Calipia : le blog

Afin de garantir la confidentialité et la sécurité des données sensibles dans le cloud, les principaux acteurs utilisent des mécanismes via des contrôles matériels et logiciels qui régissent la manière dont les données sont partagées et utilisées, ainsi que la manière dont les propriétaires des données peuvent valider ces processus. Aujourd’hui, les processeurs Intel et AMD permettent déjà la création d’environnements d’exécution de confiance afin d’assurer la confidentialité au niveau du processeur. Ces fonctions intégrées garantissent que les données restent chiffrées au repos, en transit et même en cours d’utilisation. Elles offres également un moyen pour valider la configuration du matériel et n’accorder l’accès aux données qu’aux algorithmes requis.

Ces solutions sont donc intégrées dans les CPU et Microsoft cherche donc maintenant à étendre ceci aux GPU, Systèmes largement utilisé dans des activités confidentielle lié à l’IA par exemple, ceci afin de s’assurer que les données peuvent être déchargées en toute sécurité vers du matériel plus puissant pour les besoins de calcul. Pour ce faire Microsoft collabore avec Nvidia qui équipe déjà largement des différents datacenter avec ses processeurs.

Microsoft a noté qu’il ne s’agit pas d’une mise en œuvre simple, car elle doit protéger les GPU contre diverses attaques tout en veillant à ce que les machines hôtes Azure disposent d’un contrôle adéquat pour les activités administratives. Au niveau matériel, l’implémentation ne devrait pas avoir d’impact négatif en matière énergétique et en terme de performances d’après les deux sociétés. Nvidia précisant qu’il ne devrait pas non plus nécessiter de modifications de l’architecture GPU existante.

L’entreprise détaille un peu le mode de fonctionnement de cette protection :

Un nouveau mode dans lequel tous les états sensibles du GPU, y compris sa mémoire, sont isolés de l’hôte.
Une racine de confiance matérielle sur la puce du GPU qui peut générer des attestations vérifiables capturant tous les états sensibles de sécurité du GPU, y compris tous les micrologiciels et microcodes.
Extensions du pilote du GPU pour vérifier les attestations du GPU, établir un canal de communication sécurisé avec le GPU et chiffrer de manière transparente toutes les communications entre le CPU et le GPU.
Support matériel pour crypter de manière transparente toutes les communications GPU-GPU sur NVLink.
Support dans le système d’exploitation invité et l’hyperviseur pour attacher de manière sécurisée les GPU à un CPU sécurisé, même si le contenu du CPU est chiffré.

Microsoft a déclaré qu’elle avait déjà intégré des capacités de chiffrement dans les GPU Nvidia A100 Tensor Core sur Azure et que cela a été fait grâce à une nouvelle fonctionnalité appelée Ampere Protected Memory (APM). Les détails de la mise en œuvre sont de nature forcément très technique et vous pouvez les consulter ici.

Cette solution est désormais disponible en bêta privée par le biais des VM GPU confidentielles Azure. Il est actuellement possible d’utiliser des VMs avec jusqu’à quatre GPU Nvidia A100 Tensor Core pour leurs charges de travail Azure à ce stade. Les prochaines étapes de Microsoft consistent à assurer une adoption plus large de ces pratiques et à travailler avec Nvidia sur son architecture Hopper pour améliorer encore la mise en œuvre existante.