BlueField DPUs和DOCA軟件棧提供零信任安全

NVIDIA 推出了用于NVIDIA BlueField? DPU的NVIDIA DOCA? 1.2 software，這是世界上最先進的數(shù)據(jù)處理器（ DPU ）。此最新版本定于 11 月底發(fā)布，以DOCA early access program的勢頭為基礎(chǔ)，使合作伙伴和客戶能夠加快 DPU 上應用程序和整體零信任解決方案的開發(fā)。新的認證、認證、隔離和監(jiān)視功能使得 BlueField 成為零信任分布式安全平臺的理想基礎(chǔ)。

以前，外圍安全足以保護數(shù)據(jù)中心免受外部威脅，因為數(shù)據(jù)中心內(nèi)的用戶、設備、數(shù)據(jù)和應用程序都是隱式受信任的。但有了云，軟件即服務的私有云，您可以將自己的設備（ BYOD ）和下載大量應用程序的用戶帶入數(shù)據(jù)中心，這種默示的信任不再被擔?；蚪邮?。因此，零信任模型認識到，數(shù)據(jù)中心內(nèi)部的資源不可能比外部的資源更受信任。零信任首先假設所有用戶、設備、應用程序和數(shù)據(jù)，甚至網(wǎng)絡外圍內(nèi)的用戶、設備、應用程序和數(shù)據(jù)都不受信任。

零信任要求企業(yè)利用基于用戶的微細分和細粒度授權(quán)實施。分析用戶的權(quán)限、位置、訪問數(shù)據(jù)的需要和行為歷史將確定是否信任用戶、設備或應用程序訪問特定資源。它監(jiān)控每個用戶、應用程序和服務器的行為，并使用以下技術(shù)檢查網(wǎng)絡每個部分的流量：；多因素身份驗證、基于角色的訪問控制、下一代分布式防火墻和深度數(shù)據(jù)包檢查。對用戶和設備進行身份驗證，以確保只有經(jīng)過授權(quán)的用戶才具有訪問權(quán)限，而加密可確保隱私 。零信任調(diào)用僅授予用戶完成每個特定任務所需的訪問權(quán)限，而不授予其他權(quán)限。

零信任網(wǎng)絡安全模型認識到網(wǎng)絡內(nèi)外的每一個人和每一件事都必須經(jīng)過身份驗證、監(jiān)控和分割。即使經(jīng)過身份驗證，所有操作都應該隔離，同時使用加密保護傳輸中和靜止的數(shù)據(jù)，以在安全性受到威脅時將未經(jīng)授權(quán)的數(shù)據(jù)訪問的爆炸半徑降至最低。

Bluefield DPU 重新定義了安全域，并為零信任保護提供了一流的基礎(chǔ)。 DPU 可在每臺主機和所有網(wǎng)絡流量上通過加密、細粒度訪問控制和微分段實現(xiàn)網(wǎng)絡篩選。 BlueField 提供隔離，在與主機域分離的信任域中部署安全代理。如果主機受損，這種隔離將阻止惡意軟件訪問安全軟件，從而幫助防止攻擊擴散到其他服務器。

BlueField DPU 和 DOCA 為數(shù)據(jù)中心的所有層帶來零信任

BlueField DPUs 和 DOCA 為零信任提供了基礎(chǔ)。從硬件信任根開始，以確保 DPU 本身的完整性，我們可以向每一層添加信任。這包括將認證、身份驗證和監(jiān)視帶到計算機、應用程序和數(shù)據(jù)的每個接觸點，包括服務器、容器、存儲、網(wǎng)絡基礎(chǔ)設施，當然還有人。

圖 1:BlueField DPU 和 DOCA 為零信任提供了基礎(chǔ)。

BlueField DPUs 和 DOCA 為合作伙伴和客戶提供了構(gòu)建整體零信任解決方案的基礎(chǔ)平臺。藍田 DPU 提供了三個關(guān)鍵能力作為本基金會的一部分，包括：

驗證平臺的能力包括：

DPU 基于硬件信任根的安全和測量引導。

基于 DICE 的平臺和 DPU 軟件的遠程認證。 DICE 是一系列用于基于硬件的加密設備標識、認證和數(shù)據(jù)加密的硬件和軟件技術(shù)。

用于加速身份驗證、訪問控制和加密的工具。

使用公鑰加密技術(shù)卸載身份驗證和認證。

通過軟件定義、硬件加速的微分段和有狀態(tài)連接跟蹤，控制對資產(chǎn)和數(shù)據(jù)的訪問。

加快在線和靜態(tài)數(shù)據(jù)的加密。

實施“仍然不信任始終驗證”的立場

通過 DOCA 遙測監(jiān)測網(wǎng)絡流量并報告可疑活動。

在獨立于 CPU /應用程序的域中隔離軟件。

保護主機應用程序免受損壞或惡意修改。

以前的“信任，有時驗證”概念現(xiàn)在變成了“不信任、驗證和證明，然后仍然不信任，因此始終監(jiān)視和驗證”。核心假設是，即使在驗證之后，任何資產(chǎn)都可能受到損害，因此需要持續(xù)的活動監(jiān)視來保護用戶、設備、，和數(shù)據(jù)。

