Фабрики ИИ с нулевым доверием: Защита конфиденциальных рабочих нагрузок ИИ с помощью TEE

title: "Фабрики ИИ с нулевым доверием: Защита конфиденциальных рабочих нагрузок ИИ с помощью TEE" slug: "building-a-zero-trust-architecture-for-confidential-ai-factories" date: "2026-03-25" lang: "ru" source: "https://developer.nvidia.com/blog/building-a-zero-trust-architecture-for-confidential-ai-factories/" category: "Безопасность ИИ" keywords:

• Нулевое доверие
• Безопасность ИИ
• Конфиденциальные вычисления
• Доверенные среды выполнения
• TEE
• NVIDIA
• Фабрики ИИ
• Kubernetes
• Конфиденциальные контейнеры
• Защита данных
• Безопасность моделей
• Удаленная аттестация meta_description: "Узнайте, как строить фабрики ИИ с нулевым доверием, используя эталонную архитектуру NVIDIA, задействуя конфиденциальные контейнеры и TEE для надежной безопасности ИИ и защиты данных." image: "/images/articles/building-a-zero-trust-architecture-for-confidential-ai-factories.png" image_alt: "Диаграмма, иллюстрирующая архитектуру нулевого доверия, защищающую конфиденциальные рабочие нагрузки ИИ на фабриках ИИ." quality_score: 94 content_score: 93 seo_score: 95 companies:
• NVIDIA schema_type: "NewsArticle" reading_time: 7 faq:
• question: "Что такое фабрика ИИ с нулевым доверием и почему она важна для предприятий?" answer: "Фабрика ИИ с нулевым доверием — это высокопроизводительная инфраструктура, предназначенная для масштабного производства интеллекта, построенная на принципе 'никогда не доверять, всегда проверять'. Она устраняет неявное доверие к базовой хост-инфраструктуре за счет использования аппаратно-обеспеченных доверенных сред выполнения (TEEs) и криптографической аттестации. Это критически важно для предприятий, работающих с конфиденциальными данными (такими как записи пациентов или маркетинговые исследования) и проприетарными моделями ИИ, поскольку снижает риски утечки данных, кражи интеллектуальной собственности и проблем с конфиденциальностью, тем самым ускоряя внедрение ИИ в производственные среды. Ее важность заключается в обеспечении безопасной обработки крайне конфиденциальной информации."
• question: "Что такое 'дилемма доверия' при развертывании моделей ИИ в общей инфраструктуре?" answer: "Дилемма доверия при развертывании ИИ возникает из-за противоречивых требований к доверию между владельцами моделей, поставщиками инфраструктуры и владельцами данных. Владельцы моделей опасаются кражи ИС поставщиками инфраструктуры; поставщики инфраструктуры беспокоятся о вредоносных рабочих нагрузках от владельцев моделей; а владельцам данных нужны гарантии, что ни инфраструктура, ни поставщики моделей не будут злоупотреблять или раскрывать их конфиденциальные данные во время выполнения. Это циркулярное отсутствие доверия в основном связано с тем, что данные не шифруются во время использования в традиционных вычислительных средах, что делает их уязвимыми для проверки системными администраторами и гипервизорами, создавая значительные проблемы безопасности."
• question: "Как конфиденциальные вычисления повышают безопасность моделей и данных ИИ?" answer: "Конфиденциальные вычисления решают основную проблему утечки данных, обеспечивая криптографическую защиту данных и моделей ИИ на протяжении всего жизненного цикла их выполнения. В отличие от традиционных систем, где данные в использовании не зашифрованы, конфиденциальные вычисления используют аппаратно-защищенные доверенные среды выполнения (TEEs) для шифрования памяти. Это означает, что конфиденциальные данные, веса моделей и полезные нагрузки вывода защищены от несанкционированного доступа, даже со стороны привилегированного хост-программного обеспечения или администраторов, что значительно снижает риск кражи интеллектуальной собственности и утечки данных во время вывода и обучения моделей ИИ, обеспечивая надежную защиту."
• question: "Что такое конфиденциальные контейнеры (CoCo) и как они реализуют конфиденциальные вычисления для Kubernetes?" answer: "Конфиденциальные контейнеры (CoCo) реализуют преимущества конфиденциальных вычислений в средах Kubernetes. Вместо того чтобы запускать стандартные поды Kubernetes непосредственно на ядре хоста, CoCo 'оборачивает' каждый под в легкую, аппаратно-изолированную виртуальную машину (ВМ) с использованием Kata Containers. Этот подход сохраняет облачно-ориентированные рабочие процессы, одновременно обеспечивая строгую изоляцию. Для ИИ CoCo гарантирует, что проприетарные веса моделей остаются зашифрованными до тех пор, пока оборудование математически не докажет безопасность анклава посредством удаленной аттестации. Затем служба Key Broker Service выпускает ключи дешифрования только в эту защищенную память, предотвращая их доступность для ОС хоста или гипервизора."
• question: "Каковы основные принципы эталонной архитектуры NVIDIA для фабрик ИИ с нулевым доверием?" answer: "Эталонная архитектура NVIDIA объединяет несколько ключевых компонентов для создания надежных фабрик ИИ с нулевым доверием. Основные принципы включают: аппаратный корень доверия, использующий TEE ЦП и конфиденциальные графические процессоры NVIDIA для аппаратно-ускоренных, зашифрованных в памяти рабочих нагрузок ИИ; среду выполнения Kata Containers для аппаратно-изолированных подов Kubernetes; усиленную микро-гостевую среду с минимальной гостевой ОС для уменьшения поверхности атаки; службу аттестации для криптографической проверки целостности оборудования перед выпуском секретов; жизненный цикл конфиденциальной рабочей нагрузки для безопасного извлечения и развертывания образов; и нативную интеграцию с Kubernetes и GPU Operator для беспрепятственного управления и развертывания без переписывания приложений."
• question: "Какие аспекты безопасности не покрываются конфиденциальными контейнерами (CoCo)?" answer: "Хотя CoCo обеспечивает надежные гарантии конфиденциальности и целостности для данных и выполнения моделей, они не защищают от всех типов атак. В частности, CoCo не устраняет уязвимости приложений, то есть недостатки в самом коде приложения ИИ, которые могут быть использованы. Они также не предотвращают атаки на доступность, которые направлены на нарушение работы сервиса, а не на кражу данных. Кроме того, сетевая безопасность, такая как защита данных при передаче или защита сетевых конечных точек, остается вне прямой сферы действия CoCo. Эти аспекты требуют дополнительных мер безопасности наряду с фреймворком конфиденциальных вычислений для обеспечения полной безопасности."

