BlueField DPUs和DOCA軟件棧提供零信任安全

NVIDIA 推出了用于NVIDIA BlueField? DPU的NVIDIA DOCA? 1.2 software，這是世界上最先進(jìn)的數(shù)據(jù)處理器（ DPU ）。此最新版本定于 11 月底發(fā)布，以DOCA early access program的勢頭為基礎(chǔ)，使合作伙伴和客戶能夠加快 DPU 上應(yīng)用程序和整體零信任解決方案的開發(fā)。新的認(rèn)證、認(rèn)證、隔離和監(jiān)視功能使得 BlueField 成為零信任分布式安全平臺(tái)的理想基礎(chǔ)。

以前，外圍安全足以保護(hù)數(shù)據(jù)中心免受外部威脅，因?yàn)閿?shù)據(jù)中心內(nèi)的用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序都是隱式受信任的。但有了云，軟件即服務(wù)的私有云，您可以將自己的設(shè)備（ BYOD ）和下載大量應(yīng)用程序的用戶帶入數(shù)據(jù)中心，這種默示的信任不再被擔(dān)?；蚪邮?。因此，零信任模型認(rèn)識(shí)到，數(shù)據(jù)中心內(nèi)部的資源不可能比外部的資源更受信任。零信任首先假設(shè)所有用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)，甚至網(wǎng)絡(luò)外圍內(nèi)的用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)都不受信任。

零信任要求企業(yè)利用基于用戶的微細(xì)分和細(xì)粒度授權(quán)實(shí)施。分析用戶的權(quán)限、位置、訪問數(shù)據(jù)的需要和行為歷史將確定是否信任用戶、設(shè)備或應(yīng)用程序訪問特定資源。它監(jiān)控每個(gè)用戶、應(yīng)用程序和服務(wù)器的行為，并使用以下技術(shù)檢查網(wǎng)絡(luò)每個(gè)部分的流量：；多因素身份驗(yàn)證、基于角色的訪問控制、下一代分布式防火墻和深度數(shù)據(jù)包檢查。對用戶和設(shè)備進(jìn)行身份驗(yàn)證，以確保只有經(jīng)過授權(quán)的用戶才具有訪問權(quán)限，而加密可確保隱私 。零信任調(diào)用僅授予用戶完成每個(gè)特定任務(wù)所需的訪問權(quán)限，而不授予其他權(quán)限。

零信任網(wǎng)絡(luò)安全模型認(rèn)識(shí)到網(wǎng)絡(luò)內(nèi)外的每一個(gè)人和每一件事都必須經(jīng)過身份驗(yàn)證、監(jiān)控和分割。即使經(jīng)過身份驗(yàn)證，所有操作都應(yīng)該隔離，同時(shí)使用加密保護(hù)傳輸中和靜止的數(shù)據(jù)，以在安全性受到威脅時(shí)將未經(jīng)授權(quán)的數(shù)據(jù)訪問的爆炸半徑降至最低。

Bluefield DPU 重新定義了安全域，并為零信任保護(hù)提供了一流的基礎(chǔ)。 DPU 可在每臺(tái)主機(jī)和所有網(wǎng)絡(luò)流量上通過加密、細(xì)粒度訪問控制和微分段實(shí)現(xiàn)網(wǎng)絡(luò)篩選。 BlueField 提供隔離，在與主機(jī)域分離的信任域中部署安全代理。如果主機(jī)受損，這種隔離將阻止惡意軟件訪問安全軟件，從而幫助防止攻擊擴(kuò)散到其他服務(wù)器。

BlueField DPU 和 DOCA 為數(shù)據(jù)中心的所有層帶來零信任

BlueField DPUs 和 DOCA 為零信任提供了基礎(chǔ)。從硬件信任根開始，以確保 DPU 本身的完整性，我們可以向每一層添加信任。這包括將認(rèn)證、身份驗(yàn)證和監(jiān)視帶到計(jì)算機(jī)、應(yīng)用程序和數(shù)據(jù)的每個(gè)接觸點(diǎn)，包括服務(wù)器、容器、存儲(chǔ)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施，當(dāng)然還有人。

圖 1:BlueField DPU 和 DOCA 為零信任提供了基礎(chǔ)。

BlueField DPUs 和 DOCA 為合作伙伴和客戶提供了構(gòu)建整體零信任解決方案的基礎(chǔ)平臺(tái)。藍(lán)田 DPU 提供了三個(gè)關(guān)鍵能力作為本基金會(huì)的一部分，包括：

