Kata Containers. This approach maintains cloud-native workflows while enforcing strong isolation. For AI, CoCo ensures that proprietary model weights remain encrypted until the hardware mathematically proves the enclave's security via remote attestation. A Key Broker Service then releases decryption keys only into this protected memory, preventing exposure to the host OS or hypervisor.
What are the core pillars of NVIDIA's reference architecture for zero-trust AI factories?
NVIDIA's reference architecture combines several crucial components to build robust zero-trust AI factories. Key pillars include a Hardware Root of Trust, utilizing CPU TEEs and NVIDIA confidential GPUs for memory-encrypted AI workloads; Kata Containers runtime for hardware-isolated Kubernetes pods; a Hardened Micro-Guest Environment with a minimal guest OS to reduce the attack surface; an Attestation Service to cryptographically verify hardware integrity before releasing secrets; a Confidential Workload Lifecycle for secure image pulling and deployment; and Native Kubernetes and GPU Operator Integration for seamless management and deployment without application rewrites.
What security aspects are *not* covered by Confidential Containers (CoCo)?
While CoCo provides strong confidentiality and integrity guarantees for data and model execution, it does not protect against all types of attacks. Specifically, CoCo does not address application vulnerabilities, meaning flaws within the AI application code itself that could be exploited. It also doesn't inherently prevent availability attacks, which aim to disrupt service rather than steal data. Furthermore, network security, such as protecting data in transit or securing network endpoints, remains outside CoCo's direct scope. These aspects require complementary security measures alongside the confidential computing framework for a complete security posture.

Bądź na bieżąco

Otrzymuj najnowsze wiadomości o AI na swoją skrzynkę.

Udostępnij