0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

NVIDIA 推出面向世界领先的数据处理器NVIDIA DOCA 1.2 软件

NVIDIA英伟达 来源:NVIDIA英伟达 作者:NVIDIA英伟达 2021-12-15 14:40 次阅读

近日, NVIDIA 推出了面向世界领先的数据处理器( DPU )—— NVIDIA BlueField DPU 的 NVIDIA DOCA 1.2 软件。此最新版本已经发布,借 DOCA 抢先体验计划之强劲势头,使合作伙伴和客户能够加快 DPU 上的应用开发和完全零信任解决方案的开发。新的鉴别、认证、隔离和监视功能使得 BlueField 成为基于零信任的分布式安全平台的理想基础。

以前,外围安全方案足以保护数据中心免受外部威胁,因为数据中心内的用户、设备、数据和应用程序都被默认是受信任的。但是随着云,私有云,软件即服务, BYOD(将自己的设备接入数据中心)和用户下载大量应用程序到数据中心等趋势的发展,这种默认的信任不能再得到保障或是被接受。因此,零信任模型认识到,数据中心内部的资源和外部的资源一样,不能再被信任。零信任就是首先假设所有用户、设备、应用程序和数据,即使是在网络内部,都不受信任。

零信任要求企业对于用户进行微分段和细粒度授权。通过分析用户的权限、位置、访问数据的需要和行为历史等,来确定是否信任该用户、设备或应用程序去访问特定资源。它监控每个用户、应用程序和服务器的行为,并使用以下技术检查网络中每部分的流量:多因素身份验证、基于角色的访问控制、下一代分布式防火墙和深度数据包检查。通过对用户和设备进行身份验证,以确保只有经过授权的用户才具有访问权限,并通过加密来确保隐私 。零信任要求仅授予用户完成每个特定任务所需的访问权限,而不授予其它权限。

基于零信任的网络安全模型可以识别网络内外的每个人和每件事,都必须被身份验证、被监控和被分段。即使经过身份验证,所有操作也都应该被隔离,同时通过加密来保护传输中的数据和静止的数据,以在安全受到威胁时将未授权数据访问的影响半径降至最低。

BlueField DPU 通过面向零信任保护的先进的基础技术重新定义了安全边界,DPU 可在每台主机和所有网络流量上通过加密、细粒度访问控制和微分段实现了网络的筛选。BlueField 提供隔离,在与主机域分离的信任域中部署安全代理。如果主机受损,这种隔离将阻止恶意软件访问安全软件,从而帮助防止攻击扩散到其它服务器。

BlueField DPU 和 DOCA

为数据中心提供从上到下的零信任保护

BlueField DPU 和 DOCA 是零信任保护的基础。从硬件信任根开始,首先确保 DPU 本身的完整性,然后再逐层添加信任机制,包括对计算机、应用及数据的每个相关接触点都进行认证、身份验证和监视涵盖服务器、容器、存储、网络基础设施,当然还有人。

图 1. BlueField DPU 和 DOCA 是零信任保护的基础。

BlueField DPU 和 DOCA 为合作伙伴和客户提供了构建完整零信任解决方案的基础平台。在此,我们将重点介绍三个 BlueField DPU 的关键能力,包括:

验证平台的能力,包括:

a. 基于硬件信任根的安全的和可测量 的DPU启动。

b. 基于 DICE 的验证平台和 DPU 软件的远程认证。DICE 是一整套基于硬件密码写的设备标识、认证和数据加密的软硬件技术。

用于加速身份验证、访问控制和加密的工具。

a. 使用公钥加密技术卸载身份验证和认证。

b. 通过软件定义、硬件加速的微分段和有状态连接跟踪,控制对设备和数据的访问。

c. 加速在线数据和静态数据的加密。

坚持 “永不信任,始终验证” 的立场。

a. 通过 DOCA 的遥测技术监测网络流量并报告可疑活动。

b. 将安全隔离软件在CPU /应用之外的域中。

c. 保护主机应用免受损坏或恶意修改。

以前的 “信任,有时验证” 概念现在变成了 “不信任、验证和证明,然后仍然不信任,始终保持监视和验证”。核心假设是,即使在验证之后,任何设备仍可能受到损害,因此需要持续地监视以保护用户、设备和数据。

BlueField DPU 通过提供具有唯一设备 ID 的硬件信任根,从最底层实现了上述要求。然后,它执行一个可测量的安全启动,以验证 DPU 上运行的所有软件都经过签名和身份验证。可测量的启动解决了启动镜像可以被正确地签名和进行身份验证的问题以及实际的启动过程被破坏从而加载了不同的或附加的代码等问题。安全启动和可测量启动都依赖于硬件信任根作为起点来扩展信任链。通过测量先计算出一个被签名的镜像的安全哈希值,然后在安全启动过程中用它来测量是否是加载了正确的镜像。

