NVIDIA 推出了用于NVIDIA BlueField? DPU的NVIDIA DOCA? 1.2 software,這是世界上最先進(jìn)的數(shù)據(jù)處理器( DPU )。此最新版本定于 11 月底發(fā)布,以DOCA early access program的勢頭為基礎(chǔ),使合作伙伴和客戶能夠加快 DPU 上應(yīng)用程序和整體零信任解決方案的開發(fā)。新的認(rèn)證、認(rèn)證、隔離和監(jiān)視功能使得 BlueField 成為零信任分布式安全平臺(tái)的理想基礎(chǔ)。
以前,外圍安全足以保護(hù)數(shù)據(jù)中心免受外部威脅,因?yàn)閿?shù)據(jù)中心內(nèi)的用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序都是隱式受信任的。但有了云,軟件即服務(wù)的私有云,您可以將自己的設(shè)備( BYOD )和下載大量應(yīng)用程序的用戶帶入數(shù)據(jù)中心,這種默示的信任不再被擔(dān)?;蚪邮?。因此,零信任模型認(rèn)識(shí)到,數(shù)據(jù)中心內(nèi)部的資源不可能比外部的資源更受信任。零信任首先假設(shè)所有用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù),甚至網(wǎng)絡(luò)外圍內(nèi)的用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)都不受信任。
零信任要求企業(yè)利用基于用戶的微細(xì)分和細(xì)粒度授權(quán)實(shí)施。分析用戶的權(quán)限、位置、訪問數(shù)據(jù)的需要和行為歷史將確定是否信任用戶、設(shè)備或應(yīng)用程序訪問特定資源。它監(jiān)控每個(gè)用戶、應(yīng)用程序和服務(wù)器的行為,并使用以下技術(shù)檢查網(wǎng)絡(luò)每個(gè)部分的流量:;多因素身份驗(yàn)證、基于角色的訪問控制、下一代分布式防火墻和深度數(shù)據(jù)包檢查。對用戶和設(shè)備進(jìn)行身份驗(yàn)證,以確保只有經(jīng)過授權(quán)的用戶才具有訪問權(quán)限,而加密可確保隱私 。零信任調(diào)用僅授予用戶完成每個(gè)特定任務(wù)所需的訪問權(quán)限,而不授予其他權(quán)限。
零信任網(wǎng)絡(luò)安全模型認(rèn)識(shí)到網(wǎng)絡(luò)內(nèi)外的每一個(gè)人和每一件事都必須經(jīng)過身份驗(yàn)證、監(jiān)控和分割。即使經(jīng)過身份驗(yàn)證,所有操作都應(yīng)該隔離,同時(shí)使用加密保護(hù)傳輸中和靜止的數(shù)據(jù),以在安全性受到威脅時(shí)將未經(jīng)授權(quán)的數(shù)據(jù)訪問的爆炸半徑降至最低。
Bluefield DPU 重新定義了安全域,并為零信任保護(hù)提供了一流的基礎(chǔ)。 DPU 可在每臺(tái)主機(jī)和所有網(wǎng)絡(luò)流量上通過加密、細(xì)粒度訪問控制和微分段實(shí)現(xiàn)網(wǎng)絡(luò)篩選。 BlueField 提供隔離,在與主機(jī)域分離的信任域中部署安全代理。如果主機(jī)受損,這種隔離將阻止惡意軟件訪問安全軟件,從而幫助防止攻擊擴(kuò)散到其他服務(wù)器。
BlueField DPU 和 DOCA 為數(shù)據(jù)中心的所有層帶來零信任
BlueField DPUs 和 DOCA 為零信任提供了基礎(chǔ)。從硬件信任根開始,以確保 DPU 本身的完整性,我們可以向每一層添加信任。這包括將認(rèn)證、身份驗(yàn)證和監(jiān)視帶到計(jì)算機(jī)、應(yīng)用程序和數(shù)據(jù)的每個(gè)接觸點(diǎn),包括服務(wù)器、容器、存儲(chǔ)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,當(dāng)然還有人。
圖 1:BlueField DPU 和 DOCA 為零信任提供了基礎(chǔ)。
