Le CPU Intel e AMD consentono già la creazione di Trusted Execution Environments (TEE) per fornire elaborazione sensibile a livello di CPU. I TEE assicurano che i dati rimangano crittografati in archiviazione, in transito e persino in uso. Offre inoltre l’attestazione remota per convalidare la configurazione hardware e concedere l’accesso ai dati solo per gli algoritmi richiesti. Anche le soluzioni Microsoft per l’elaborazione riservata su Azure utilizzano gli stessi principi.
Tuttavia, le soluzioni esistenti sono legate ai TEE incorporati nelle CPU, quindi Microsoft sta ora cercando di estendere tale limite anche alle GPU in modo che i dati possano essere trasferiti in sicurezza su hardware di elaborazione più potente. Questo è ancora più importante quando si tratta di carichi di lavoro di intelligenza artificiale per le organizzazioni e Microsoft sta collaborando con Nvidia su questo fronte.
Microsoftha notato che questa non è un’implementazione facile, in quanto deve proteggere le GPU da vari attacchi, fornendo comunque un controllo adeguato dei computer host di Azure per le azioni amministrative. Anche a livello hardware, l’implementazione non dovrebbe avere un impatto negativo su temperatura e prestazioni e idealmente non dovrebbe richiedere modifiche alla microarchitettura GPU esistente. La visione dell’azienda include le seguenti funzionalità per le GPU per la privacy:
- Una nuova modalità in cui tutto lo stato sensibile della GPU, inclusa la memoria della GPU, è isolato dall’host.
- Una radice di attendibilità hardware sul chip GPU in grado di generare attestazioni verificabili che acquisiscono tutti gli stati della GPU rilevanti per la sicurezza, inclusi tutti i firmware e il microcodice.
- Estensioni del driver GPU per convalidare l’attestazione GPU, impostare un canale di comunicazione sicuro con la GPU e crittografare in modo trasparente tutte le comunicazioni tra CPU e GPU.
- Supporto hardware per la crittografia trasparente di tutte le connessioni da GPU a GPU tramite NVLink.
- Supporto nel sistema operativo guest e nell’hypervisor per collegare in modo sicuro la GPU alla CPU TEE, anche se i contenuti della CPU TEE sono crittografati.
Microsoftha affermato di aver già creato funzionalità di privacy computing su Nvidia.GPU A100 con Tensor Core in Azure. Questo è stato fatto con la nuova funzione Ampere Protected Memory (APM). I dettagli di implementazione sono puramente tecnici e puoi leggerli qui .
Questa soluzione è ora disponibile in anteprima privata tramite le macchine virtuali GPU riservate di Azure. Per ora, le organizzazioni possono utilizzare quattro VM GPU Nvidia A100 Tensor Core per i propri carichi di lavoro Azure. I prossimi passi di Microsoft includono l’adozione di queste pratiche più ampiamente e la collaborazione con Nvidia sulla sua architettura Hopper per migliorare ulteriormente l’implementazione esistente.
Lascia un commento