Utforska

Vilka vi är

Vad vi gör

Resurser

Karriär

Global sökning

Sök på hela SysArt

AI-transformationon-prem AIsystemtänkandeledarskap
AI-rådgivning

Tydliggör strategi-, arkitektur- och styrningsbeslut för AI.

 Rådgivning

AI-transformation, privat AI-arkitektur och organisationsdesign.

 Insikter

Texter om systemtänkande, agilitet, AI och transformation.

 Kontakt

Kontakta Stockholmskontoret och rådgivningsteamet direkt.

Insikt

Konfidential computing för on-premises AI-inferens: attestering, hotbild och praktiska gränser

Data Security · On-Premises AI · AI Architecture · Advanced

Hur betrodda exekveringsmiljöer och fjärrattestering kan stärka on-premises AI när arbetslaster hanterar reglerad eller mycket känslig data, och var applikationslager fortfarande krävs.

Närbild av elektroniska kretsar som för tankarna till säker hårdvara

När egen drift inte räcker

Att köra stora språkmodeller i egna datacenter tar bort många tredjeparts datavägar, men det löser inte automatiskt varje konfidentialitetsproblem. Administratörer, backupoperatörer, hypervisorteam och alla med fysisk eller logisk åtkomst till värdar kan fortfarande observera minne på fel lager om arbetslasten inte isoleras kryptografiskt. Konfidential computing adresserar luckan genom att kombinera hårdvarubackad betrodd exekvering med fjärrattestering: ett verifierbart uttalande om vilken programvara som körs innan känsliga indata släpps till den.

För företag som bearbetar hälso-, finans- eller närliggande nationell säkerhetsarbetsbelastning, eller som står inför avtalsmässiga krav på åtskildhet, är konfidential computing mindre en marknadsföringsruta och mer ett sätt att linjera tekniska kontroller med revisionsförväntningar. Det ersätter inte nätverkssegmentering, identitet eller applikationssäkerhet, men det stramar åt förtroendegränsen kring själva inferensruntimen.

Grundläggande byggstenar

Moderna konfidential computing-stackar bygger vanligtvis på CPU- eller acceleratorfunktioner som etablerar en hårdvarurot av förtroende. Exempel inkluderar AMD Secure Encrypted Virtualization med Secure Nested Paging (SEV-SNP), Intel Trust Domain Extensions (TDX) och ARM Confidential Compute Architecture på lämpliga plattformar. Molnleverantörer dokumenterar liknande erbjudanden; on-premises är ert ansvar att välja hårdvarugenerationer, firmwareversioner och aktiveringssteg som säkerhetsarkitekturteamet konsekvent kan attestera.

Fjärrattestering låter en klient eller orchestrator be plattformen bevisa att en specifik mätning av kod och konfiguration laddades. I AI-scenarier kan det täcka inferensserverbinären, containeravbildsdigest, kärnparametrar och policyagenter. Attestering bevisar inte att modellvikterna är ofarliga; den bevisar att den överenskomna stacken är det som verkligen körs. Att koppla attestering till signerade artefakter i modellregistret stänger en vanlig glapp mellan ”vi driftsatte v1.2” och ”den här GPU-noden serverar verkligen v1.2”.

Ekosystemprojekt som Confidential Containers-gemenskapen och Kubernetes-integrationer från leverantörer syftar till att göra attesterade pods eller konfidentiella VM:er till en driftsatt enhet snarare än ett labbexperiment. Exakta API:er och attestatorformat skiljer sig åt; operativt avgörande är att releasepipelinen producerar artefakter som er attestator förstår.

Hotbild: vad konfidential AI täcker och inte täcker

Inom ramen. Konfidentiell exekvering höjer avsevärt ribban för en illvillig hypervisoradministratör eller en komprometterad värdhanteringsagent som läser klartextmodellaktiveringar eller användarprompts från RAM. Det stödjer också scenarier där ni måste visa tillsynsmyndigheter eller partners att data dekrypteras endast inuti en attesterad enklav, inte på ett generellt OS-avbild.