BlueField DPUs 和 DOCA 為合作伙伴和客戶提供了構(gòu)建整體零信任解決方案的基礎(chǔ)平臺(tái)。藍(lán)田 DPU 提供了三個(gè)關(guān)鍵能力作為本基金會(huì)的一部分,包括:
驗(yàn)證平臺(tái)的能力包括:
DPU 基于硬件信任根的安全和測量引導(dǎo)。
基于 DICE 的平臺(tái)和 DPU 軟件的遠(yuǎn)程認(rèn)證。 DICE 是一系列用于基于硬件的加密設(shè)備標(biāo)識(shí)、認(rèn)證和數(shù)據(jù)加密的硬件和軟件技術(shù)。
用于加速身份驗(yàn)證、訪問控制和加密的工具。
使用公鑰加密技術(shù)卸載身份驗(yàn)證和認(rèn)證。
通過軟件定義、硬件加速的微分段和有狀態(tài)連接跟蹤,控制對資產(chǎn)和數(shù)據(jù)的訪問。
加快在線和靜態(tài)數(shù)據(jù)的加密。
實(shí)施“仍然不信任始終驗(yàn)證”的立場
通過 DOCA 遙測監(jiān)測網(wǎng)絡(luò)流量并報(bào)告可疑活動(dòng)。
在獨(dú)立于 CPU /應(yīng)用程序的域中隔離軟件。
保護(hù)主機(jī)應(yīng)用程序免受損壞或惡意修改。
以前的“信任,有時(shí)驗(yàn)證”概念現(xiàn)在變成了“不信任、驗(yàn)證和證明,然后仍然不信任,因此始終監(jiān)視和驗(yàn)證”。核心假設(shè)是,即使在驗(yàn)證之后,任何資產(chǎn)都可能受到損害,因此需要持續(xù)的活動(dòng)監(jiān)視來保護(hù)用戶、設(shè)備、,和數(shù)據(jù)。
BlueField DPU 通過提供具有唯一設(shè)備 ID 的硬件信任根,在最低級(jí)別實(shí)現(xiàn)了這一點(diǎn)。然后,它執(zhí)行一個(gè)測量的安全引導(dǎo),以驗(yàn)證 DPU 上運(yùn)行的所有軟件都經(jīng)過簽名和身份驗(yàn)證。度量引導(dǎo)解決了引導(dǎo)映像可以正確簽名和身份驗(yàn)證的問題,然后實(shí)際的引導(dǎo)過程被破壞以加載不同的或附加的代碼。安全引導(dǎo)和測量引導(dǎo)都依賴于硬件信任根作為擴(kuò)展信任鏈的起點(diǎn)。度量計(jì)算簽名映像的安全散列,然后度量它是否確實(shí)是在安全引導(dǎo)過程中加載的映像。
一旦 DPU 的完整性得到驗(yàn)證, BlueField 就能夠加速公鑰/密鑰認(rèn)證,并將信任鏈擴(kuò)展到其他應(yīng)用程序、設(shè)備和用戶。
BlueField 還充當(dāng)加速 SDN 平臺(tái),使用基于角色的訪問控制( RBAC )和微分段限制每個(gè)應(yīng)用程序或用戶對資產(chǎn)的訪問。例如,需要分析一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)并將其傳遞給用戶的容器化應(yīng)用程序可以放在自己的網(wǎng)段上。在那里,它只能看到存儲(chǔ)設(shè)備、用戶,而不能看到其他任何東西。使用安全組、網(wǎng)絡(luò)微分段和基于角色的動(dòng)態(tài)訪問控制,可防止任何惡意軟件通過內(nèi)部東西方流量傳播。
在“仍然不信任”方面, BlueField 加速了 TLS 和 IPsec 加密以及存儲(chǔ)加密。這使得加密鏈接可以在零 CPU 負(fù)載下以 200 Gb / s 的速度運(yùn)行。這意味著,在零信任框架中,多層加密總是可取的——現(xiàn)在可以更高效地執(zhí)行。這使得加密適用于所有服務(wù)器和所有網(wǎng)絡(luò)流量,在此之前,除了在少數(shù)網(wǎng)站 和 VPN 連接上,實(shí)現(xiàn)加密的計(jì)算成本太高。所有網(wǎng)絡(luò)連接和存儲(chǔ)都加密后,任何侵入網(wǎng)絡(luò)的對手都將無法訪問數(shù)據(jù)。
