BLOG | BÜRO DES CTO

Ein umfassender Leitfaden zur Bereitstellung und Sicherheit von KI-Anwendungen

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 11. August 2024

Welche benötigen Sie und wohin gehören sie? 

Jede neue Generation der Anwendungsarchitektur hat Auswirkungen auf den Netzwerkverkehr. Wir achten darauf, weil jede bedeutende Änderung der Anwendungsarchitektur eine entsprechende Änderung der Anwendungsbereitstellung und -sicherheit mit sich bringt, um die auftretenden Herausforderungen zu bewältigen. 

Bei genauerer Betrachtung der Veränderungen und der Reaktion des Netzwerks auf betriebliche Herausforderungen fällt auf, dass KI-Anwendungen eigentlich keine neuen Herausforderungen mit sich bringen. Natürlich nehmen Umfang, Leistung, Sicherheit und Komplexität zu, aber das sind dieselben Herausforderungen, die wir seit über einem Jahrzehnt lösen. 

Allerdings verändert KI die Arbeitslastverteilung und die Verkehrsmuster. Dies ist wichtig, da es sich beim Großteil dieses Netzwerkverkehrs um Anwendungsverkehr und zunehmend auch um API-Verkehr handelt. Das ist der Unterschied. Wenn Sie diese neuen Verkehrsmuster und die Verteilung über Kern, Cloud und Edge verstehen, erfahren Sie, welche Anwendungsbereitstellungs- und Sicherheitsdienste Sie benötigen und wo Sie diese für maximale Wirkung und Effizienz einsetzen können. 

Neue Verkehrsmuster

Neue Verkehrsmuster

Es ist wichtig zu beachten, dass eine der bedeutendsten Folgen von KI-Anwendungen die Zunahme sowohl des EW- als auch des NS-Verkehrs sein wird, wobei ein Großteil des NS-Verkehrs von der KI stammt und somit der ausgehende NS-Datenpfad als strategischer Kontrollpunkt zusätzlich zum herkömmlichen eingehenden NS-Datenpfad eingeführt wird. 

KI-Anwendungen werden in den nächsten zwei bis drei Jahren eine Ergänzung bestehender Portfolios sein. Eine Konsolidierung wird stattfinden, wenn Unternehmen die Verbrauchernachfrage nach NLI (Natural Language Interface) erkennen. 

Die zunehmende Verteilung auf dem N-S-Datenpfad wird zu einer stärkeren Nachfrage nach Sicherheit als Service an der Unternehmensgrenze führen, während die zunehmende Verteilung auf dem E-W-Datenpfad über verschiedene Umgebungen hinweg den Bedarf an Multicloud-Netzwerken erhöht. Intern erhöht die Sensibilität der Daten auf dem Ost-West-Datenpfad den Bedarf an Sicherheits- und Zugriffsmöglichkeiten.

Das Ergebnis sind zwei neue Einfügepunkte in KI-Anwendungsarchitekturen, an denen Anwendungsbereitstellung und -sicherheit von Wert sein werden, und eine Gelegenheit, im Hinblick auf Effizienz, Kostensenkung und Wirksamkeit neu zu überdenken, wo Anwendungsbereitstellung und -sicherheit eingesetzt werden. 

Dies ist wichtig, da wir zunehmend feststellen , dass CVEs gegen Inferenzserver protokolliert werden . Das ist der Serverteil der „Modell“-Ebene, der über eine API mit Clients kommuniziert. Der Einsatz von API-Sicherheit ist hier in der gesamten KI-Sicherheitsstrategie wichtig, da hier die Funktionen zum Überprüfen, Erkennen und Schützen von KI-Modellen und -Servern vor Missbrauch am besten eingesetzt werden. Es handelt sich um die „letzte Verteidigungslinie“ und – mit einer programmierbaren API-Sicherheitslösung – um das schnellste Mittel zur Abwehr neuer Angriffe auf KI-Modelle. 

Einfügepunkte für App-Bereitstellung und Sicherheit

Möglicherweise erinnern Sie sich an diesen Beitrag zu KI-Inferenzmustern , in dem wir die drei wichtigsten Bereitstellungsmuster für KI-Inferenz heute demonstrieren. Anhand dieser Muster können wir sechs verschiedene Einfügepunkte in dieser erweiterten Architektur für Anwendungsdienste identifizieren und ermitteln, wo diese Dienste am besten bereitgestellt werden, um Sicherheit, Skalierung und Effizienz zu optimieren. 