BlueField DPU 通過提供具有唯一設備 ID 的硬件信任根，在最低級別實現(xiàn)了這一點。然后，它執(zhí)行一個測量的安全引導，以驗證 DPU 上運行的所有軟件都經(jīng)過簽名和身份驗證。度量引導解決了引導映像可以正確簽名和身份驗證的問題，然后實際的引導過程被破壞以加載不同的或附加的代碼。安全引導和測量引導都依賴于硬件信任根作為擴展信任鏈的起點。度量計算簽名映像的安全散列，然后度量它是否確實是在安全引導過程中加載的映像。

一旦 DPU 的完整性得到驗證， BlueField 就能夠加速公鑰/密鑰認證，并將信任鏈擴展到其他應用程序、設備和用戶。

BlueField 還充當加速 SDN 平臺，使用基于角色的訪問控制（ RBAC ）和微分段限制每個應用程序或用戶對資產(chǎn)的訪問。例如，需要分析一個存儲設備上的數(shù)據(jù)并將其傳遞給用戶的容器化應用程序可以放在自己的網(wǎng)段上。在那里，它只能看到存儲設備、用戶，而不能看到其他任何東西。使用安全組、網(wǎng)絡微分段和基于角色的動態(tài)訪問控制，可防止任何惡意軟件通過內(nèi)部東西方流量傳播。

在“仍然不信任”方面， BlueField 加速了 TLS 和 IPsec 加密以及存儲加密。這使得加密鏈接可以在零 CPU 負載下以 200 Gb / s 的速度運行。這意味著，在零信任框架中，多層加密總是可取的——現(xiàn)在可以更高效地執(zhí)行。這使得加密適用于所有服務器和所有網(wǎng)絡流量，在此之前，除了在少數(shù)網(wǎng)站 和 VPN 連接上，實現(xiàn)加密的計算成本太高。所有網(wǎng)絡連接和存儲都加密后，任何侵入網(wǎng)絡的對手都將無法訪問數(shù)據(jù)。

BlueField 利用 DPU 內(nèi)置的遙測技術(shù)，提供對一切的持續(xù)監(jiān)控，并在可疑活動發(fā)生時向 SIEM 和 XDR 系統(tǒng)發(fā)出警報。網(wǎng)絡遙測可以輸入NVIDIA Morpheus——這是 NVIDIA 的人工智能加速、可擴展的網(wǎng)絡安全框架。這允許合作伙伴執(zhí)行可擴展的 AI 惡意軟件檢測、 ID / IP 和自動隔離受損資產(chǎn)。 DOCA 加上 Morpheus 還可以使用 AI 識別非惡意但嚴重的問題，如配置錯誤的服務器和過時的軟件。它甚至可以檢測到敏感信息（如密碼、信用卡號碼或醫(yī)療信息）在需要加密時被透明傳輸?shù)那闆r。

現(xiàn)在，當不可避免的網(wǎng)絡入侵發(fā)生時，多層保護將限制爆炸半徑。 DPU 保護和認證系統(tǒng)完整性，隔離威脅并保護安全軟件代理。由于 RBAC 和微分段，受感染的服務器或 VM 將只能訪問少數(shù)其他資產(chǎn)。受損應用程序通過App Shield。 DOCA 遙測與 Morpheus 一起檢測可疑網(wǎng)絡流量。異常流量被運行 DPU 的領(lǐng)先防火墻軟件阻止，該軟件加速了安全性，并且沒有任何性能或服務降級。有價值的信息在飛行和休息時都會被加密。從零信任的假設開始， DOCA 和 DPU 作為安全應用的基礎(chǔ)，保護所有資產(chǎn)，無處不在。

總結(jié)

基于零信任的現(xiàn)代安全方法對于確保當今數(shù)據(jù)中心的安全至關(guān)重要，因為周界內(nèi)的活動不再能夠自動被認為是安全的。

這在邊緣地區(qū)更為重要，因為數(shù)據(jù)中心不再只是有大門、警衛(wèi)和槍支的大型設施。在邊緣地帶，工廠、機器人、汽車、商店和無線電發(fā)射塔中都有微型數(shù)據(jù)中心——每個中心都包含有價值的資產(chǎn)。但由于物理訪問是可能的，傳統(tǒng)防火墻無法充分保護這些設備。因此 DPU 從信任的硬件基礎(chǔ)開始，逐層構(gòu)建安全性，并限制網(wǎng)絡訪問——保護用戶、設備、數(shù)據(jù)和應用程序——所有這些都在數(shù)據(jù)中心集合。

BlueField DPUs 和 DOCA 軟件棧為合作伙伴構(gòu)建理想的開放基礎(chǔ)提供了零信任解決方案，并將它們擴展到網(wǎng)絡的所有部分，以解決現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡安全問題。

關(guān)于作者

Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后，目前擔任 NVIDIA 的產(chǎn)品營銷總監(jiān)。 Scott 在產(chǎn)品營銷和產(chǎn)品管理方面擁有 20 多年的經(jīng)驗，擅長在高增長環(huán)境下啟動新的業(yè)務線，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學院獲得生物醫(yī)學計算學士學位，在巴布森學院獲得市場營銷工商管理碩士學位。

John Kim 是 NVIDIA 網(wǎng)絡事業(yè)部的存儲市場總監(jiān)，致力于幫助客戶和供應商從高性能網(wǎng)絡連接、智能網(wǎng)卡卸載和遠程直接數(shù)據(jù)存取 （RDMA） 中獲益，尤其是在存儲、大數(shù)據(jù)和人工智能領(lǐng)域。

審核編輯：郭婷