硬件虛擬化是將虛擬機 (VM) 中的工作負載與物理硬件以及彼此之間隔離的有效方法。這提供了更高的安全性，特別是在多租戶環(huán)境中。然而，帶內(nèi)攻擊、旁道攻擊和物理攻擊等安全風險仍然可能發(fā)生，從而損害數(shù)據(jù)和應用程序的機密性、完整性或可用性。

直到最近，保護數(shù)據(jù)還僅限于動態(tài)數(shù)據(jù)（例如通過互聯(lián)網(wǎng)移動有效負載）和靜態(tài)數(shù)據(jù)（例如存儲介質(zhì)加密）。然而，使用中的數(shù)據(jù)仍然容易受到攻擊。

NVIDIA 機密計算提供了一種安全處理正在使用的數(shù)據(jù)和代碼的解決方案，可防止未經(jīng)授權的用戶訪問和修改。在運行人工智能訓練或推理時，必須保護數(shù)據(jù)和代碼。輸入數(shù)據(jù)通常包括個人身份信息（PII）或企業(yè)機密，而訓練后的模型是非常有價值的知識產(chǎn)權（IP）。機密計算是保護人工智能模型和數(shù)據(jù)的理想解決方案。

NVIDIA 處于機密計算領域的前沿，與 CPU 合作伙伴、云提供商和獨立軟件供應商 (ISV) 合作，確保從傳統(tǒng)加速工作負載向機密加速工作負載的轉變順利且透明。

NVIDIA?H100 Tensor Core GPU?是首款支持機密計算的 GPU。它可以在虛擬化環(huán)境中使用，無論是傳統(tǒng)虛擬機還是 Kubernetes 部署，使用 Kata 在微虛擬機中啟動機密容器。

使用硬件虛擬化的 NVIDIA 機密計算

根據(jù)機密計算聯(lián)盟的規(guī)定，機密計算是通過在基于硬件的經(jīng)過驗證的可信執(zhí)行環(huán)境 (TEE) 中執(zhí)行計算來保護正在使用的數(shù)據(jù)。

NVIDIA H100 GPU 滿足此定義，因為其 TEE 植根于片上硬件信任根 (RoT)。當以 CC-On 模式啟動時，GPU 會啟用代碼和數(shù)據(jù)的硬件保護。信任鏈是通過以下方式建立的：

• GPU 啟動順序，具有安全且經(jīng)過測量的啟動

• 用于安全連接到 CPU TEE 中的驅動程序的安全協(xié)議和數(shù)據(jù)模型 (SPDM) 會話

• 生成一組經(jīng)過加密簽名的測量值，稱為證明報告。

機密計算環(huán)境的用戶可以檢查認證報告，只有在其有效且正確的情況下才可以繼續(xù)操作。