Быстрое развитие ИИ вывело его из экспериментальной стадии в основу корпоративных операций. Однако остается существенное препятствие: подавляющее большинство критически важных корпоративных данных, включая крайне конфиденциальные записи пациентов, проприетарные маркетинговые исследования и бесценные устаревшие знания, находится за пределами публичного облака. Интеграция этой конфиденциальной информации с моделями ИИ порождает значительные проблемы с конфиденциальностью и доверием, часто замедляя или полностью блокируя внедрение ИИ.

Чтобы по-настоящему раскрыть потенциал ИИ, предприятия строят "фабрики ИИ" — специализированные, высокопроизводительные инфраструктуры, предназначенные для масштабного создания интеллекта. Для успешной работы этих фабрик с конфиденциальными данными и проприетарными моделями они должны быть построены на непоколебимом фундаменте нулевого доверия. Эта парадигма диктует, что ни одна сущность, будь то пользователь, устройство или приложение, не является доверенной по умолчанию. Вместо этого все запросы на доступ тщательно аутентифицируются и авторизуются. Это достигается за счет аппаратно-обеспеченных доверенных сред выполнения (TEEs) и криптографической аттестации, создавая архитектуру безопасности, которая устраняет изначально присущее доверие к базовой хост-инфраструктуре. В этой статье рассматривается полнофункциональный подход, описывающий эталонную архитектуру NVIDIA для интеграции этого принципа нулевого доверия в современные фабрики ИИ.