一旦 DPU 的完整性得到验证, BlueField 就能够加速公钥/密钥认证,并将信任链扩展到其它应用、设备和用户。

BlueField 还可以作为一个加速的 SDN 平台,使用基于角色的访问控制( RBAC )和微分段来限制每个应用或用户对设备的访问。例如,一个容器化的应用需要分析在一个存储设备上的数据,并将其传送给一个用户,就可以放在自己的网络分段上。在那里,它只能看到存储设备、用户,再不能看到其它任何东西。使用安全组、网络微分段和基于角色的动态访问控制,可防止任何恶意软件通过内部的东西向流量传播。

在 “永不信任” 方面, BlueField 通过对 TLS 和 IPsec 加密以及存储加密的加速,使得加密链路可以在零 CPU 负载下以 200 Gb / s 的速度工作。这意味着在零信任框架下所期望的多层加密,现在可以高效地实现,这使得我们可以对所有的服务器和所有的网络流量都进行加密,而之前,由于实现全部加密需要消耗大量的计算资源,我们只能对少数网站 和 VPN 连接进行加密。通过对所有网络连接和存储都加密,任何坏人即使侵入了网络,但却无法访问数据。

利用 DPU 内置的遥测技术,BlueField 可以对一切事物进行不间断监控,并在可疑活动发生时向 SIEM 和 XDR 系统发出警报。网络遥测结果可以被输入到NVIDIA Morpheus ——这是 NVIDIA 基于人工智能加速的、可扩展的网络安全框架。让合作伙伴执行可扩展的 AI 恶意软件检测、 IDS / IPS 和自动隔离受损设备。DOCA 配合 Morpheus 还可以通过 AI 技术识别非恶意但是严重的问题,如配置错误的服务器和过期的软件。它甚至可以检测到那些需要加密的敏感信息(如密码、信用卡号码或医疗信息等)被以明文传输的情况。

现在,当不可避免的网络入侵发生时,多层保护将限制其影响半径。DPU 保护和认证系统的完整性,隔离威胁并保护安全软件代理。借助于 RBAC 和微分段,受影响的服务器或 VM 将只能访问少数其它设备。通过 App Shield 可以识别出受损应用。DOCA 遥测与 Morpheus 一起检测可疑网络流量,异常流量会被基于DPU 加速的先进的防火墙软件所阻止,且不会影响任何业务性能或服务。重要的信息在在传输过程中和落盘都会被加密。从零信任无处不在的假设开始, DOCA 和 DPU 应该作为应用安全的基础来保护所有设备,无处不在。

总结

基于零信任的现代安全方法对于确保当今数据中心的安全至关重要,因为网络内的活动不再能够自动地默认是安全的。

这在边缘业务中更为重要,因为数据中心不再只是有大门、警卫和枪支的大型设施。在边缘地带,工厂、机器人、汽车、商店和无线电发射塔中都有微型数据中心——每个中心都包含有重要的资料。但随着物理访问的可能性出现,传统防火墙无法充分保护这些设备。因此 DPU 从信任硬件根开始,逐层构建安全防护来限制网络访问 —— 保护用户、设备、数据和应用 —— 数据中心内缺一不可。

BlueField DPU 和 DOCA 软件栈为合作伙伴提供了理想的开放基础来构建零信任解决方案,并将它们扩展到网络的所有部分,以解决现代数据中心的网络安全问题。

原文标题:从 DOCA 1.2 起,NVIDIA BlueField DPU 平台将支持零信任安全保障

文章出处:【微信公众号:NVIDIA英伟达】欢迎添加关注!文章转载请注明出处。

审核编辑:彭菁
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 处理器
    +关注

    关注

    68

    文章

    19259

    浏览量

    229655
  • NVIDIA
    +关注

    关注

    14

    文章

    4978

    浏览量

    102994
  • 硬件
    +关注

    关注

    11

    文章

    3313

    浏览量

    66201

原文标题:从 DOCA 1.2 起,NVIDIA BlueField DPU 平台将支持零信任安全保障

文章出处:【微信号:NVIDIA_China,微信公众号:NVIDIA英伟达】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    NVIDIA DOCA 2.9版本的亮点解析

    NVIDIA DOCA通过为开发者提供全面的软件框架以利用硬件加速来增强 NVIDIA 网络平台的功能,从而提高性能、安全性和效率。其 API、库和工具生态系统简化了
    的头像 发表于 11-27 11:15 297次阅读
    <b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> 2.9版本的亮点解析

    NVIDIA DOCA-OFED的主要特性

    NVIDIA DOCA 软件平台释放了 NVIDIA BlueField 网络平台的潜力,并为NVIDIA BlueField和Connec
    的头像 发表于 11-09 13:50 257次阅读

    简单认识NVIDIA网络平台

    BlueField-3 SuperNIC,为多租户生成式 AI 云和大型企业级用户提供了各种至关重要的先进功能。其核心结构是交换机 + SuperNIC(超级网卡)+ LinkX + DOCA 软件开发包 + NCCL 集合通信库。
    的头像 发表于 09-09 09:22 426次阅读

