硬件虚拟化是将虚拟机 (VM) 中的工作负载与物理硬件以及彼此之间隔离的有效方法。这提供了更高的安全性，特别是在多租户环境中。然而，带内攻击、旁道攻击和物理攻击等安全风险仍然可能发生，从而损害数据和应用程序的机密性、完整性或可用性。

直到最近，保护数据还仅限于动态数据（例如通过互联网移动有效负载）和静态数据（例如存储介质加密）。然而，使用中的数据仍然容易受到攻击。

NVIDIA 机密计算提供了一种安全处理正在使用的数据和代码的解决方案，可防止未经授权的用户访问和修改。在运行人工智能训练或推理时，必须保护数据和代码。输入数据通常包括个人身份信息（PII）或企业机密，而训练后的模型是非常有价值的知识产权（IP）。机密计算是保护人工智能模型和数据的理想解决方案。

NVIDIA 处于机密计算领域的前沿，与 CPU 合作伙伴、云提供商和独立软件供应商 (ISV) 合作，确保从传统加速工作负载向机密加速工作负载的转变顺利且透明。

NVIDIA H100 Tensor Core GPU 是首款支持机密计算的 GPU。它可以在虚拟化环境中使用，无论是传统虚拟机还是 Kubernetes 部署，使用 Kata 在微虚拟机中启动机密容器。

使用硬件虚拟化的 NVIDIA 机密计算

根据机密计算联盟的规定，机密计算是通过在基于硬件的经过验证的可信执行环境 (TEE) 中执行计算来保护正在使用的数据。

NVIDIA H100 GPU 满足此定义，因为其 TEE 植根于片上硬件信任根 (RoT)。当以 CC-On 模式启动时，GPU 会启用代码和数据的硬件保护。信任链是通过以下方式建立的：

• GPU 启动顺序，具有安全且经过测量的启动

• 用于安全连接到 CPU TEE 中的驱动程序的安全协议和数据模型 (SPDM) 会话

• 生成一组经过加密签名的测量值，称为证明报告。

机密计算环境的用户可以检查认证报告，只有在其有效且正确的情况下才可以继续操作。