Khi AI len lỏi vào hệ sinh thái công nghệ của chúng ta, nó cũng mang theo vô số lỗ hổng bảo mật tinh vi đòi hỏi những biện pháp phòng thủ tinh vi không kém. Trong bài viết đầu tiên của loạt bài tuần trước , chúng tôi đã giới thiệu các hướng tấn công chính cho việc triển khai AI và nhấn mạnh cách VxRail và hệ sinh thái Dell Technologies có thể giúp thiết lập một môi trường an toàn. Tuần này, chúng tôi sẽ xem xét kỹ hơn các điểm vi phạm tiềm ẩn đã được xác định trước đó và khám phá cách các biện pháp bảo mật của VxRail được định vị độc đáo để bảo vệ cơ sở hạ tầng AI của bạn.

Chống lại các mối đe dọa AI với VxRail

Khám phá thế giới bảo mật AI, chúng ta sẽ tìm hiểu cách thiết kế sẵn có của VxRail dự đoán các mối đe dọa liên quan đến AI. Các biện pháp kiểm soát bảo mật của VxRail cung cấp các biện pháp giảm thiểu cho một loạt các cuộc tấn công, từ Tiêm mã độc đến Từ chối Dịch vụ, sử dụng cả các biện pháp phần cứng vật lý và các giao thức phần mềm tiên tiến.

An ninh chuỗi cung ứng

Trong bất kỳ triển khai nào, bảo mật chuỗi cung ứng luôn là yếu tố then chốt, đặc biệt là khi lưu trữ môi trường AI. Tính toàn vẹn của cơ sở hạ tầng, dữ liệu đào tạo và mô hình AI phụ thuộc vào việc ngăn chặn sự xâm nhập của phần mềm độc hại và các mối đe dọa khác. Các phương thức tấn công liên quan đến ô nhiễm chuỗi cung ứng—chẳng hạn như Tiêm nhiễm, Lây nhiễm, Ngộ độc và Tác nhân Quá mức—nhằm mục đích xâm nhập vào phần mềm hoặc phần cứng dễ bị tấn công trong quá trình phát triển, sản xuất, vận chuyển và lắp ráp.  

Sản xuất

Các biện pháp bảo mật chuỗi cung ứng mở rộng trên toàn bộ vòng đời sản phẩm, bắt đầu từ các giai đoạn đầu của quá trình phát triển và sản xuất sản phẩm. Các nhà cung cấp phải tuân thủ các tiêu chuẩn của ngành, bao gồm các hướng dẫn như Hướng dẫn của NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) về Quản lý Rủi ro Chuỗi Cung ứng . Ở cấp độ vận hành, việc duy trì chuỗi lưu ký có thể truy xuất nguồn gốc, đảm bảo chất lượng nghiêm ngặt và kiểm tra, thử nghiệm kỹ lưỡng là những biện pháp kiểm soát quan trọng để giảm thiểu rủi ro sử dụng vật liệu bị xâm phạm. Ví dụ, Dell Technologies sử dụng các quy trình theo dõi tài sản để đảm bảo rằng vật liệu chỉ đến từ danh sách nhà cung cấp được phê duyệt của họ, khớp với hóa đơn vật liệu và trực tiếp từ các nhà sản xuất ban đầu — do đó tránh được các bên trung gian thứ ba. Các quy trình này phù hợp với các thông số kỹ thuật và tiêu chuẩn của ngành, tăng cường bảo mật chuỗi cung ứng.

Vận chuyển

Các nhà máy của Dell Technologies đáp ứng các yêu cầu an ninh nghiêm ngặt do Hiệp hội Bảo vệ Tài sản Vận chuyển (TAPA) đề ra. Các biện pháp này được áp dụng trong quá trình đóng gói và vận chuyển đến khách hàng. Các biện pháp kiểm soát TAPA chính bao gồm camera mạch kín tại các khu vực quan trọng, kiểm soát ra vào và giám sát chặt chẽ việc ra vào. Để bảo vệ hàng hóa, Dell sử dụng bao bì chống giả mạo, tiến hành kiểm tra an ninh các tuyến đường vận chuyển, đảm bảo khóa và phần cứng đáp ứng các thông số kỹ thuật bắt buộc, và thậm chí sử dụng thiết bị theo dõi GPS để giám sát liên tục cho đến khi xác nhận giao hàng.

Triển khai & Bảo trì

Gốc rễ của niềm tin dựa trên Silicon

Ngoài các biện pháp kiểm soát vật lý, máy chủ VxRail và PowerEdge còn tích hợp công nghệ Root-of-Trust dựa trên nền tảng Silicon. Công nghệ này, kết hợp với khả năng Intel Boot Guard hoặc AMD Root-of-Trust, chứng thực tính toàn vẹn của firmware BIOS và iDRAC. Việc chứng thực được thực hiện khi, trong quá trình sản xuất, các khóa mã hóa ký mã hóa một hàm băm của ảnh khởi động trước khi xuất xưởng. Các khóa chỉ đọc này được sử dụng trong quá trình khởi động và nếu có bất kỳ bằng chứng giả mạo nào xuất hiện, máy chủ sẽ ngay lập tức bị tắt. VxRail và PowerEdge cũng mở rộng xác minh chữ ký sang các bản cập nhật firmware, đảm bảo chỉ có firmware chính hãng mới chạy trên nền tảng máy chủ.

