这篇文章最初发表在 NVIDIA 技术博客上。
快速的数字化转型导致整个企业生成的敏感数据激增。这些数据必须在本地、云中的数据中心中存储和处理,或者在边缘生成敏感和个人身份信息( PII )的活动示例包括信用卡交易、医学成像或其他诊断测试、保险索赔和贷款申请。
这些丰富的数据为企业提供了一个机会,可以提取可操作的见解,释放新的收入来源,并改善客户体验。利用人工智能的力量可以在当今数据驱动的商业环境中获得竞争优势。
然而,全球数据保护和隐私法的复杂性和不断演变的性质可能会对寻求从人工智能中获得价值的组织构成重大障碍:
- 欧洲通用数据保护条例( GDPR )
- 美国的健康保险便携性和责任法案( HIPAA )和 Gramm-Leach-Bliley 法案( GLBA )
医疗保健、金融服务和公共部门的客户必须遵守多种监管框架,并面临因数据泄露而遭受严重财务损失的风险。
图 1 。数据泄露的成本 (资料来源:IBM Cost of Data Breaches report)
除了数据,人工智能模型本身也是宝贵的知识产权。它们是模型所有者在构建、培训和优化方面投入大量资源的结果。如果在使用中没有得到充分保护,人工智能模型将面临暴露敏感客户数据、被操纵或被逆向工程的风险。这可能导致错误的结果、知识产权的损失、客户信任的侵蚀以及潜在的法律后果。
数据和人工智能 IP 通常在静止(存储)或通过网络传输(传输)时通过加密和安全协议进行保护。但在使用过程中,例如在处理和执行它们时,由于未经授权的访问或运行时攻击,它们很容易受到潜在的破坏。
图 2 :没有保密计算的端到端数据生命周期中的安全漏洞
防止未经授权的访问和数据泄露
机密计算通过在计算机处理器内的安全隔离环境(也称为可信执行环境( TEE ))内执行计算,解决了保护使用中的数据和应用程序的这一缺口。
TEE 就像一个锁着的盒子,保护处理器内的数据和代码免受未经授权的访问或篡改,并证明任何人都无法查看或操纵它。这为必须处理敏感数据或 IP 的组织提供了额外的安全层。
图 3 。机密计算解决了安全漏洞
TEE 阻止系统管理程序、主机操作系统、基础设施所有者(如云提供商)或任何能够物理访问服务器的人对数据和代码的访问。机密计算减少了来自内部和外部威胁的攻击的表面积。它在计算堆栈的最底层保护数据和 IP ,并提供用于计算的硬件和固件值得信赖的技术保证。
今天的 CPU 保密计算解决方案不足以满足 AI 工作负载的需求,因为这些工作负载需要加速以获得更快的解决方案时间、更好的用户体验和实时响应时间。将 CPU 的 TEE 扩展到 NVIDIA GPU 可以显著提高人工智能保密计算的性能,在保持强大安全措施的同时,能够更快、更高效地处理敏感数据。
NVIDIA H100 上的安全 AI
机密计算是在NVIDIA H100 Tensor Core GPU使医疗保健、金融和公共部门等受监管行业的客户能够保护使用中的敏感数据和人工智能模型的机密性和完整性。
图 4 。 NVIDIA H100 上的机密计算 GPU
通过从计算堆栈的最低级别到 GPU 架构本身的安全性,您可以在本地、云中或边缘使用 NVIDIA H100 GPU ‘构建和部署人工智能应用程序。在执行过程中,任何未经授权的实体都不能查看或修改数据和 AI 应用程序。这保护了敏感的客户数据和人工智能知识产权。
图 5 。使用机密计算实现虚拟机的完全隔离
有关 NVIDIA H100 中保密计算功能的快速概述,请参阅以下视频。
视频 1. 什么是 NVIDIA 机密计算?