驗(yàn)證平臺(tái)的能力包括：

DPU 基于硬件信任根的安全和測量引導(dǎo)。

基于 DICE 的平臺(tái)和 DPU 軟件的遠(yuǎn)程認(rèn)證。 DICE 是一系列用于基于硬件的加密設(shè)備標(biāo)識(shí)、認(rèn)證和數(shù)據(jù)加密的硬件和軟件技術(shù)。

用于加速身份驗(yàn)證、訪問控制和加密的工具。

使用公鑰加密技術(shù)卸載身份驗(yàn)證和認(rèn)證。

通過軟件定義、硬件加速的微分段和有狀態(tài)連接跟蹤，控制對資產(chǎn)和數(shù)據(jù)的訪問。

加快在線和靜態(tài)數(shù)據(jù)的加密。

實(shí)施“仍然不信任始終驗(yàn)證”的立場

通過 DOCA 遙測監(jiān)測網(wǎng)絡(luò)流量并報(bào)告可疑活動(dòng)。

在獨(dú)立于 CPU /應(yīng)用程序的域中隔離軟件。

保護(hù)主機(jī)應(yīng)用程序免受損壞或惡意修改。

以前的“信任，有時(shí)驗(yàn)證”概念現(xiàn)在變成了“不信任、驗(yàn)證和證明，然后仍然不信任，因此始終監(jiān)視和驗(yàn)證”。核心假設(shè)是，即使在驗(yàn)證之后，任何資產(chǎn)都可能受到損害，因此需要持續(xù)的活動(dòng)監(jiān)視來保護(hù)用戶、設(shè)備、，和數(shù)據(jù)。

BlueField DPU 通過提供具有唯一設(shè)備 ID 的硬件信任根，在最低級(jí)別實(shí)現(xiàn)了這一點(diǎn)。然后，它執(zhí)行一個(gè)測量的安全引導(dǎo)，以驗(yàn)證 DPU 上運(yùn)行的所有軟件都經(jīng)過簽名和身份驗(yàn)證。度量引導(dǎo)解決了引導(dǎo)映像可以正確簽名和身份驗(yàn)證的問題，然后實(shí)際的引導(dǎo)過程被破壞以加載不同的或附加的代碼。安全引導(dǎo)和測量引導(dǎo)都依賴于硬件信任根作為擴(kuò)展信任鏈的起點(diǎn)。度量計(jì)算簽名映像的安全散列，然后度量它是否確實(shí)是在安全引導(dǎo)過程中加載的映像。

一旦 DPU 的完整性得到驗(yàn)證， BlueField 就能夠加速公鑰/密鑰認(rèn)證，并將信任鏈擴(kuò)展到其他應(yīng)用程序、設(shè)備和用戶。

BlueField 還充當(dāng)加速 SDN 平臺(tái)，使用基于角色的訪問控制（ RBAC ）和微分段限制每個(gè)應(yīng)用程序或用戶對資產(chǎn)的訪問。例如，需要分析一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)并將其傳遞給用戶的容器化應(yīng)用程序可以放在自己的網(wǎng)段上。在那里，它只能看到存儲(chǔ)設(shè)備、用戶，而不能看到其他任何東西。使用安全組、網(wǎng)絡(luò)微分段和基于角色的動(dòng)態(tài)訪問控制，可防止任何惡意軟件通過內(nèi)部東西方流量傳播。

在“仍然不信任”方面， BlueField 加速了 TLS 和 IPsec 加密以及存儲(chǔ)加密。這使得加密鏈接可以在零 CPU 負(fù)載下以 200 Gb / s 的速度運(yùn)行。這意味著，在零信任框架中，多層加密總是可取的——現(xiàn)在可以更高效地執(zhí)行。這使得加密適用于所有服務(wù)器和所有網(wǎng)絡(luò)流量，在此之前，除了在少數(shù)網(wǎng)站 和 VPN 連接上，實(shí)現(xiàn)加密的計(jì)算成本太高。所有網(wǎng)絡(luò)連接和存儲(chǔ)都加密后，任何侵入網(wǎng)絡(luò)的對手都將無法訪問數(shù)據(jù)。

