ロヒット・シルワドカー氏はEquinixのサイバーセキュリティ戦略リーダーである。
NIST-800セキュリティフレームワークは「決して信頼せず、常に検証する」という基調を設定し、最小権限と継続的監視の概念を強調している。これは特にAIの領域において重要かつ関連性が高く、アプリケーションがあらゆるデバイスやネットワークからアクセスされる中で、モデルの完全性が大きな役割を果たしている。
CISAは以下のレイヤーをゼロトラストにおいて重要と定義している:アイデンティティ、デバイス、ネットワーク、ワークロード、データ。データレイヤーは、オンプレミスとクラウド環境にまたがるAIモデルとワークロードにとって最も重要である。
モデルのトレーニングと推論は、誤情報の事例、機密情報の開示、著作権侵害、またはこれらのユースケースのモデルウェイトを定義する際に対処すべきその他の倫理的問題がないことを確実にするために、管理された規制されたデータセットに依存している。モデルウェイトは、企業が特定のタイプのデータセットで最も良いパフォーマンスを発揮するモデルを判断するのに役立つ。ゼロトラスト原則を確保し、デバイスやGPUが側面チャネル攻撃から保護されていることを検証することは、モデルの完全性を維持するために不可欠である。
信頼境界の進化:CPU > GPU > ファブリック
AIモデルがより電力と計算を必要とするようになるにつれ、セキュリティ確保が必要な範囲はCPUからGPU、そして現在ではこれらのワークロードをサポートするAIファーム全体へと進化している。この進化により、計算ワークロードのセキュリティ確保は、保存時だけでなく計算中も重要になっている。これにより、安全な、または機密計算への需要が高まっている。
信頼できるコンピューティングは、本質的に改ざん防止ハードウェアとリモート証明によって強制される信頼できる実行環境(TEE)である。ほとんどのGPUはハードウェアのルート・オブ・トラストを持ち、CPUの証明と組み合わせることで、計算中にワークロードを暗号化するために使用できる単一のトークンを作成する。SPDM(Security Protocol and Data Model)のような標準は、デバイス認証と鍵交換のためにますます使用されている。同時に、PCIe IDEとCXL IDE標準はCPUとGPU間のトラフィックを暗号化するために使用される。
この秘密の鍵は、新しい鍵がどれだけ頻繁に生成されるかにあり、各セッションが特定のワークロードまたはユーザーに専用であることを確保している。機密計算により、ユーザーはワークロードが計算中も暗号化されたままであるため、側面チャネル攻撃から保護されていることを確信できる。
フラクショナルGPU:分離を犠牲にしない効率性
GPUがより高価になり、データセンター業界が電力と容量不足に直面する中、フラクショナルGPUや分散コンピューティングは、企業が計算能力を拡張するための効率的な方法として浮上している。
フラクショナルGPUモデルでは、計算に利用可能なコアの数が、異なるユーザーが所有する可能性のあるさまざまなワークロード間で動的に分散される。ワークロードの実行が完了すると、これらのコアはオープンプールに戻される。
このモデルにおける主要なセキュリティ上の懸念は、コアとスクラッチパッド(キャッシュ)が次のワークロードに割り当てられる前に完全にクリアされることを確保することである。悪意のある攻撃者は、ワークロードを改ざんしたり、スパイしたりするために、スクラッチパッドや以前に割り当てられたコアに残存する方法を見つけている。NvidiaのMulti-Instance GPU(MIG)機能のようなツールは、テナント間の干渉を大幅に減らすのに役立つ。
AIとフラクショナルGPUのためのゼロトラスト設計図
1. 強力なワークロードアイデンティティ:SPDMのような標準を活用して、ワークロードアイデンティティがGPUとCPUの証明の組み合わせから派生した鍵を使用することを確保する。この検証が実行されない限り、モデルストアへのアクセスをブロックする。
2. ゼロトラストネットワークアクセス:APIゲートウェイ、ストレージ、デバイス境界を含むネットワーク境界全体にゼロトラストアーキテクチャ(ZTA)コンポーネントを展開する。アクセスがセッションごとでコンテキストを認識していることを確保する。
3. すべてのデバイストラフィックの暗号化:環境全体で保存中および転送中のデータを暗号化することに加えて、SPDMとPCIe IDEを使用して計算中のワークロードを暗号化する。
4. ゾーンによるマイクロセグメンテーション:トレーニングクラスタと本番環境を、データの機密性とモデルの信頼性に基づいて、異なる分離された信頼ゾーンに分離する。
5. AI特有の脅威の監視:モデルの幻覚、モデル盗難、ポイズニング、データ流出などの検出をMITRE ATLASフレームワークにマッピングし、主要な攻撃ベクトルと緩和策に基づく脅威プロファイルを作成して、SIEM/SOARプラットフォームに供給する。モデル盗難プレイブックを開発し、CI/CDパイプライン内の主要なチェックを自動化してセキュリティを確保する。
重要なポイント
AIデータセンターのセキュリティ確保は、ユーザーからCPU、GPU、モデルなどに至るまで、適切な場所で適切な方法で暗号化を適用し、ゼロトラストアーキテクチャを実装することに大きく依存している。これにより、リスクを増加させることなくフラクショナルGPUの効率性を拡張できる。