## Дилемма доверия на фабрике ИИ: вызов для множества заинтересованных сторон

Переход к развертыванию передовых, часто проприетарных моделей на общей инфраструктуре порождает сложную, многогранную дилемму доверия между ключевыми заинтересованными сторонами в экосистеме фабрики ИИ. Это "циркулярное отсутствие доверия" принципиально проистекает из неспособности традиционной вычислительной среды шифровать данные во время их использования.

1.  **Владельцы моделей против поставщиков инфраструктуры:** Владельцы моделей вкладывают значительные средства в разработку проприетарных моделей ИИ, чьи веса и алгоритмическая логика представляют собой значительную интеллектуальную собственность. Они не могут неявно доверять тому, что хост-операционная система, гипервизор или даже администратор с root-правами не будут проверять, красть или извлекать их ценные модели при развертывании на общей инфраструктуре.
2.  **Поставщики инфраструктуры против владельцев моделей/арендаторов:** И наоборот, те, кто управляет оборудованием и кластерами Kubernetes — поставщики инфраструктуры — не могут слепо доверять тому, что рабочая нагрузка владельца модели или арендатора является безвредной. Существует постоянный риск вредоносного кода, попыток повышения привилегий или нарушения границ безопасности хоста, встроенных в развернутые приложения ИИ.
3.  **Арендаторы (владельцы данных) против владельцев моделей и поставщиков инфраструктуры:** Владельцы данных, которые предоставляют конфиденциальные и часто регулируемые данные, питающие модели ИИ, требуют надежных гарантий того, что их информация останется конфиденциальной. Они не могут доверять тому, что поставщик инфраструктуры не будет просматривать их данные во время выполнения, и не могут быть уверены, что поставщик моделей не будет злоупотреблять или раскрывать данные во время вывода или обработки.

Это повсеместное отсутствие доверия подчеркивает критическую уязвимость: в традиционных вычислениях данные не шифруются во время их активной обработки. Это оставляет конфиденциальные данные и проприетарные модели открытыми в виде обычного текста в памяти и доступными для системных администраторов, создавая неприемлемый профиль риска для современных развертываний ИИ.

## Конфиденциальные вычисления и контейнеры: основа доверия в ИИ

Конфиденциальные вычисления выступают в качестве ключевого решения этой глубокой дилеммы доверия. Они принципиально меняют ландшафт безопасности, гарантируя, что данные и модели остаются криптографически защищенными на протяжении всего жизненного цикла их выполнения, а не только в состоянии покоя или при передаче. Это достигается за счет использования аппаратно-защищенных доверенных сред выполнения (TEEs), которые создают изолированные, зашифрованные области памяти, где конфиденциальные вычисления могут происходить без раскрытия хост-операционной системе или гипервизору.

В то время как конфиденциальные вычисления обеспечивают важнейшую аппаратную основу, **Конфиденциальные контейнеры (CoCo)** реализуют эту парадигму безопасности специально для сред Kubernetes. CoCo позволяет подам Kubernetes запускаться внутри этих аппаратно-защищенных TEE без каких-либо изменений или переписывания кода приложения. Вместо того чтобы использовать общее ядро хоста, каждый под прозрачно инкапсулируется в легковесную, аппаратно-изолированную виртуальную машину (ВМ) на базе [Kata Containers](https://github.com/kata-containers). Этот инновационный подход сохраняет существующие облачные рабочие процессы и инструменты, обеспечивая при этом строгие границы изоляции, повышая безопасность без ущерба для операционной гибкости.

Для поставщиков моделей угроза кражи проприетарных весов моделей является первостепенной проблемой. CoCo напрямую решает эту проблему, эффективно исключая хост-операционную систему и гипервизор из критического уравнения доверия. Когда модель ИИ развертывается в конфиденциальном контейнере, она остается зашифрованной. Только после того, как оборудование математически подтвердит целостность и безопасность анклава TEE посредством процесса, известного как удаленная аттестация, специализированная служба Key Broker Service (KBS) выдает необходимый ключ дешифрования. Затем этот ключ доставляется исключительно в защищенную память внутри TEE, гарантируя, что веса модели никогда не будут раскрыты в виде обычного текста хост-среде, даже администраторам с высокими привилегиями.

