BLOG | OFICINA DEL CTO

Una guía completa sobre la entrega y la seguridad de las aplicações de IA

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 11 de agosto de 2024

¿Cuáles necesitas y dónde debes colocarlos? 

Cada nueva generación de arquitectura de aplicação tiene un impacto en el tráfico de la red. Prestamos atención a esto porque por cada cambio significativo en las arquitecturas de aplicação hay un cambio complementario en la entrega y seguridad de las aplicação para abordar los desafíos que surgen. 

Al analizar los cambios y la respuesta de la red para abordar los desafíos operativos, es interesante notar que realmente no se introducen nuevos desafíos con las aplicações de IA. La escala, el rendimiento, la seguridad y la complejidad aumentan, por supuesto, pero estos son los mismos desafíos que hemos estado resolviendo durante más de una década. 

Pero la IA sí cambia la distribución de las cargas de trabajo y los patrones de tráfico. Esto es importante porque la mayor parte de ese tráfico de red es tráfico de aplicação y, cada vez más, tráfico de API. Esto es lo que es diferente. Comprender esos nuevos patrones de tráfico y su distribución entre el núcleo, la nube y el borde brinda información sobre qué servicios de seguridad y entrega de aplicação necesitará y dónde puede colocarlos para lograr el máximo impacto y eficiencia. 

Nuevos patrones de tráfico

Es importante señalar que una de las consecuencias más significativas de las aplicações de IA será el aumento del tráfico tanto EW como NS, y gran parte del tráfico NS se origina en la IA, lo que introduce la ruta de datos NS salientes como un punto de control estratégico además de la ruta de datos NS entrantes tradicional. 

Las aplicações de IA se sumarán a las carteras existentes durante los próximos 2 a 3 años y la consolidación se producirá a medida que las organizaciones comprendan la demanda de los consumidores de NLI (interfaz de lenguaje natural). 

La creciente distribución en la ruta de datos NS impulsará una mayor demanda de seguridad como servicio en el límite corporativo, mientras que la creciente distribución en la ruta de datos EW en los distintos entornos está impulsando la necesidad de redes multicloud. A nivel interno, la sensibilidad de los datos en la ruta de datos de EW está acelerando la necesidad de capacidades de seguridad y acceso.

El resultado son dos nuevos puntos de inserción en las arquitecturas de aplicação de IA donde la entrega y la seguridad de las aplicação serán valiosas, y una oportunidad para reconsiderar dónde se implementan la entrega y la seguridad de las aplicação con miras a la eficiencia, la reducción de costos y la eficacia. 

Esto es importante dado que estamos empezando a ver CVE registrados en servidores de inferencia . Esa es la parte del servidor del nivel "modelo" que se comunica con los clientes mediante una API. El uso de la seguridad de la API en este caso es importante en la estrategia de seguridad de la IA, ya que es aquí donde se implementan mejor las capacidades para inspeccionar, detectar y proteger los modelos y servidores de IA contra la explotación. Es la “última línea de defensa” y, dada una solución de seguridad de API programable, el medio más rápido para mitigar nuevos ataques contra los modelos de IA. 

Puntos de inserción para la entrega y seguridad de aplicaciones

Quizás recuerdes esta publicación sobre patrones de inferencia de IA , en la que demostramos los tres patrones de implementación principales para la inferencia de IA en la actualidad. Con base en esos patrones, podemos identificar seis puntos de inserción distintos en esta arquitectura ampliada para servicios de aplicação e identificar dónde se implementan mejor esos servicios para optimizar la seguridad, la escala y la eficiencia. 

  1. Servicios globales (por empresa) La entrega y seguridad de aplicação en este nivel son generalmente servicios de seguridad, pero incluyen servicios de entrega a nivel de empresa, como DNS, GSLB y redes multicloud. Los servicios de seguridad como DDoS y Bot Protection son muy adecuados en este caso, ya que impiden que los atacantes consuman recursos críticos (y costosos) en las áreas más profundas del sistema informático, especialmente aquellas aplicações alojadas en la nube pública. 
  2. Servicios compartidos (por ubicación) La entrega y seguridad de aplicação en este nivel sirven como protección adicional contra atacantes, además de proporcionar servicios de disponibilidad como equilibrio de carga para aplicações, API y servicios de infraestructura (firewall, SSL VPN, etc.).  
  3. Servicios de aplicação (por aplicação) La entrega y la seguridad de las aplicação en este punto de inserción son más afines a la aplicação o API que están entregando y protegiendo. Estos incluyen servicios de aplicaciones como WAF, equilibrio de carga local y control de ingreso para aplicações modernas. Estos servicios de aplicaciones entregan y protegen las comunicaciones “de usuario a aplicación”. 
  4. Redes de microservicios (por clúster) La entrega y la seguridad de las aplicação en este punto de inserción generalmente se implementan como parte de la infraestructura de Kubernetes e incluyen mTLS y malla de servicios. Estos servicios sirven para entregar y proteger las comunicaciones “de aplicación a aplicación”. 
  5. Servicios de inferencia de IA (por complejo computacional de IA) Este nuevo punto de inserción es específico para aplicações de IA e incluye capacidades de entrega y seguridad diseñadas para entregar y proteger específicamente servicios de inferencia de IA. El equilibrio de carga es común, como también lo es la limitación de velocidad de la capa de aplicação para proteger las API de inferencia de IA . Consulte El impacto de la inferencia de IA en la arquitectura del centro de datos para obtener más detalles. 
  6. Servicios de infraestructura de IA (por servidor de IA) Este nuevo punto de inserción está integrado en la estructura de la red de IA, con la entrega y seguridad de aplicação implementadas en DPU para facilitar la descarga de servicios de entrega y seguridad. Este punto de inserción sirve para mejorar la eficiencia de las inversiones de inferencia al descargar la entrega y seguridad necesarias de la CPU, lo que permite que los servidores de inferencia "simplemente presten servicio". F5 (Escalar la inferencia desde adentro hacia afuera) proporciona más detalles sobre este nivel.

Ahora bien, la verdad es que la mayoría de los servicios de seguridad y entrega de aplicação se pueden implementar en cualquiera de estos puntos de inserción. La excepción serían aquellos servicios diseñados específicamente para integrarse con un entorno, como los controladores de ingreso y la malla de servicios, que están vinculados a implementaciones de Kubernetes. 

La clave es identificar el punto de inserción en el que se pueden maximizar las variables: eficacia, eficiencia y costo. Esto incluye no sólo el coste operativo de dichos servicios, sino también los costes asociados al procesamiento de ese tráfico en lo más profundo del parque informático. 

Y si bien existen mejores prácticas para combinar la entrega y la seguridad de las aplicação con los puntos de inserción (de ahí la mención de servicios específicos para cada uno), también hay siempre motivos para desviarse porque no hay dos arquitecturas empresariales iguales. Esta es también una de las razones principales para la programabilidad de la entrega y seguridad de aplicação , porque no hay dos entornos, aplicações o redes iguales y la capacidad de personalización para casos de uso únicos es una capacidad crítica. 

La necesidad de distribución y seguridad de aplicação en todos los entornos y puntos de inserción es la razón por la que F5 insiste en respaldar la implementación de distribución y seguridad de aplicação en tantos puntos de inserción como sea posible en todos los entornos. Porque así es como garantizamos que las organizaciones puedan optimizar la eficacia, la eficiencia y los costos independientemente de cómo hayan diseñado su entorno, aplicações y sus redes.