反向代理服务器加强 AI 网络安全

October 9, 2024

Brandon Lewis

AI 模型依赖于持续的数据流进行学习和推理。这正是其价值所在。但这也让它们变得脆弱。由于 AI 模型基于其所接触的数据构建，因此极易受到数据被破坏、操纵或泄露的影响。

网络威胁可能来自不良行为者，他们编造推理并向模型注入偏差，以干扰模型的性能或运行。分布式拒绝服务 (DDoS) 攻击可以产生同样的结果，使模型运行的平台（以及模型本身）不堪重负。这些和其他威胁可导致模型及其敏感数据遭遇 IP 盗窃，特别是在周围基础设施未得到适当保护的情况下。

不幸的是，急于实施 AI 模型会造成 AI 部署架构存在重大安全漏洞。随着企业将 AI 与更多的业务系统和流程整合，首席信息安全官 (CISO) 必须努力弥补这些漏洞，防止在每次推理时都要提取宝贵的数据和 IP。

追求性能的 CISO 所面临的 AI 网络安全困境

在技术层面上，当前一代 AI 部署缺乏安全性的一个简单原因在于：性能。

AI 模型计算是资源密集型任务，直到不久前几乎仍是计算集群和超级计算机的专属领域。如今情况发生变化，八核第四代英特尔^® 至强^® 可扩展处理器等平台为 Dell Technologies PowerEdge R760 等机架服务器提供强大支持，能够同时高效托管多台 AI 模型服务器（图 1）。

Dell 机架服务器图片 — **图 1。**Dell PowerEdge R760 等机架服务器可以同时托管多台高性能英特尔^® OpenVINO^™ 工具套件模型服务器。（来源： Dell Technologies）

然而无论是托管在边缘还是数据中心，AI 模型服务器都需占用平台大部分资源（如果并非全部）。这是以牺牲安全性等功能为代价的，安全性对算力的需求也很高，并且与部署模式几乎无关：

部署模式 1——主机处理器：在同一处理器上部署 AI 模型服务器和防火墙或加密/解密等安全功能，会导致工作负载争夺 CPU 资源、网络带宽和内存。这会减慢响应时间、增加延迟并降低性能。
部署模式 2——独立虚拟机 (VM)：在同一主机处理器的不同虚拟机上托管 AI 模型和安全功能，会带来不必要的开销和架构复杂性，最终影响系统的可扩展性和敏捷性。
部署模式 3——同一虚拟机：在同一虚拟机上托管两种工作负载类型，模型服务器和安全功能可能会暴露于相同的漏洞。这可能会加剧数据泄露、未经授权的访问和服务中断风险。

CISO 需要新的部署架构，既能提供 AI 模型所需的性能可扩展性，又能够保其中的护敏感数据和 IP。

COTS 硬件上 AI 模型代理的安全性

另一种方法是，将 AI 模型服务器和安全工作负载托管在不同的系统上。这样可提供足够的资源，避免 AI 任务发生不必要的延迟或性能下降，同时在推理、安全运行和 AI 模型本身之间进行物理分离。

随后挑战变为物理占用空间和成本。

发布意识到这一机会后，全球领先的应用交付架构厂商 F5 Networks, Inc. 与英特尔以及提供广泛产品组合全球领先的 OEM 公司 Dell 合作开发一种解决方案，以单一的商用现货软件 (COTS) 满足上述要求。基于搭载第四代英特尔至强可扩展处理器的 Dell PowerEdge R760 机架服务器，F5 集成了英特尔^® 基础设施处理器（英特尔^® IPU）适配器 E2100（图 2）。

英特尔 IPU 适配器图片 — **图 2.** 英特尔^® 基础设施处理单元（英特尔^® IPU）适配器 E2100 从主机处理器分载安全操作，释放资源用于 AI 训练和推理等其他工作负载。（来源：英特尔）

英特尔® IPU 适配器 E2100 是一款强大的基础设施加速卡，可提供 200 GbE 带宽、x16 PCIe 4.0 通道及内置加密加速器，结合先进的数据包处理管道以满足线路级安全需求。该卡的标准接口可与 PowerEdge R760 等服务器原生集成，而 IPU 具备足够的计算能力和内存，可托管 F5 NGINIX Plus 等反向代理服务器。

NGINX Plus 基于开源 Web 服务器构建，可作为反向代理服务器部署，以拦截和解密/加密进出目标服务器的流量。这种分离有助于缓解 DDoS 攻击，但也意味着加密操作可以在 AI 模型服务器主机以外的地点进行。

F5 Networks NGINX Plus 反向代理服务器提供 SSL/TLS 加密，并在未经身份验证的推理与 R760 上运行的英特尔^® OpenVINO^™ 工具套件模型服务器之间提供安全气隙。除了作为反向代理服务器运行外，NGINX Plus 还提供安全控制、负载平衡、内容缓存、应用程序监控和管理等企业级功能。