BLOG | ESCRITÓRIO DO CTO

Um guia abrangente para entrega e segurança para aplicativos de IA

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 11 de agosto de 2024

Quais você precisa e onde eles devem ficar? 

Cada nova geração de arquitetura de aplicativos tem um impacto no tráfego de rede. Prestamos atenção a isso porque para cada mudança significativa nas arquiteturas de aplicativos, há uma mudança complementar na entrega e na segurança dos aplicativos para enfrentar os desafios que surgem. 

Analisando as mudanças e a resposta da rede para enfrentar os desafios operacionais, é interessante notar que realmente não há novos desafios introduzidos com as aplicações de IA. Escala, desempenho, segurança e complexidade aumentam, é claro, mas esses são os mesmos desafios que temos resolvido há mais de uma década. 

Mas a IA muda a distribuição de cargas de trabalho e padrões de tráfego. Isso é importante porque a maior parte desse tráfego de rede é tráfego de aplicativos e, cada vez mais, tráfego de API. É isso que é diferente. Entender esses novos padrões de tráfego e distribuição entre núcleo, nuvem e borda fornece insights sobre quais serviços de entrega e segurança de aplicativos você precisará e onde colocá-los para obter o máximo de impacto e eficiência. 

Novos Padrões de Tráfego

É importante observar que uma das consequências mais significativas das aplicações de IA será o aumento do tráfego EW e NS, com grande parte do tráfego NS originando-se da IA e, assim, introduzindo o caminho de dados NS de saída como um ponto estratégico de controle, além do caminho de dados NS de entrada tradicional. 

Os aplicativos de IA serão complementares aos portfólios existentes pelos próximos 2 a 3 anos, com a consolidação ocorrendo à medida que as organizações entenderem a demanda do consumidor por NLI (interface de linguagem natural). 

O aumento da distribuição no caminho de dados N-S aumentará a demanda por segurança como serviço nos limites corporativos, enquanto o aumento da distribuição no caminho de dados E-W entre ambientes aumentará a necessidade de redes multinuvem. Internamente, a sensibilidade dos dados no caminho de dados E-W está acelerando a necessidade de recursos de segurança e acesso.

O resultado são dois novos pontos de inserção em arquiteturas de aplicativos de IA onde a entrega e a segurança do aplicativo serão valiosas, e uma oportunidade de reconsiderar onde a entrega e a segurança do aplicativo são implantadas com foco na eficiência, redução de custos e eficácia. 

Isso é importante, pois estamos começando a ver CVEs registrados em servidores de inferência . Essa é a parte do servidor da camada “modelo” que se comunica com os clientes por meio de uma API. O uso da segurança de API aqui é importante na estratégia geral de segurança de IA porque é aqui que as capacidades de inspecionar, detectar e proteger modelos e servidores de IA contra exploração são melhor implantadas. É a “última linha de defesa” e, dada uma solução de segurança de API programável, o meio mais rápido de mitigar novos ataques contra modelos de IA. 

Pontos de inserção para entrega e segurança de aplicativos

Você deve se lembrar desta postagem sobre padrões de inferência de IA , na qual demonstramos os três principais padrões de implantação para inferência de IA hoje. Com base nesses padrões, podemos identificar seis pontos de inserção distintos nessa arquitetura expandida para serviços de aplicativos e identificar onde esses serviços são melhor implantados para otimizar a segurança, a escala e a eficiência. 

  1. Serviços globais (por empresa) A entrega e a segurança de aplicativos neste nível geralmente são serviços de segurança, mas incluem serviços de entrega em nível de empresa, como DNS, GSLB e rede multicloud. Serviços de segurança como DDoS e proteção contra bots são adequados aqui, pois evitam que invasores consumam recursos críticos (e caros) mais profundamente no ambiente de TI, especialmente aqueles aplicativos hospedados na nuvem pública. 
  2. Serviços compartilhados (por local) A entrega e a segurança de aplicativos nesta camada servem como proteção adicional contra invasores, além de fornecer serviços de disponibilidade, como balanceamento de carga para aplicativos, APIs e serviços de infraestrutura (firewall, SSL VPN, etc.).  
  3. Serviços de aplicativos (por aplicativo) A entrega e a segurança do aplicativo neste ponto de inserção são mais afins ao aplicativo ou API que eles estão entregando e protegendo. Isso inclui serviços de aplicativos como WAF, balanceamento de carga local e controle de entrada para aplicativos modernos. Esses serviços de aplicativos fornecem e protegem comunicações “usuário para aplicativo”. 
  4. Rede de microsserviços (por cluster) A entrega e a segurança de aplicativos neste ponto de inserção geralmente são implantadas como parte da infraestrutura do Kubernetes e incluem mTLS e malha de serviço. Esses serviços são para fornecer e proteger comunicações “de aplicativo para aplicativo”. 
  5. Serviços de inferência de IA (por complexo de computação de IA) Este novo ponto de inserção é específico para aplicativos de IA e inclui recursos de entrega e segurança projetados para fornecer e proteger especificamente serviços de inferência de IA. O balanceamento de carga é comum, assim como a limitação de taxa da camada de aplicação para proteger APIs de inferência de IA . Veja O impacto da inferência de IA na arquitetura do data center para mais detalhes. 
  6. Serviços de infraestrutura de IA (por servidor de IA) Este novo ponto de inserção é incorporado à estrutura de rede de IA, com entrega de aplicativos e segurança implantadas em DPUs para facilitar o descarregamento de serviços de entrega e segurança. Este ponto de inserção serve para melhorar a eficiência dos investimentos de inferência, descarregando a entrega e a segurança necessárias da CPU, permitindo que os servidores de inferência “apenas sirvam”. O F5 está escalonando a inferência de dentro para fora e fornece mais detalhes sobre esse nível.

Agora, a verdade é que a maioria dos serviços de entrega e segurança de aplicativos podem ser implantados em qualquer um desses pontos de inserção. A exceção seriam aqueles serviços projetados especificamente para integração com um ambiente, como controladores de entrada e malha de serviço, que são vinculados a implantações do Kubernetes. 

A chave é identificar o ponto de inserção no qual você pode maximizar as variáveis: eficácia, eficiência e custo. Isso inclui não apenas o custo operacional dos serviços, mas também os custos associados ao processamento desse tráfego mais profundamente no patrimônio de TI. 

E embora existam práticas recomendadas para combinar a entrega e a segurança de aplicativos com pontos de inserção (daí a menção de serviços específicos para cada um), também há sempre motivos para desvios, porque não há duas arquiteturas empresariais iguais. Esta também é uma das principais razões para a programabilidade da entrega e segurança de aplicativos; porque não há dois ambientes, aplicativos ou redes iguais e a capacidade de personalização para casos de uso exclusivos é uma capacidade crítica. 

A necessidade de entrega e segurança de aplicativos em todos os ambientes e pontos de inserção é o motivo pelo qual a F5 insiste em dar suporte à implantação de entrega e segurança de aplicativos em tantos pontos de inserção quanto possível, em todos os ambientes. Porque é assim que garantimos que as organizações podem otimizar a eficácia, a eficiência e o custo, independentemente de como arquitetaram seu ambiente, aplicativos e redes.