BlueField 利用 DPU 內(nèi)置的遙測技術(shù),提供對一切的持續(xù)監(jiān)控,并在可疑活動(dòng)發(fā)生時(shí)向 SIEM 和 XDR 系統(tǒng)發(fā)出警報(bào)。網(wǎng)絡(luò)遙測可以輸入NVIDIA Morpheus——這是 NVIDIA 的人工智能加速、可擴(kuò)展的網(wǎng)絡(luò)安全框架。這允許合作伙伴執(zhí)行可擴(kuò)展的 AI 惡意軟件檢測、 ID / IP 和自動(dòng)隔離受損資產(chǎn)。 DOCA 加上 Morpheus 還可以使用 AI 識(shí)別非惡意但嚴(yán)重的問題,如配置錯(cuò)誤的服務(wù)器和過時(shí)的軟件。它甚至可以檢測到敏感信息(如密碼、信用卡號(hào)碼或醫(yī)療信息)在需要加密時(shí)被透明傳輸?shù)那闆r。
現(xiàn)在,當(dāng)不可避免的網(wǎng)絡(luò)入侵發(fā)生時(shí),多層保護(hù)將限制爆炸半徑。 DPU 保護(hù)和認(rèn)證系統(tǒng)完整性,隔離威脅并保護(hù)安全軟件代理。由于 RBAC 和微分段,受感染的服務(wù)器或 VM 將只能訪問少數(shù)其他資產(chǎn)。受損應(yīng)用程序通過App Shield。 DOCA 遙測與 Morpheus 一起檢測可疑網(wǎng)絡(luò)流量。異常流量被運(yùn)行 DPU 的領(lǐng)先防火墻軟件阻止,該軟件加速了安全性,并且沒有任何性能或服務(wù)降級(jí)。有價(jià)值的信息在飛行和休息時(shí)都會(huì)被加密。從零信任的假設(shè)開始, DOCA 和 DPU 作為安全應(yīng)用的基礎(chǔ),保護(hù)所有資產(chǎn),無處不在。
總結(jié)
基于零信任的現(xiàn)代安全方法對于確保當(dāng)今數(shù)據(jù)中心的安全至關(guān)重要,因?yàn)橹芙鐑?nèi)的活動(dòng)不再能夠自動(dòng)被認(rèn)為是安全的。
這在邊緣地區(qū)更為重要,因?yàn)閿?shù)據(jù)中心不再只是有大門、警衛(wèi)和槍支的大型設(shè)施。在邊緣地帶,工廠、機(jī)器人、汽車、商店和無線電發(fā)射塔中都有微型數(shù)據(jù)中心——每個(gè)中心都包含有價(jià)值的資產(chǎn)。但由于物理訪問是可能的,傳統(tǒng)防火墻無法充分保護(hù)這些設(shè)備。因此 DPU 從信任的硬件基礎(chǔ)開始,逐層構(gòu)建安全性,并限制網(wǎng)絡(luò)訪問——保護(hù)用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序——所有這些都在數(shù)據(jù)中心集合。
BlueField DPUs 和 DOCA 軟件棧為合作伙伴構(gòu)建理想的開放基礎(chǔ)提供了零信任解決方案,并將它們擴(kuò)展到網(wǎng)絡(luò)的所有部分,以解決現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題。
關(guān)于作者
Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后,目前擔(dān)任 NVIDIA 的產(chǎn)品營銷總監(jiān)。 Scott 在產(chǎn)品營銷和產(chǎn)品管理方面擁有 20 多年的經(jīng)驗(yàn),擅長在高增長環(huán)境下啟動(dòng)新的業(yè)務(wù)線,包括 Cumulus Networks , Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學(xué)院獲得生物醫(yī)學(xué)計(jì)算學(xué)士學(xué)位,在巴布森學(xué)院獲得市場營銷工商管理碩士學(xué)位。
John Kim 是 NVIDIA 網(wǎng)絡(luò)事業(yè)部的存儲(chǔ)市場總監(jiān),致力于幫助客戶和供應(yīng)商從高性能網(wǎng)絡(luò)連接、智能網(wǎng)卡卸載和遠(yuǎn)程直接數(shù)據(jù)存取 (RDMA) 中獲益,尤其是在存儲(chǔ)、大數(shù)據(jù)和人工智能領(lǐng)域。
審核編輯:郭婷
-
NVIDIA
+關(guān)注
關(guān)注
14文章
4793瀏覽量
102427 -
數(shù)據(jù)中心
+關(guān)注
關(guān)注
16文章
4517瀏覽量
71628 -
人工智能
+關(guān)注
關(guān)注
1787文章
46060瀏覽量
234981
發(fā)布評(píng)論請先 登錄
相關(guān)推薦
評(píng)論