    IB Verbs和NVIDIA DOCA GPUNetIO性能测试

    NVIDIA DOCA GPUNetIO 是 NVIDIA DOCA SDK 中的一个库,专门为实时在线 GPU 数据
    的头像 发表于 08-23 17:03 590次阅读
    IB Verbs和<b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> GPUNetIO性能测试

    英伟达推出全新NVIDIA AI Foundry服务和NVIDIA NIM推理微服务

    NVIDIA 宣布推出全新 NVIDIA AI Foundry 服务和 NVIDIA NIM 推理微服务,与同样刚推出的 Llama 3.1
    的头像 发表于 07-25 09:48 698次阅读

    NVIDIA 通过 Holoscan 为 NVIDIA IGX 提供企业软件支持

    美敦力、SETI 协会以及领先制造商正在构建 NVIDIA IGX 系统,为 AI 在工业边缘赋能。   NVIDIA 于6月2日宣布,集成NVIDIA Holoscan的
    的头像 发表于 06-04 10:21 497次阅读

    NVIDIA宣布全面推出 NVIDIA ACE 生成式 AI 微服务

    NVIDIA ACE 现已全面在云端推出,并在 RTX AI PC 上提供抢先体验,已获戴尔科技、ServiceNow、Aww Inc.、英业达、完美世界游戏等多家客户服务、游戏和医疗健康领域的公司
    的头像 发表于 06-04 10:18 656次阅读

    NVIDIA 通过 Holoscan 为 NVIDIA IGX 提供企业软件支持,实现边缘实时医疗、工业和科学 AI 应用

    美敦力、SETI协会以及领先的制造商正在构建  NVIDIA IGX 系统, 为  AI 在工业边缘赋能     COMPUTEX — 2024 年 6 月 2 日 — NVIDIA 今日宣布,集成
    发表于 06-03 09:48 303次阅读
      <b class='flag-5'>NVIDIA</b> 通过 Holoscan 为 <b class='flag-5'>NVIDIA</b> IGX 提供企业<b class='flag-5'>软件</b>支持,实现边缘实时医疗、工业和科学 AI 应用

    借助NVIDIA DOCA 2.7增强AI 云数据中心和NVIDIA Spectrum-X

    NVIDIA DOCA 加速框架为开发者提供了丰富的库、驱动和 API,以便为 NVIDIA BlueField DPU 和 SuperNIC 创建高性能的应用程序和服务。
    的头像 发表于 05-29 09:22 486次阅读

    MathWorks 与 NVIDIA 联手加速医疗技术领域中软件定义工作流的开发

    到 GPU 加速的 NVIDIA Holoscan 算子中以进行实时数据处理和推断,从而加速流数据分析和可视化应用程序的开发与部署。 医疗设备工程师不仅要适应复杂且不断发展的全球法规,还要跟上使用尖端材料和电子元件的快速技术创新
    的头像 发表于 05-17 10:36 360次阅读
    MathWorks 与 <b class='flag-5'>NVIDIA</b> 联手加速医疗技术领域中<b class='flag-5'>软件</b>定义工作流的开发

    MathWorks与NVIDIA携手革新医疗技术工作流

    在医疗科技领域,软件定义工作流正迎来新的突破。全球知名的数学计算软件巨头MathWorks与图形处理器领导者NVIDIA近日宣布达成深度合作,将MATLAB®
    的头像 发表于 05-11 10:17 371次阅读

    NVIDIA宣布推出基于Omniverse Cloud API构建的全新软件框架

    NVIDIA 在 GTC 大会上宣布推出基于 Omniverse Cloud API(应用编程接口)构建的全新软件框架。
    的头像 发表于 03-25 09:09 531次阅读

    基于NVIDIA DOCA 2.6实现高性能和安全的AI云设计

    作为专为 NVIDIA® BlueField® 网络平台而设计的数据中心基础设施软件框架,NVIDIA® DOCA™ 使广大开发者能够利用其
    的头像 发表于 02-23 10:02 469次阅读

    NVIDIA DOCA 2.5 长期支持版本发布

    基础设施开发者的全面软件框架,NVIDIA DOCA 已被领先的云服务提供商、企业和 ISV 创新者所采用,为开发、优化和部署基于 NVIDIA
    的头像 发表于 12-26 18:25 404次阅读
    <b class='flag-5'>NVIDIA</b> <b class='flag-5'>DOCA</b> 2.5 长期支持版本发布

    数据处理器:DPU编程入门》DPU计算入门书籍测评

    同时介绍了DPU开发: 命令行DPU板卡设置 基于qemu的DPU应用模拟开发(基于DPU的arm64处理器平台) DPU各个模块检查及加载 SNAP虚拟化技术 DOCA应用程序接口框架 DOCA开发
    发表于 12-24 10:54