Utanför eller delvis. Sidokanalsattacker, mikroarkitektoniskt läckage och vissa överbelastningsmönster förblir bekymmer som leverantörer dokumenterar med olika tydlighet. Om hotbilden inkluderar sofistikerade fysiska angripare behövs anläggningskontroller bortom mjukvara. Missbruk på applikationsnivå—till exempel ett dåligt avgränsat tjänstekonto som exfiltrerar utdata efter inferens—löses inte av hårdvaruenklaver i sig. På samma sätt försvinner promptinjektion och osäker verktygsanvändning inte för att tensorer passerade genom krypterat minne.

Var explicit i arkitekturrevideringar om vilka påståenden ni gör till intressenter. ”Data är alltid krypterad i vila och under transport” skiljer sig från ”operatörspersonal kan inte observera prompts utan att bryta attestering”, och skiljer sig åter från ”modellen kan inte läcka hemligheter”—vilket konfidential computing inte lovar av sig själv.

Designmönster för inferenstjänster

Ett praktiskt mönster är att placera tokenizer, modellladdare och inferensserver inom den konfidentiella exekveringsgränsen medan API-gateways, hastighetsbegränsning och observabilitetssamlare finns utanför men strikt autentiserade. Trafik går in via ömsesidig TLS; attestationsresultat kontrolleras innan sessionsnycklar provisioneras. Loggning måste maskeras noggrant: att lagra fulla prompts i en central SIEM underminerar ofta konfidentialitetsberättelsen om inte loggarna själva klassas och krypteras med separata nycklar.

För GPU-backad inferens beror tillgängligheten av konfidentiella GPU-vägar på hårdvarugeneration och mjukvarustack. Team kör ibland CPU-endast konfidentiella vägar för extremt känslig förbehandling medan bulk-GPU-inferens ligger i en standardzon—en arkitektonisk kompromiss driven av latensbudgetar och tillgångsbegränsningar snarare än ideal säkerhet.

Nyckelhantering bör integreras med befintligt företags-HSM eller moln-KMS-bryggor så att rotnycklar aldrig materialiseras på operatörslaptops. Använd kortlivade sessionsnycklar härledda efter lyckad attestering och rotera dem vid policyutlösare som bilduppgraderingar eller nodåteruppbyggnad.

Operativa realiteter: prestanda, patchning och styrning

Konfidentiella lägen kan lägga på CPU-overhead, komplicera live migration och sakta ned vissa I/O-vägar. Innan ni committar, profilera målmodeller med representativa batchstorlekar och sekvenslängder på attesterade konfigurationer, inte bara på obegränsade labb-GPU:er. Behandla firmware- och mikrokoduppdateringar som planerade händelser som kan ändra mätningar och därför kräva koordinerade attestationspolicyuppdateringar.

Styrning bör koppla till bredare AI-kontroller: modellkort, godkända basavbilder och ärenderegister. När attestering misslyckas i produktion bör runbooks skilja mellan ofarlig drift efter patchning och potentiell kompromiss. Den distinktionen blir enklare när ni underhåller gyllene mätningar per releaseartefakt i stället för en enda ogenomskinlig ”lita på den här värden”-flagga.

Sammanfattning

Konfidential computing är ett starkt komplement till on-premises AI när riskbedömningar handlar om operatörsåtkomst och delning av multitenanthostar. Det linjerar väl med fjärrattestering av inferensstackar och signerade modeller. Det ersätter inte säker API-design, robust identitet eller tester mot missbruk av modellutdata. Organisationer som får värde börjar med en skriven hotbild, väljer hårdvaru- och mjukvarustackar som teamen kan drifta och integrerar attestering i distributionspipeliner—inte som en engångsdemo, utan som del av hur varje godkänd modellversion når produktion.

Utvald bild av Mika BaumeisterUnsplash.

← Till bloggens arkiv