## Эталонная архитектура NVIDIA с нулевым доверием для безопасных фабрик ИИ

NVIDIA в сотрудничестве с сообществом открытого исходного кода [Confidential Containers](https://github.com/confidential-containers) разработала всеобъемлющую [эталонную архитектуру](https://docs.nvidia.com/datacenter/cloud-native/confidential-containers/latest/overview.html) для стека программного обеспечения CoCo. Этот проект определяет стандартизированный, полнофункциональный подход к созданию фабрик ИИ с нулевым доверием на инфраструктуре без операционной системы. Он подробно описывает, как интегрировать передовые аппаратные и программные компоненты для безопасного развертывания передовых моделей, защищая как их конфиденциальные данные, так и интеллектуальную собственность от раскрытия хост-среде.

Основными принципами этой надежной архитектуры являются:

| Принцип | Описание |
| :------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------- |
| **Аппаратный корень доверия** | Использует доверенные среды выполнения ЦП (TEEs) в сочетании с конфиденциальными графическими процессорами NVIDIA (например, NVIDIA Hopper, NVIDIA Blackwell) для аппаратно-ускоренных, зашифрованных в памяти рабочих нагрузок ИИ. |
| **Среда выполнения Kata Containers** | Оборачивает стандартные поды Kubernetes в легковесные, аппаратно-изолированные виртуальные машины (UVMs), обеспечивая сильную изоляцию вместо использования общего ядра хоста. |
| **Усиленная микро-гостевая среда** | Использует минимальную гостевую ОС без дистрибутива с 'отточенной' корневой файловой системой и контейнерную среду выполнения NVIDIA (NVRC) для безопасной системы инициализации, значительно уменьшая поверхность атаки ВМ. |
| **Служба аттестации** | Криптографически проверяет целостность аппаратной среды перед выдачей конфиденциальных ключей дешифрования моделей или секретов гостевой системе, часто с участием службы Key Broker Service (KBS). |
| **Жизненный цикл конфиденциальной рабочей нагрузки** | Обеспечивает безопасное извлечение зашифрованных и подписанных образов (контейнеров, моделей, артефактов) непосредственно в зашифрованную память TEE, предотвращая их раскрытие в состоянии покоя или при передаче, и позволяет использовать политики детальной настройки интерфейса. |
| **Нативная интеграция с Kubernetes и GPU Operator** | Позволяет управлять всем стеком с использованием стандартных примитивов Kubernetes и NVIDIA GPU Operator, обеспечивая развертывание приложений ИИ по принципу 'lift-and-shift' без переписывания кода. |

Эта архитектура гарантирует, что рабочие нагрузки ИИ получают преимущества от производительности графических процессоров NVIDIA, будучи инкапсулированными в криптографически защищенные границы.

## Понимание модели угроз CoCo и границ доверия в безопасности ИИ

Конфиденциальные контейнеры (CoCo) работают в рамках строго определенной **модели угроз**. В этой модели весь инфраструктурный уровень — включая хост-операционную систему, гипервизор и потенциально самого облачного провайдера — рассматривается как изначально недоверенный. Это фундаментальное предположение критически важно для подхода нулевого доверия.

Вместо того чтобы полагаться на бдительность или добросовестность администраторов инфраструктуры для обеспечения контроля безопасности, CoCo стратегически смещает основную границу доверия к аппаратно-защищенным доверенным средам выполнения (TEEs). Это означает, что рабочие нагрузки ИИ выполняются в зашифрованных, виртуализированных средах, где содержимое памяти недоступно для хоста. Важно отметить, что конфиденциальные секреты, такие как ключи дешифрования моделей, выдаются **только после** того, как среда выполнения криптографически подтвердит свою целостность и подлинность посредством удаленной аттестации.

Однако крайне важно понимать точную область этой защиты — что CoCo защищает и что остается вне ее сферы действия.