解锁安全 AI : NVIDIA H100 上的机密计算授权用例
NVIDIA H100 GPU 加速保密计算为企业提供了一个高性能、多功能、可扩展且安全的人工智能工作负载解决方案。它开启了人工智能创新的新可能性,同时保持安全、隐私和法规遵从性。
- 机密人工智能培训
- 机密人工智能推断
- 面向 ISV 和企业的 AI IP 保护
- 机密联合学习
机密人工智能培训
在医疗保健、金融服务和公共部门等行业,用于人工智能模型培训的数据是敏感和受监管的。这包括 PII 、个人健康信息( PHI )和机密专有数据,在培训过程中,所有这些都必须受到保护,防止未经授权的内部或外部访问。
借助 NVIDIA H100 GPU 上的保密计算,您可以获得加快训练时间所需的计算能力,并获得数据和人工智能模型的机密性和完整性得到保护的技术保证。
图 6 。对正在训练的训练数据和人工智能模型的保护
对于在数据中心内部完成的人工智能培训工作负载,机密计算可以保护培训数据和人工智能模型不被恶意内部人员或任何组织间未经授权的人员查看或修改。当您在公共云等托管或共享基础设施中训练人工智能模型时,主机操作系统和系统管理程序会阻止对数据和人工智能模型的访问。这包括服务器管理员,他们通常可以访问由平台提供商管理的物理服务器。
机密人工智能推断
经过培训后,人工智能模型将集成在企业或最终用户应用程序中,并部署在本地、云中或边缘的生产 IT 系统上,以推断有关新用户数据的信息。
向部署的人工智能模型提供的最终用户输入通常可以是私人或机密信息,出于隐私或法规遵从性原因,必须保护这些信息,以防止任何数据泄露或泄露。
人工智能模型本身是由人工智能产品或服务的所有者开发的有价值的 IP 。在推理计算过程中,它们有被查看、修改或窃取的风险,从而导致错误的结果和业务价值的损失。
图 7 。保护已部署的人工智能模型、启用人工智能的应用程序和用户输入数据
通过保密计算在 NVIDIA H100 GPU 上部署人工智能应用程序,可以提供技术保证,即在推理过程中保护客户输入数据和人工智能模型不被查看或修改。这为最终用户采用和使用人工智能服务提供了额外的信任层,并确保企业在使用过程中保护其宝贵的人工智能模型。
面向 ISV 和企业的 AI IP 保护
独立软件供应商( ISV )在为各种特定应用程序或特定行业的用例开发专有人工智能模型方面投入了大量资金。例子包括金融服务中的欺诈检测和风险管理,或医疗保健中的疾病诊断和个性化治疗计划。
ISV 必须保护其 IP 在部署在本地客户数据中心、边缘远程位置或客户的公共云租赁内时不被篡改或窃取。此外,客户需要保证他们作为 ISV 应用程序输入提供的数据在使用过程中不会被查看或篡改。
图 8 。人工智能 IP 的安全部署
NVIDIA H100 GPU 上的保密计算使 ISV 能够将客户部署从云扩展到边缘,同时保护其宝贵的 IP 免受未经授权的访问或修改,即使是对部署基础设施有物理访问权限的人。 ISV 还可以为客户提供技术保证,即应用程序不能查看或修改他们的数据,从而增加客户的信任并降低使用第三方 ISV 应用程序的风险。
机密联合学习
为欺诈检测、医学成像和药物开发等用例构建和改进人工智能模型需要多样化、仔细标记的数据集进行培训。这需要多个数据所有者之间的协作,而不会损害单个数据源的机密性和完整性。
NVIDIA H100 GPU 上的保密计算解锁了保密联合学习等安全多方计算用例。联合学习使多个组织能够合作训练或评估人工智能模型,而不必共享每个小组的专有数据集。
图 9 。为联合学习等多方人工智能工作负载增加了一层保护
NVIDIA H100 的保密联合学习提供了额外的安全层,确保数据和本地人工智能模型在每个参与站点都受到保护,免受未经授权的访问。
当部署在联邦服务器上时,它还可以在聚合期间保护全局人工智能模型,并提供额外的技术保证层,以保护聚合模型免受未经授权的访问或修改。
这有助于推动医学研究的发展,加快药物开发,减少保险欺诈,并在全球范围内追踪洗钱,同时维护所有相关方的安全、隐私和监管合规性。
NVIDIA 平台,用于加速内部机密计算
在 NVIDIA H100 GPU 上开始使用机密计算需要支持基于虚拟机( VM )的 TEE 技术的 CPU ,如 AMD SEV-SNP 和 Intel TDX 。将基于虚拟机的 TEE 从支持的 CPU 扩展到 H100 GPU 可以对所有虚拟机内存进行加密,并且运行的应用程序不需要任何代码更改。
顶级 OEM 合作伙伴现在正在运送由 NVIDIA H100 Tensor Core GPU 提供动力的机密计算加速平台。这些机密计算兼容系统将 NVIDIA H100 PCIe Tensor Core GPU 与支持 AMD SEV-SNP 技术的 AMD Milan 或 AMD CPU 热那亚相结合。
以下合作伙伴正在为企业提供第一波 NVIDIA 平台,以确保其数据、人工智能模型和数据中心内部使用的应用程序的安全:
- ASRock 机架
- 飞马座
- 思科
- 戴尔技术
- 千兆字节
- 惠普企业
- 联想
- 超微
- 佳恩
NVIDIA H100 GPU 在第一个生产版本中附带支持所有机密计算功能的 VBIOS (固件)。将于今年夏天发布的 NVIDIA 机密计算软件堆栈将首先支持单个 GPU ,然后在后续版本中支持多个 GPU ‘和多实例 GPU 。
有关 NVIDIA 保密计算软件堆栈和可用性的更多信息,请参阅6 月 29 日的 Unlock the Potential of AI with Confidential Computing on NVIDIA GPUs会议(轨道 2 ), Confidential Computing Summit 2023。
