एयर-गैप आवश्यकता
रक्षा ठेकेदार, सरकारी खुफिया एजेंसियां, और महत्वपूर्ण बुनियादी ढांचे के ऑपरेटर ऐसे नेटवर्क का प्रबंधन करते हैं जहां बाहरी इंटरनेट कनेक्टिविटी शारीरिक रूप से असंभव है, केवल नीति द्वारा निषिद्ध नहीं है। एक SCIF (संवेदनशील विभाजित जानकारी सुविधा) एक कमरा या सुविधा है जिसे इलेक्ट्रॉनिक ईव्सड्रॉपिंग और सिग्नल इंटेलिजेंस संग्रह को रोकने के लिए डिज़ाइन किया गया है - यह फ़ैरेडे-कैज्ड है, जिसमें कोई वायरलेस सिग्नल अंदर या बाहर नहीं आता। ITAR (अंतर्राष्ट्रीय हथियारों के व्यापार विनियम) नियंत्रण के तहत एक वर्गीकृत सरकारी नेटवर्क कवर किए गए तकनीकी डेटा को अप्रूव्ड पार्टियों को संचारित नहीं कर सकता - जिसमें क्लाउड सेवा प्रदाता शामिल हैं जो ITAR के तहत मंजूर नहीं हैं।
इन वातावरणों में संगठनों के लिए, "क्लाउड SaaS" एक जोखिम नहीं है जिसे प्रबंधित किया जाना है - यह एक तकनीकी असंभवता है। कोई भी अनामकरण उपकरण जो सक्रिय नेटवर्क कनेक्शन की आवश्यकता करता है उसे तैनात नहीं किया जा सकता। कोई भी उपकरण जो लाइसेंसिंग सत्यापन के लिए घर पर फोन करता है वह प्रारंभिक नहीं है। कोई भी उपकरण जिसकी पहचान मॉडल क्लाउड API कॉल के लिए अनुमान लगाने की आवश्यकता होती है, कार्य नहीं कर सकता।
Ollama समुदाय विशेष रूप से स्थानीय AI उपकरणों के लिए एयर-गैप्ड तैनाती को प्राथमिक औचित्य के रूप में उद्धृत करता है: "सभी डेटा आपके डिवाइस पर रहता है Ollama के साथ, कोई जानकारी बाहरी सर्वरों को नहीं भेजी जाती - यह संवेदनशील कार्य जैसे डॉक्टरों द्वारा रोगी नोट्स संभालने या वकीलों द्वारा मामले की फ़ाइलों की समीक्षा करने के लिए विशेष रूप से महत्वपूर्ण है।" यही तर्क वर्गीकृत और ITAR-नियंत्रित वातावरण के लिए संगठनात्मक स्तर पर लागू होता है।
ITAR उपयोग मामला
एक रक्षा ठेकेदार में एक डेटा वैज्ञानिक जो ITAR आवश्यकताओं के तहत कर्मियों के रिकॉर्ड को संसाधित कर रहा है, को FOIA-निवेदन करने वाले पत्रकार के साथ साझा करने से पहले फ़ाइलों को पहचान रहित करना होगा। ठेकेदार का नेटवर्क एयर-गैप्ड है। प्रसंस्करण एयर-गैप्ड मशीन पर होना चाहिए और सार्वजनिक रिलीज के लिए उपयुक्त आउटपुट उत्पन्न करना चाहिए।
इस उपयोग मामले का कोई क्लाउड समाधान नहीं है। एकमात्र मार्ग एक ऐसा उपकरण है जो पूरी तरह से स्थानीय मशीन पर चलता है, स्थानीय रूप से संग्रहीत पहचान मॉडल लागू करता है, और बिना किसी बाहरी संचार के अनामित आउटपुट उत्पन्न करता है। Tauri 2.0-आधारित डेस्कटॉप एप्लिकेशन बिल्कुल इसी कॉन्फ़िगरेशन में चलता है: डाउनलोड और स्थापना के बाद, दस्तावेज़ प्रसंस्करण के दौरान कोई नेटवर्क कॉल नहीं किए जाते। spaCy NER मॉडल, regex पैटर्न, और ट्रांसफार्मर अनुमान स्थानीय रूप से चलते हैं। प्रसंस्करण आउटपुट तब तक मशीन को नहीं छोड़ता जब तक कि उपयोगकर्ता द्वारा स्पष्ट रूप से निर्यात नहीं किया जाता।