### Что защищает CoCo

CoCo предоставляет надежные гарантии как конфиденциальности, так и целостности во время выполнения рабочих нагрузок ИИ:

1.  **Защита данных и моделей:** Шифрование памяти является краеугольным камнем, предотвращающим доступ хост-среды к конфиденциальным данным, проприетарным весам моделей или полезным нагрузкам вывода, пока рабочая нагрузка активно выполняется внутри TEE.
2.  **Целостность выполнения:** Удаленная аттестация играет критически важную роль, проверяя, что рабочая нагрузка действительно выполняется в доверенной, нескомпрометированной среде с ожидаемыми измерениями программного обеспечения, прежде чем какие-либо конфиденциальные секреты или ключи дешифрования моделей будут выданы.
3.  **Безопасная обработка образов и хранилища:** Образы контейнеров извлекаются, проверяются и распаковываются непосредственно в безопасной, зашифрованной гостевой среде. Это гарантирует, что хост-инфраструктура не может проверять или изменять код приложения или ценные артефакты модели в любой момент времени.
4.  **Защита от доступа на уровне хоста:** Архитектура эффективно защищает рабочие нагрузки от привилегированных действий хоста. Инструменты административной отладки, проверка памяти или сканирование диска хостом не могут раскрыть конфиденциальное содержимое запущенной рабочей нагрузки ИИ.

### Что CoCo не защищает

Хотя CoCo весьма эффективны, определенные риски и векторы атак выходят за рамки присущей архитектуры CoCo:

1.  **Уязвимости приложений:** CoCo обеспечивает проверенную и конфиденциальную среду выполнения, но она не исправляет и не предотвращает уязвимости в самом коде приложения ИИ. Если в приложении есть ошибка, которая приводит к утечке данных или некорректной обработке, CoCo не может это исправить.
2.  **Атаки на доступность:** Основное внимание CoCo уделяется конфиденциальности и целостности. Она не предотвращает напрямую атаки типа "отказ в обслуживании" (DoS) или другие атаки на доступность, которые направлены на нарушение работы сервиса, а не на кражу данных. Меры, такие как избыточная инфраструктура и защита на сетевом уровне, по-прежнему необходимы.
3.  **Сетевая безопасность:** Данные в пути, безопасность сетевых конечных точек и уязвимости в сетевых протоколах выходят за рамки прямой защиты TEE. Безопасные каналы связи (например, TLS/SSL) и надежная сегментация сети являются дополнительными требованиями. Для более глубокого понимания обеспечения безопасности ИИ рассмотрите стратегии по [пресечению злонамеренного использования ИИ](/ru/disrupting-malicious-ai-uses).

## Строим будущее безопасного ИИ

Путь ИИ от экспериментов к производству требует смены парадигмы в безопасности. Предприятия больше не просто развертывают модели; они строят сложные фабрики ИИ, которые производят интеллект в масштабе. Архитектура NVIDIA с нулевым доверием, основанная на конфиденциальных контейнерах и аппаратно-защищенных TEE, обеспечивает критически важную основу для этой новой эры. Тщательно решая присущие дилеммы доверия и предоставляя надежные криптографические гарантии, организации могут уверенно развертывать проприетарные модели и обрабатывать конфиденциальные данные, ускоряя внедрение ИИ без ущерба для безопасности. Этот подход не только защищает интеллектуальную собственность и частную информацию, но и способствует новому уровню доверия на протяжении всего жизненного цикла разработки и развертывания ИИ. По мере того как ИИ продолжает развиваться, интеграция таких передовых фреймворков безопасности будет иметь первостепенное значение для реализации его полного, преобразующего потенциала. Более того, продолжающееся стратегическое сотрудничество между лидерами отрасли, такими как [AWS и NVIDIA углубляют свое стратегическое сотрудничество для ускорения ИИ](/ru/aws-and-nvidia-deeper-strategic-collaboration-to-accelerate-ai-from-pilot-to-production), подчеркивает приверженность отрасли развитию безопасных и масштабируемых решений ИИ.