  1. Globale Dienste (pro Unternehmen) Anwendungsbereitstellung und -sicherheit auf dieser Ebene sind im Allgemeinen Sicherheitsdienste, umfassen jedoch auch Bereitstellungsdienste auf Unternehmensebene wie DNS, GSLB und Multicloud-Netzwerke. Sicherheitsdienste wie DDoS- und Bot-Schutz sind hier gut geeignet, da sie Angreifer daran hindern, kritische (und kostspielige) Ressourcen tiefer im IT-Bereich zu verbrauchen, insbesondere bei den in der öffentlichen Cloud gehosteten Anwendungen. 
  2. Gemeinsam genutzte Dienste (pro Standort) Die Anwendungsbereitstellung und -sicherheit auf dieser Ebene dienen als zusätzlicher Schutz vor Angreifern und bieten Verfügbarkeitsdienste wie Lastausgleich für Anwendungen, APIs und Infrastrukturdienste (Firewall, SSL-VPN usw.).  
  3. Anwendungsdienste (pro Anwendung) Die Anwendungsbereitstellung und -sicherheit an diesem Einfügepunkt sind stärker auf die Anwendung oder API ausgerichtet, die sie bereitstellen und schützen. Hierzu gehören App-Dienste wie WAF, lokaler Lastenausgleich und Ingress-Kontrolle für moderne Anwendungen. Diese App-Dienste ermöglichen und sichern die Kommunikation „von Benutzer zu App“. 
  4. Microservices-Networking (pro Cluster) Anwendungsbereitstellung und -sicherheit an diesem Einfügepunkt werden normalerweise als Teil der Kubernetes-Infrastruktur bereitgestellt und umfassen mTLS und Service Mesh. Diese Dienste dienen der Bereitstellung und Sicherung der „App-zu-App“-Kommunikation. 
  5. KI-Inferenzdienste (pro KI-Rechenkomplex) Dieser neue Einfügepunkt ist spezifisch für KI-Anwendungen und umfasst Bereitstellungs- und Sicherheitsfunktionen, die speziell für die Bereitstellung und den Schutz von KI-Inferenzdiensten entwickelt wurden. Lastausgleich ist üblich, ebenso wie die Ratenbegrenzung auf Anwendungsebene zum Schutz der AI-Inferenz-APIs . Weitere Einzelheiten finden Sie unter „Der Einfluss von KI-Inferenz auf die Rechenzentrumsarchitektur“
  6. KI-Infrastrukturdienste (pro KI-Server) Dieser neue Einfügepunkt ist in die KI-Netzwerkstruktur eingebettet, wobei Anwendungsbereitstellung und Sicherheit auf DPUs bereitgestellt werden, um die Auslagerung von Bereitstellungs- und Sicherheitsdiensten zu erleichtern. Dieser Einfügepunkt dient dazu, die Effizienz von Inferenzinvestitionen zu verbessern, indem die CPU von der erforderlichen Bereitstellung und Sicherheit entlastet wird, sodass die Inferenzserver „nur dienen“ können. F5 is Scaling Inferencing from the Inside Out bietet weitere Einzelheiten zu dieser Ebene.

Tatsächlich können die meisten Anwendungsbereitstellungs- und Sicherheitsdienste an jedem dieser Einfügepunkte eingesetzt werden. Die Ausnahme wären jene Dienste, die speziell für die Integration in eine Umgebung entwickelt wurden, wie etwa Ingress-Controller und Service Mesh, die an Kubernetes-Bereitstellungen gebunden sind. 

Der Schlüssel liegt darin, den Einfügepunkt zu identifizieren, an dem Sie die Variablen Wirksamkeit, Effizienz und Kosten maximieren können. Dazu gehören nicht nur die Betriebskosten der genannten Dienste, sondern auch die Kosten, die mit der Verarbeitung dieses Datenverkehrs tiefer im IT-Bereich verbunden sind. 

Und obwohl es bewährte Methoden gibt, um Anwendungsbereitstellung und -sicherheit mit Einfügepunkten abzustimmen (daher die Erwähnung spezifischer Dienste für jeden), gibt es auch immer Gründe, davon abzuweichen, weil keine zwei Unternehmensarchitekturen gleich sind. Dies ist auch einer der Hauptgründe für die Programmierbarkeit der Anwendungsbereitstellung und -sicherheit, da keine zwei Umgebungen, Anwendungen oder Netzwerke gleich sind und die Fähigkeit zur Anpassung an einzigartige Anwendungsfälle eine entscheidende Fähigkeit ist. 

Da Anwendungsbereitstellung und -sicherheit über verschiedene Umgebungen und Einfügepunkte hinweg erforderlich sind, besteht F5 darauf, die Implementierung von Anwendungsbereitstellung und -sicherheit an möglichst vielen Einfügepunkten in jeder Umgebung zu unterstützen. Denn so stellen wir sicher, dass Unternehmen Wirksamkeit, Effizienz und Kosten optimieren können, unabhängig davon, wie sie ihre Umgebung, Anwendungen und Netzwerke aufgebaut haben.