BLOG | BUREAU DU CTO

Un guide complet sur la livraison et la sécurité des applications d'IA

Miniature de Lori MacVittie
Lori MacVittie
Publié le 11 août 2024

Lesquels avez-vous besoin et où doivent-ils aller ? 

Chaque nouvelle génération d’architecture d’application a un impact sur le trafic réseau. Nous y prêtons attention car pour chaque changement significatif dans les architectures d’application, il y a un changement complémentaire dans la fourniture et la sécurité des applications pour répondre aux défis qui se présentent. 

En examinant de plus près les changements et la réponse du réseau pour répondre aux défis opérationnels, il est intéressant de noter qu’il n’y a vraiment pas de nouveaux défis introduits par les applications d’IA. L’échelle, les performances, la sécurité et la complexité ont bien sûr augmenté, mais ce sont les mêmes défis que nous résolvons depuis plus d’une décennie. 

Mais l’IA modifie la répartition des charges de travail et les modèles de trafic. Ceci est important car la majeure partie de ce trafic réseau est constituée de trafic d’application et, de plus en plus, de trafic d’API. C'est ça qui est différent. La compréhension de ces nouveaux modèles de trafic et de leur répartition entre le cœur, le cloud et la périphérie permet de mieux comprendre les services de distribution d'applications et de sécurité dont vous aurez besoin et où vous pouvez les placer pour un impact et une efficacité maximum. 

Nouveaux modèles de trafic

Nouveaux modèles de circulation

Il est important de noter que l’une des conséquences les plus importantes des applications d’IA sera l’augmentation du trafic EW et NS, une grande partie du trafic NS provenant de l’IA et introduisant ainsi le chemin de données NS sortant comme point de contrôle stratégique en plus du chemin de données NS entrant traditionnel. 

Les applications d'IA s'ajouteront aux portefeuilles existants au cours des 2 à 3 prochaines années, la consolidation se produisant à mesure que les organisations comprennent la demande des consommateurs en matière d'interface en langage naturel (NLI). 

L'augmentation de la distribution sur le chemin de données N-S entraînera une plus grande demande de sécurité en tant que service à la frontière de l'entreprise, tandis que la distribution croissante sur le chemin de données E-W à travers les environnements entraîne le besoin de mise en réseau multicloud. En interne, la sensibilité des données sur le chemin de données E-W accélère le besoin de capacités de sécurité et d’accès.

Le résultat est deux nouveaux points d’insertion dans les architectures d’applications d’IA où la distribution et la sécurité des applications seront précieuses, et une opportunité de reconsidérer où la distribution et la sécurité des applications sont déployées dans un souci d’efficacité, de réduction des coûts et d’efficience. 

Ceci est important étant donné que nous commençons à voir des CVE enregistrés sur des serveurs d'inférence . Il s'agit de la partie serveur du niveau « modèle » qui communique avec les clients via une API. L'utilisation de la sécurité API ici est importante dans la stratégie globale de sécurité de l'IA, car c'est ici que les capacités d'inspection, de détection et de protection des modèles et serveurs d'IA contre l'exploitation sont le mieux déployées. Il s’agit de la « dernière ligne de défense » et, avec une solution de sécurité API programmable, du moyen le plus rapide d’atténuer les nouvelles attaques contre les modèles d’IA. 

Points d'insertion pour la diffusion et la sécurité des applications

Vous vous souvenez peut-être de cet article sur les modèles d’inférence de l’IA , dans lequel nous démontrons les trois principaux modèles de déploiement pour l’inférence de l’IA aujourd’hui. Sur la base de ces modèles, nous pouvons identifier six points d’insertion distincts dans cette architecture étendue pour les services d’application et identifier où ces services sont mieux déployés pour optimiser la sécurité, l’évolutivité et l’efficacité. 

