想象一下,您正在领导大型企业的安全工作,并且您的团队渴望将 AI 用于越来越多的项目。不过,这是一个问题。与任何项目一样,您必须平衡创新的前景和回报与合规性、风险管理和安全态势要求等严峻现实。
安全领导者在评估 AI 模型 (例如为代理式 AI 或检索增强生成 (RAG) 提供支持的 AI 模型) 时面临着一个关键挑战:如何在提供这些前沿创新的同时保持对其基础设施和数据的完全控制。
这正是 NVIDIA NIM 微服务和 NVIDIA AI Enterprise 的用武之地。借助随 NVIDIA AI Enterprise 许可证提供的 NIM 微服务,企业能够根据自己的条件部署生成式 AI,同时保持对开源模型的安全性、信任和控制。NVIDIA AI Enterprise 提供了一种选择:您可以在本地、私有云甚至空气间隙环境中安全地运行 AI 工作负载。借助 NVIDIA AI Enterprise,您的组织不必在创新和稳定性之间做出选择。您可以在自己的数据中心的安全性中同时使用这两者。
在数据中心安全部署生成式 AI 模型
NIM 容器可以在您自己的 AI 模型基础架构中安全运行。NIM 架构提供经过优化的预构建推理微服务,可在任何 NVIDIA 加速的基础设施上部署最新的 AI 基础模型 (图 1) 。NIM 微服务提供行业标准 API,可轻松集成到 AI 应用、开发框架和工作流中。
企业团队可以选择将 AI 模型作为容器部署在私有云或本地环境中。NVIDIA AI Enterprise 许可证包含下载所有 NIM 容器的权限。这意味着:
- 无外部依赖项:您可以控制模型及其执行环境。
- 数据隐私:您的敏感数据永远不会离开您的基础设施。
- 经过验证的模型:您获得的模型符合其作者的预期。
- 优化的运行时:经过加速、优化和可信的容器运行时。
借助 NVIDIA NIM,您可以在完全控制下轻松部署 AI 模型。
NVIDIA 分层 AI 安全方法
AI 安全性既涉及底层基础设施,也涉及模型本身。NVIDIA 会审核模型、软件和数据依赖项以及模型输出,确保 AI 模型按原作者预期交付,而不会出现篡改或意外行为。
NVIDIA 以分层方式验证开源 AI 模型的各个方面,以降低未经验证的执行所带来的风险,从而使企业可以部署具有完全可见性和可控性的模型。
可信模型执行
NVIDIA 针对 NIM 微服务的安全措施可确保模型按预期运行,避免未经授权的执行或篡改风险。这些措施包括:
- 模型签名:每个模型都经过加密签名,使客户能够在部署前验证其完整性并检测未经授权的修改。
- 模型代码和权重审计:在发布开源模型之前,NVIDIA 会定期对推理代码和序列化方法进行有针对性的审查,以识别已知后门或已知漏洞。任何其他第三方代码或库都会被扫描以发现开源安全漏洞。
- 安全强化:打包到 NIM 运行时容器中的模型在设计时考虑了最低特权原则,旨在尽可能降低攻击向量和运行时风险。
开源安全
NVIDIA 采用软件开发生命周期和漏洞响应流程,使客户能够在自己的环境中运行 NIM。这减轻了企业开源安全验证的负担。
- 源代码审核:NVIDIA 会定期扫描 NIM 微服务,以查找所有第三方软件的已知开源漏洞,并定期检查所有第三方软件和模型的许可证。
- 尽可能减少已知的不安全组件:NVIDIA 会积极审查代码,以识别和缓解不必要或易受攻击的依赖项,从而尽可能减少攻击面。
- 安全开发生命周期:NVIDIA 根据风险评估和产品要求,酌情将其产品生命周期管理框架(包括威胁建模、安全编码和渗透测试实践)应用于 NIM 容器。
透明包装
对于作为 NVIDIA AI Enterprise 的一部分发布的每个容器,NVIDIA 都会发布详细的安全元数据并签名 artifacts,从而提供透明度。
- 软件材料清单 (Software Bill of Materials, SBOM) :每个 NIM 都包含一个机器可读包含库的列表,允许在提取容器之前对依赖项进行审计。