BlueField 利用 DPU 內(nèi)置的遙測技術(shù)，提供對一切的持續(xù)監(jiān)控，并在可疑活動(dòng)發(fā)生時(shí)向 SIEM 和 XDR 系統(tǒng)發(fā)出警報(bào)。網(wǎng)絡(luò)遙測可以輸入NVIDIA Morpheus——這是 NVIDIA 的人工智能加速、可擴(kuò)展的網(wǎng)絡(luò)安全框架。這允許合作伙伴執(zhí)行可擴(kuò)展的 AI 惡意軟件檢測、 ID / IP 和自動(dòng)隔離受損資產(chǎn)。 DOCA 加上 Morpheus 還可以使用 AI 識(shí)別非惡意但嚴(yán)重的問題，如配置錯(cuò)誤的服務(wù)器和過時(shí)的軟件。它甚至可以檢測到敏感信息（如密碼、信用卡號(hào)碼或醫(yī)療信息）在需要加密時(shí)被透明傳輸?shù)那闆r。

現(xiàn)在，當(dāng)不可避免的網(wǎng)絡(luò)入侵發(fā)生時(shí)，多層保護(hù)將限制爆炸半徑。 DPU 保護(hù)和認(rèn)證系統(tǒng)完整性，隔離威脅并保護(hù)安全軟件代理。由于 RBAC 和微分段，受感染的服務(wù)器或 VM 將只能訪問少數(shù)其他資產(chǎn)。受損應(yīng)用程序通過App Shield。 DOCA 遙測與 Morpheus 一起檢測可疑網(wǎng)絡(luò)流量。異常流量被運(yùn)行 DPU 的領(lǐng)先防火墻軟件阻止，該軟件加速了安全性，并且沒有任何性能或服務(wù)降級(jí)。有價(jià)值的信息在飛行和休息時(shí)都會(huì)被加密。從零信任的假設(shè)開始， DOCA 和 DPU 作為安全應(yīng)用的基礎(chǔ)，保護(hù)所有資產(chǎn)，無處不在。

總結(jié)

基于零信任的現(xiàn)代安全方法對于確保當(dāng)今數(shù)據(jù)中心的安全至關(guān)重要，因?yàn)橹芙鐑?nèi)的活動(dòng)不再能夠自動(dòng)被認(rèn)為是安全的。

這在邊緣地區(qū)更為重要，因?yàn)閿?shù)據(jù)中心不再只是有大門、警衛(wèi)和槍支的大型設(shè)施。在邊緣地帶，工廠、機(jī)器人、汽車、商店和無線電發(fā)射塔中都有微型數(shù)據(jù)中心——每個(gè)中心都包含有價(jià)值的資產(chǎn)。但由于物理訪問是可能的，傳統(tǒng)防火墻無法充分保護(hù)這些設(shè)備。因此 DPU 從信任的硬件基礎(chǔ)開始，逐層構(gòu)建安全性，并限制網(wǎng)絡(luò)訪問——保護(hù)用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序——所有這些都在數(shù)據(jù)中心集合。

BlueField DPUs 和 DOCA 軟件棧為合作伙伴構(gòu)建理想的開放基礎(chǔ)提供了零信任解決方案，并將它們擴(kuò)展到網(wǎng)絡(luò)的所有部分，以解決現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題。

關(guān)于作者

Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后，目前擔(dān)任 NVIDIA 的產(chǎn)品營銷總監(jiān)。 Scott 在產(chǎn)品營銷和產(chǎn)品管理方面擁有 20 多年的經(jīng)驗(yàn)，擅長在高增長環(huán)境下啟動(dòng)新的業(yè)務(wù)線，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學(xué)院獲得生物醫(yī)學(xué)計(jì)算學(xué)士學(xué)位，在巴布森學(xué)院獲得市場營銷工商管理碩士學(xué)位。

John Kim 是 NVIDIA 網(wǎng)絡(luò)事業(yè)部的存儲(chǔ)市場總監(jiān)，致力于幫助客戶和供應(yīng)商從高性能網(wǎng)絡(luò)連接、智能網(wǎng)卡卸載和遠(yuǎn)程直接數(shù)據(jù)存取 （RDMA） 中獲益，尤其是在存儲(chǔ)、大數(shù)據(jù)和人工智能領(lǐng)域。

審核編輯：郭婷