Xác minh thành phần bảo mật (SCV)

Máy chủ Dell VxRail và PowerEdge cung cấp một tính năng tùy chọn gọi là SCV để tăng cường sự đảm bảo chuỗi cung ứng của Root-of-Trust dựa trên nền tảng Silicon. SCV xác thực máy chủ và các thành phần nhận được tại địa điểm của khách hàng khớp với cấu hình xuất xưởng. Một chứng chỉ chứa ID thành phần hệ thống duy nhất được tạo ra trong quá trình sản xuất, được ký mã hóa và lưu trữ trong iDRAC. Khách hàng có thể tận dụng SCV để đối chiếu hàng tồn kho hiện tại với lô hàng ban đầu.

Bảo vệ chuỗi cung ứng phần mềm

Ngoài phần cứng và phần mềm, VxRail sử dụng nhiều biện pháp kiểm soát bảo mật để bảo vệ chuỗi cung ứng phần mềm:

• Xác minh và xác thực chủ động: Kiểm tra bảo mật nghiêm ngặt diễn ra trong suốt vòng đời phát triển phần mềm, đảm bảo khả năng bảo vệ mạnh mẽ chống lại các lỗ hổng.
• Quét mã của bên thứ ba: Quét thường xuyên sẽ ngăn chặn việc đưa phần mềm hỗ trợ bị xâm phạm vào.
• Chữ ký mã và SecureBoot: Việc ghép nối chữ ký mã với SecureBoot đảm bảo phần mềm của chúng tôi không bị giả mạo.
• Danh sách vật tư phần mềm (SBOM): Chúng tôi cung cấp SBOM theo yêu cầu, đảm bảo tính minh bạch hoàn toàn về việc sử dụng phần mềm của bên thứ ba.

Tháo dỡ

Trong vòng đời của bất kỳ thiết bị nào, đều có một bước quan trọng: ngừng hoạt động. Cho dù thiết bị bị loại bỏ hay tái sử dụng, việc xử lý giai đoạn này đúng cách là rất cần thiết để ngăn chặn kẻ xấu truy cập dữ liệu nhạy cảm liên quan đến mục đích sử dụng ban đầu của thiết bị.

Các bước được thực hiện trong quá trình ngừng hoạt động để bảo vệ toàn bộ chuỗi cung ứng bao gồm:

1. Cấu hình lại Kiểm soát truy cập: Để ngăn chặn truy cập trái phép, hãy cấu hình lại kiểm soát truy cập và vô hiệu hóa thông tin đăng nhập trước đó liên quan đến hệ thống.
2. Theo dõi tài sản: Duy trì chuỗi lưu ký có thể truy xuất được trong quá trình ngừng hoạt động để bảo vệ chống lại các cuộc tấn công trong giai đoạn vận chuyển cuối cùng.
3. Quan hệ đối tác đáng tin cậy: Hợp tác với các đối tác đáng tin cậy tuân thủ các biện pháp bảo mật Zero Trust để ngừng hoạt động an toàn.
4. Khử trùng dữ liệu: Làm cho bất kỳ dữ liệu nào còn lại trên hệ thống không thể truy cập được.

Vệ sinh dữ liệu

VxRail cung cấp chức năng hỗ trợ bước khử trùng dữ liệu. Mục tiêu là đảm bảo toàn bộ dữ liệu trên hệ thống không thể khôi phục được, ngay cả bằng các phương pháp điều tra số tiên tiến. VxRail sử dụng khử trùng mật mã, trong đó dữ liệu mục tiêu được mã hóa và khóa mã hóa sau đó bị hủy. Phương pháp hiệu quả này phù hợp với hướng dẫn NIST SP 800-88. Ba cách dẫn đến việc xóa hoàn toàn dữ liệu mật mã:

1. Xóa hệ thống PowerEdge: Vệ sinh các thiết bị lưu trữ máy chủ và các kho lưu trữ không mất dữ liệu.
2. Mã hóa VMware vSAN: Sau khi vSAN được mã hóa, vSphere cho phép hủy các khóa mã hóa có liên quan, khiến dữ liệu được lưu trữ trong vSAN không thể truy cập được.
3. Mã hóa máy ảo VMware: Các khả năng tương tự mã hóa máy ảo và sau đó hủy các khóa mã hóa liên quan.

Zero Trust: Bảo mật chuỗi cung ứng của AI

Bảo mật chuỗi cung ứng là nền tảng trong các hoạt động Zero Trust hiện đại. Khi AI ngày càng trở nên quan trọng trong cuộc sống, việc bảo vệ khỏi các cuộc tấn công chuỗi cung ứng là vô cùng cấp thiết. VxRail và PowerEdge cùng nhau cung cấp bảo mật chuỗi cung ứng vững chắc để bảo vệ cơ sở hạ tầng và triển khai AI.