वर्गीकृत संचालन के लिए उलटने योग्य उपनामकरण
वर्गीकृत और सरकारी संदर्भों में एक संबंधित आवश्यकता: उलटने योग्य उपनामकरण जो विश्लेषणात्मक उपयोगिता बनाए रखते हुए वास्तविक पहचान की सुरक्षा करता है। GDPR अनुच्छेद 4(5) औपचारिक रूप से उपनामकरण को एक डेटा सुरक्षा उपाय के रूप में मान्यता देता है जो अनुपालन जोखिम को कम करता है - उपनामित डेटा पूरी तरह से पहचान योग्य डेटा की तुलना में कम दायित्वों के अधीन है, बशर्ते कि उपनामकरण कुंजी उपनामित डेटा सेट से अलग रखी जाए।
IAPP अनुसंधान (2024) ने पाया कि केवल 23% अनामकरण उपकरण वास्तव में उलटने योग्य हैं - उपनामित डेटा को मूल मूल्यों में वापस डिक्रिप्ट करने की क्षमता एक कुंजी का उपयोग करके जो आउटपुट से अलग रखी जाती है। अधिकांश उपकरण स्थायी प्रतिस्थापन (मूल डेटा को ओवरराइट किया जाता है और इसे पुनर्प्राप्त नहीं किया जा सकता) या मास्किंग (मूल मूल्य का आंशिक प्रदर्शन) लागू करते हैं।
सरकारी संचालन के लिए जहां उपनामित डेटा सेट को विभाजनों के बीच साझा किया जाना चाहिए - एक टीम विश्लेषणात्मक कार्य के लिए उपनामित डेटा सेट प्राप्त करती है, दूसरी टीम कानूनी रूप से आवश्यक होने पर पुनः पहचान के लिए डिक्रिप्शन कुंजी रखती है - कुंजी पृथक्करण के साथ उलटने योग्य एन्क्रिप्शन ही एकमात्र अनुपालन आर्किटेक्चर है।
शून्य-ज्ञान दृष्टिकोण इसे और आगे बढ़ाता है: एन्क्रिप्शन कुंजी क्लाइंट-साइड उत्पन्न होती है और कभी भी संचारित नहीं होती। भले ही अनामकरण उपकरण के प्रदाता को समन किया गया हो, वे डिक्रिप्शन कुंजी का उत्पादन नहीं कर सकते क्योंकि उन्होंने इसे कभी प्राप्त नहीं किया। वर्गीकृत वातावरणों के लिए जहां एन्क्रिप्शन कुंजियों के लिए चेन ऑफ़ कस्टडी स्वयं एक सुरक्षा आवश्यकता है, यह आर्किटेक्चर आवश्यक आश्वासन प्रदान करता है।
EDPB मार्गदर्शन अनुपालन
EDPB दिशानिर्देश 05/2022 उपनामकरण पर कुंजी पृथक्करण की आवश्यकता करते हैं: उपनामकरण कुंजी को उस पार्टी द्वारा रखा जाना चाहिए जो उपनामित डेटा सेट प्राप्त कर रही है, या तकनीकी नियंत्रणों के साथ संग्रहीत किया जाना चाहिए जो प्राप्त करने वाली पार्टी को डेटा और कुंजी दोनों को एक साथ पहुंचने से रोकते हैं।
क्लाइंट-साइड कुंजी उत्पन्न करने (कुंजी कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ती), स्थानीय प्रसंस्करण (डेटा कभी भी एयर-गैप्ड वातावरण को नहीं छोड़ता), और उपनामित आउटपुट और डिक्रिप्शन कुंजियों के अलग निर्यात का संयोजन EDPB की कुंजी पृथक्करण आवश्यकता को पूरा करता है जबकि एयर-गैप्ड संचालन बाधा को पूरा करता है।
स्रोत: