Vertrauliche KI-Workloads

Confidential Computing in der Cloud

Uhr
von Philip Wainhouse, Cloud Lead & Architect, Capgemini Schweiz

Unternehmen, die sensible Daten in der Cloud verarbeiten, können von Lösungen für vertrauliches Computing profitieren. Der Markt wird voraussichtlich weiter wachsen, insbesondere im öffentlichen Sektor und in souveränen Cloud-Domänen, wo der zusätzliche Schutz die Einhaltung von Vorschriften und lokalen Datenschutzgesetzen unterstützen kann.

Cloud-Computing entwickelt sich schnell. Bereits seit der Gründung des ursprünglichen Confidential Computing Consortium im Jahr 2019 hat sich das Umfeld verändert. Was ist neu? KI hat den Wendepunkt erreicht und generative KI ist in die öffentliche Aufmerksamkeit gerückt.

Mit diesem Hintergrund wollen wir die neuesten Dienste für vertrauliches Computing der grossen Cloud-Anbieter betrachten und uns anschauen, wie man vertrauliche KI-Workloads ausführt.

Eine Auffrischung: Was ist Confidential Computing?

Confidential Computing ist eine Technik, die darauf abzielt, Daten während der Verarbeitung zu schützen.

Es bietet zusätzliche Verschlüsselungstechniken, die man in Lösungen (entweder vor Ort oder in der Cloud) nutzen kann, um sensible Daten während der Nutzung privat zu halten.

In heutigen, datengetriebenen Umgebungen ist der Schutz von Daten von grosser Bedeutung. In der Cloud ist dies eine fortlaufende Aktivität, die viele Abwehrschichten umfasst, vom Edge über das Netzwerk bis hin zu den Cloud-Ressourcen und hinunter zu deren Anwendungen und sensiblen Daten.

Der Schutz der Daten selbst beginnt mit ihrer Verschlüsselung, die grob in drei Kategorien unterteilt wird:

  • Daten im Ruhezustand: Verschlüsseln der Daten, während sie inaktiv sind.
  • Daten in Übertragung: Verschlüsseln der Daten, wenn Sie sie über das Internet oder interne Netzwerke übertragen.
  • Daten in Nutzung: Verschlüsseln der Daten, während sie im Speicher verarbeitet werden.
Eine grafische Darstellung der drei Arten von Verschlüsselungen: Im Gegensatz zur Verschlüsselung im Ruhezustand oder während der Übertragung ist die Verschlüsselung von Daten während ihrer Verarbeitung im Speicher neu.
(Source: Confidential Computing Consortium)

 

Cloud-native Managed Services helfen seit einiger Zeit bei den ersten beiden Kategorien, indem sie viele Optionen als Standardservice bieten, Best Practices leiten und Anpassungen für komplexere Implementierungen ermöglichen.

"Daten in Nutzung" ist die wachsende dritte Kategorie, welche die vertraulichen Computing-Techniken angehen wollen, indem sie ein sogennantes "Trusted Execution Environment" (TEE) für Verarbeitungsvorgänge in einer hardwarebasierten, isolierten, attestierbaren Computerumgebung bereitstellen.

TEE-Technologien und -Standards wurden mithilfe des Confidential Computing Consortium (CCC) vorangetrieben. Dies ist ein Linux-Foundation-Community-Projekt, das von einer Gruppe von Cloud-, Hardware- und Software-Anbietern initiiert wurde, die über Open-Source-Projekte zusammenarbeiten und die Einführung von TEE-Standards und hardwarebasierter Sicherung von "Daten in Nutzung" beschleunigen.

Confidential Computing Cloud-Dienste

Im Kern des vertraulichen Computings steht die Fähigkeit, Daten sicher und privat auf jeder Art von Infrastruktur oder öffentlicher Cloud zu verarbeiten. Dies ist beruhigend, wenn Kunden versuchen, so wenig wie möglich in deren Lösungen zu vertrauen und zunehmend Zero-Trust-Sicherheitsarchitekturen übernehmen.

Als Ergebnis erweitern die öffentlichen Cloud-Anbieter ihre Managed-Service-Angebote im Bereich des vertraulichen Computings.

Bei der Auswahl der verfügbaren Serviceangebote für Ihr "Trusted Execution Environment" gibt es viele Optionen, auf verschiedenen Ebenen des Stacks und mit unterschiedlichen Hardware-Ausführungen. Beginnen wir mit den gebräuchlichsten und einfachsten zu verwendenden, den "vertraulichen virtuellen Maschinen".

Vertrauliche virtuelle Maschinen (VMs)

Vertrauliche VMs verwenden Schutzmassnahmen auf Siliziumebene, um Daten in Nutzung zu verschlüsseln - mittels Sicherheitstechnologien, die von modernen CPUs/Hardware-Anbietern wie AMD, Intel, Nvidia und AWS angeboten werden. Der Speicher im RAM ist verschlüsselt und es gibt Optionen zur Betriebssystem- oder Temp-Disk-Verschlüsselung. Ihre Arbeitslast ist vom Hypervisor, dem Host-OS und anderen VMs isoliert, und es gibt keinen Zugriff durch Cloud-Betreiber, da die Verschlüsselungsschlüssel nur in der Hardware generiert und gespeichert werden. Dies schützt vor einer Vielzahl von Angriffen, da nur die VM auf dem Speicher lesen und schreiben kann.

Vertrauliche VM-Instanzen in der Cloud lassen sich auf ähnliche Weise erstellen wie Standard-VMs, indem man einfach vertrauliches Computing, dann den Maschinentyp und die CPU-Plattform auswählt, die am besten zu den jeweiligen Sicherheits-, Leistungs- und Kostenkriterien passen. Gängige Optionen sind:

  • Intels Software Guard Extensions oder Trust Domain Extensions (Intel SGX / TDX)
  • AMDs Secure Encrypted Virtualization (AMD SEV / SEV-SNP)
  • AWS bietet ihre eigene EC2-Lösung basierend auf ihrem AWS Nitro System & Enclaves-Technologie an

Im Allgemeinen gilt: Je mehr Sicherheitsfunktionen angeboten werden, desto ressourcenintensiver ist die Technologie, was zu höheren Kosten, geringerer Netzwerkbandbreite und höherer Latenz führt. Zum Beispiel erweitert AMD SEV-SNP (Secure Nested Paging) SEV um zusätzliche Funktionen, um Hypervisor-Angriffe wie Datenwiedergabe und Speicher-Neuzuordnung zu verhindern.

In der Regel kann man ohne Modifikationen an vorhandenen Anwendungen und Code mit vertraulichen VMs beginnen.

Eine grafische Darstellung einer vertraulichen VM, die unabhängig vom Hypervisor, dem Betriebssystem und der Hardware verschlüsselt ist.
(Source: Capgemini)

 

VMs mit vertraulichen App-Enklaven

Wer keine ganze VM benötigt, aber Schutz für eine kleinere Sicherheitsgrenze bevorzugt, kann sich für eine vertrauliche App-Enklave entscheiden, die App-spezifische Arbeitslasten auf einer virtuellen Maschine schützt. Ein Teil des Speichers wird während der Nutzung verschlüsselt und die Isolation kann bis hin zu spezifischen Modulen innerhalb von Anwendungen erstellt werden. Die Sicherheitsgrenze wird auf den Teil des Speichers innerhalb einer VM angewendet, der von der Enklave verwendet wird, was bedeutet, dass sich Schutzbedürfnisse gezielter anpassen und Kosten sowie Latenz optimieren lassen.

Eine grafische Darstellung einer virtuellen Maschine mit App-Enklave, die eine Anwendung und dazu gehörende Prozesse separat verschlüsselt.
(Source: Capgemini)

 

Confidential Neural Computing 

Für KI und maschinelles Lernen, wo häufig Lösungen in grösserem Umfang erforderlich sind, werden ähnliche Techniken entwickelt, um vertrauliches KI-Computing zu unterstützen - mit entsprechenden Cloud-Angeboten, die von Nvidia H100 GPUs oder Intel-AMX-CPU-Beschleunigung unterstützt werden.   

Confidential Neural Computing bietet einen Rahmen, in dem KI-Training und Inferenzen innerhalb sicherer Enklaven durchgeführt werden können, für Anwendungsfälle, die einen durchgängigen Datenschutz oder private generative KI erfordern. Diese Lösungen nutzen leistungsstarke CPU-Beschleunigung und Confidential GPUs, um sicherzustellen, dass die Daten während der gesamten Verarbeitungspipeline geschützt sind, von der Eingabe in die GPU bis zur Generierung der Ergebnisse, während sie gleichzeitig die erforderliche Leistung für Deep Learning und Inferenz-Workloads bieten. 

H100-Rechner, die den Confidential-Compute-Modus unterstützen, sind sehr gefragt, sodass für solche Gerüste Kostenüberlegungen angestellt werden müssen. Häufig auftretende Anwendungsfälle sind die mobile generative KI, bei der es aufgrund des Ressourcenbedarfs von LLMs noch nicht möglich ist, bestimmte Aufgaben auf dem Gerät durchzuführen, sodass die Verarbeitung in der Cloud erfolgen muss. Die Möglichkeit, TEEs und Remote-Attestierung zu nutzen, um solche Datenverarbeitungsvorgänge geheim zu halten, ist für viele Kunden, die in diesem Bereich innovativ sind, ein attraktives Angebot. 

Webcode
LAtf9Kfd