NVIDIA零信任AI工厂揭秘：5步实现数据全加密

在当今发展的趋势下，人工智能（AI）已经从简单的实验阶段逐步迈入大规模生产化的时代。这种转变正在促使企业探索更加可靠、安全的架构，来应对来自数据隐私、信任与合规方面的多重挑战。新媒网跨境了解到，对于那些正在构建新一代AI工厂的企业来说，打造基于“零信任”体系的安全架构变得至关重要。

这里的“零信任”是指：针对底层基础设施不再假定任何默认的信任，而是通过硬件支持的可信执行环境（Trusted Execution Environments，简称TEE）和密码学验证机制（例如远程验证）来实现安全保障。本文将为大家拆解零信任AI工厂的完整架构，以及如何在实践中实现这一体系。

为什么“零信任”对构建AI工厂如此重要？

目前，大量企业核心数据并没有存储在公共云中，尤其是涉及患者记录、市场研究、传统系统等敏感资料的数据。这些信息的私密性极高，但训练AI模型的过程中，数据需要与模型交互，同时涉及算法的独占性模型权重（IP保护）。企业担忧数据泄露，也担忧模型部署的安全性，这使得AI技术的落地和普及常常受到阻碍。

举例来说，当企业需要依托高性能基础设施训练或者部署大规模模型时，将面临“三方信任困境”：

模型所有方与基础设施提供方之间的信任难题：模型所有方不希望其模型权重与算法逻辑被基础设施提供方窥探或窃取。
基础设施提供方与租户的信任难题：硬件运营商无法完全信任租户是否会利用工作负载进行恶意操作，例如提升权限或者入侵底层系统。
企业租户与上述双方的信任难题：租户作为敏感数据的所有方，也无法完全信任基础设施方或模型开发者是否会未经授权访问或泄露其数据。

在传统计算环境中，因数据大多以明文形式存在内存中，导致数据、模型和算法难以得到强有力的保护。 新媒网跨境认为，为了应对这些挑战，“保密计算”（Confidential Computing）为实现数据和模型全生命周期的加密保护提供了解决方案。
加密保护流程示意图

如何通过保密计算打造更安全的AI工厂？

保密计算依托硬件层面的可信计算技术，并通过“保密容器”（Confidential Containers，简称CoCo）将这一能力运用到Kubernetes上的云原生环境。CoCo利用硬件提供的加密计算环境（TEE），将Kubernetes Pods封装在硬件隔离的虚拟机中，使应用工作负载拥有极高的安全边界。以下是保密容器具体如何保护AI模型的一种典型实现方式：

模型在部署时始终保持加密状态。只有当硬件验证通过并证明环境可信后，解密密钥才会通过密钥管理服务（Key Broker Service，简称KBS）注入到加密内存中。
工作负载与操作系统隔离。CoCo通过Kata Containers使Pod运行在轻量化虚拟机中，相较于共享主机内核，这种方式大幅提高了隔离性。
远程验证信任环境。部署过程中，CoCo通过TEE完成远程验证（Remote Attestation），确保执行环境符合事先设定的安全性规范。

新媒网跨境了解到，通过这样的技术实践，企业可以在保障数据隐私、安全性与合规性的同时，保持开发和部署流程尽量简单且便捷。

零信任AI工厂的核心技术支柱

NVIDIA提出了一套基于CoCo的软件架构参考模型，结合开源社区（如Kata Containers）的组件，这一架构广泛适用于AI工厂构建中的核心工作负载。其核心基于以下关键支柱：

硬件可信执行环境：通过CPU TEE与NVIDIA的保密GPU（例如NVIDIA Hopper或Blackwell）协同，为AI训练和推理中的高性能加密任务提供硬件加持。
Kata容器运行时：每个Kubernetes Pod都被封装在轻量化虚拟机中，而非共享主机操作系统内核。
精简化的安全操作环境：使用最小化镜像和硬化容器操作系统，从源头降低被攻击的可能性。
远程验证与密钥管理：通过KBS服务动态分发加密密钥，确保只有通过硬件验证的环境可使用敏感模型。
原生云操作：新媒网跨境认为，整套架构可以与Kubernetes和NVIDIA GPU Operator深度融合，通过现有的云原生工作流直接迁移至新环境，无需对部署清单或AI应用进行大量改动。