- 漏洞可利用性交换 (VEX) :NVIDIA 提供 VEX 记录,在容器中提供企业团队风险评估和缓解措施,确保安全团队能够在上下文中了解风险,并区分真实威胁和误报。
- 容器签名和公钥验证:每个 NIM 都经过数字签名,以检测和防止篡改,使企业能够通过 NGC 目录上发布的 NVIDIA 公钥验证真实性。
SBOM、VEX 和 Container Signing 报告均为 NVIDIA AI Enterprise 授权许可证的功能。
持续监控和威胁缓解
通过 NVIDIA NIM 部署的 AI 模型在发布之前、期间和之后都会经过漏洞扫描。在无 VEX 的已发布容器中,不允许使用任何关键或高 CVE,并且会定期进行修补。
- 自动 CVE 扫描:NVIDIA 的漏洞扫描在产品生命周期的三个不同阶段进行:在开发期间迭代、在 NGC Catalog 的发布过程中 (不允许发布 Critical 或 High 漏洞) ,然后作为 NGC Catalog 上已发布容器的持续扫描的一部分。报告新漏洞时,系统会跟踪这些问题并将其纳入 NVIDIA 安全风险评分。
- 滚动补丁:根据 NIM 的发布分支,NVIDIA 会应用定期更新以确保解决安全漏洞。功能分支版本每月更新,包括安全修复,生产分支仅接收安全和错误修复。
- 协调漏洞披露:NVIDIA 遵循 ISO/IEC 漏洞披露标准 29147,及时为企业客户提供安全建议和补丁。通过 NGC 通知服务进行订阅。
行为和护栏建模
企业安全团队需要确保 AI 模型在生产环境中的行为符合预期。NVIDIA NeMo Guardrails 是可编程的安全和信任功能,可通过 LLM 集成到应用中。它们提供了一种结构化的方法来减少企业解决方案中的不良输出,并在应用程序代码和 LLM 之间执行护栏规则。NeMo Guardrails 现在支持多模态 rails,使解决方案架构师能够为每个应用执行安全和合规性规则,从而防止不安全或意外的模型行为。查看带有 NeMo Guardrails 的 NVIDIA Blueprint,了解如何实施护栏。
开始安全部署 AI 模型
NIM 微服务打包为容器,适合现有的部署、更新和安全扫描基础设施。每个 NIM 容器都遵循 NVIDIA 安全开发生命周期,并通过 NVIDIA NGC 注册表分发。
要通过 NVIDIA AI Enterprise 在您的环境中安全部署 NIM,请执行以下步骤:
- 访问 NGC:生成 API 密钥,以便从 NGC Catalog 访问所需容器。
- 审核 SBOM:检查 NIM 的 SBOM,了解其组件和依赖项 (可通过 NVIDIA AI Enterprise 许可证获取) 。
- 验证真实性:NIM 微服务以容器的形式分发。使用 NVIDIA 容器签名公钥确认镜像未被篡改。
- 镜像资源 (可选) :如果需要空气间隙部署,请镜像容器所需的资源 (例如 model weights 或 optimized backends) 。
- 在可信环境中部署:在您的环境中启动容器。NIM 微服务作为 Web 服务部署,具有 OpenAPI 规范端点。要部署 NIM 等 Web 服务容器,请配置公开端口,并遵循 TLS 终止、入口、负载均衡或反向代理 (与任何其他 HTTP Web 服务一样) 的最佳实践。
- 验证模型真实性:NVIDIA 为 NGC 上发布的越来越多的模型提供模型签名。
- 获取更新:订阅 NGC 通知服务,以便在 NVIDIA 发布 NIM 容器的安全更新、修复或功能时接收通知。
- 集成漏洞报告:检查并下载容器的 VEX 记录。使用它与您自己的漏洞管理系统关联。
通过遵循这些指南,组织可以放心地部署和管理由 NVIDIA AI Enterprise 提供支持的各种生成式 AI 工作负载。这种方法使您能够基于 Safe、Trustworthy 和 Secure AI,满足您的安全性、合规性和运营目标。要了解 NVIDIA 工程师如何在解决方案中应用这些原则,请探索 NVIDIA AI Trust Center。