  1. Services mondiaux (par entreprise) La fourniture et la sécurité des applications à ce niveau sont généralement des services de sécurité, mais incluent des services de fourniture au niveau de l'entreprise tels que DNS, GSLB et la mise en réseau multicloud. Les services de sécurité tels que DDoS et Bot Protection sont particulièrement adaptés dans ce cas, car ils empêchent les attaquants de consommer des ressources critiques (et coûteuses) plus profondément dans le parc informatique, en particulier les applications hébergées dans le cloud public. 
  2. Services partagés (par emplacement) La livraison et la sécurité des applications à ce niveau servent de protection supplémentaire contre les attaquants et fournissent des services de disponibilité tels que l'équilibrage de charge pour les applications, les API et les services d'infrastructure (pare-feu, VPN SSL, etc.).  
  3. Services d'application (par application) La livraison et la sécurité des applications à ce point d'insertion sont plus proches de l'application ou de l'API qu'elles fournissent et protègent. Il s’agit notamment de services d’application tels que WAF, l’équilibrage de charge local et le contrôle d’entrée pour les applications modernes. Ces services d’application fournissent et sécurisent les communications « utilisateur vers application ». 
  4. La mise en réseau des microservices (par cluster) La livraison et la sécurité des applications à ce point d'insertion sont généralement déployées dans le cadre de l'infrastructure Kubernetes et incluent mTLS et le maillage de services. Ces services permettent de fournir et de sécuriser les communications « d’application à application ». 
  5. Services d'inférence d'IA (par complexe de calcul d'IA) Ce nouveau point d'insertion est spécifique aux applications d'IA et comprend des capacités de livraison et de sécurité conçues pour fournir et protéger spécifiquement les services d'inférence d'IA. L'équilibrage de charge est courant, tout comme la limitation du débit de la couche d'application pour protéger les API d'inférence de l'IA . Pour plus de détails, consultez L’impact de l’inférence de l’IA sur l’architecture du centre de données
  6. Services d'infrastructure d'IA (par serveur d'IA) Ce nouveau point d'insertion est intégré dans la structure du réseau d'IA, avec la livraison et la sécurité des applications déployées sur les DPU pour faciliter le déchargement des services de livraison et de sécurité. Ce point d'insertion sert à améliorer l'efficacité des investissements d'inférence en déchargeant la livraison et la sécurité nécessaires du processeur, permettant aux serveurs d'inférence de « simplement servir ». F5, Scaling Inferencing from the Inside Out, fournit plus de détails sur ce niveau.

En réalité, la plupart des services de sécurité et de distribution d’applications peuvent être déployés à n’importe lequel de ces points d’insertion. L'exception concernerait les services spécifiquement conçus pour s'intégrer à un environnement, tels que les contrôleurs d'entrée et le maillage de services, qui sont liés aux déploiements Kubernetes. 

La clé est d’identifier le point d’insertion auquel vous pouvez maximiser les variables : efficacité, efficience et coût. Cela comprend non seulement le coût opérationnel desdits services, mais également les coûts associés au traitement de ce trafic plus en profondeur dans le parc informatique. 

Et même s’il existe des bonnes pratiques pour faire correspondre la distribution et la sécurité des applications avec les points d’insertion (d’où la mention de services spécifiques pour chacun), il existe toujours des raisons de s’en écarter, car aucune architecture d’entreprise n’est identique. C'est également l'une des principales raisons de la programmabilité de la livraison et de la sécurité des applications ; car aucun environnement, aucune application ou aucun réseau n'est identique et la capacité de personnalisation pour des cas d'utilisation uniques est une capacité essentielle. 

La nécessité de fournir des applications et de sécuriser les différents environnements et points d'insertion est la raison pour laquelle F5 insiste sur la nécessité de prendre en charge le déploiement de la fourniture des applications et de la sécurité sur autant de points d'insertion que possible, dans chaque environnement. Parce que c’est ainsi que nous garantissons que les organisations peuvent optimiser l’efficacité, l’efficience et les coûts, quelle que soit la manière dont elles ont conçu leur environnement, leurs applications et leurs réseaux.