近日， NVIDIA 推出了面向世界領(lǐng)先的數(shù)據(jù)處理器（ DPU ）—— NVIDIA BlueField DPU 的 NVIDIA DOCA 1.2 軟件。此最新版本已經(jīng)發(fā)布，借 DOCA 搶先體驗(yàn)計(jì)劃之強(qiáng)勁勢(shì)頭，使合作伙伴和客戶能夠加快 DPU 上的應(yīng)用開發(fā)和完全零信任解決方案的開發(fā)。新的鑒別、認(rèn)證、隔離和監(jiān)視功能使得 BlueField 成為基于零信任的分布式安全平臺(tái)的理想基礎(chǔ)。

以前，外圍安全方案足以保護(hù)數(shù)據(jù)中心免受外部威脅，因?yàn)閿?shù)據(jù)中心內(nèi)的用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序都被默認(rèn)是受信任的。但是隨著云，私有云，軟件即服務(wù)， BYOD（將自己的設(shè)備接入數(shù)據(jù)中心）和用戶下載大量應(yīng)用程序到數(shù)據(jù)中心等趨勢(shì)的發(fā)展，這種默認(rèn)的信任不能再得到保障或是被接受。因此，零信任模型認(rèn)識(shí)到，數(shù)據(jù)中心內(nèi)部的資源和外部的資源一樣，不能再被信任。零信任就是首先假設(shè)所有用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)，即使是在網(wǎng)絡(luò)內(nèi)部，都不受信任。

零信任要求企業(yè)對(duì)于用戶進(jìn)行微分段和細(xì)粒度授權(quán)。通過分析用戶的權(quán)限、位置、訪問數(shù)據(jù)的需要和行為歷史等，來確定是否信任該用戶、設(shè)備或應(yīng)用程序去訪問特定資源。它監(jiān)控每個(gè)用戶、應(yīng)用程序和服務(wù)器的行為，并使用以下技術(shù)檢查網(wǎng)絡(luò)中每部分的流量：多因素身份驗(yàn)證、基于角色的訪問控制、下一代分布式防火墻和深度數(shù)據(jù)包檢查。通過對(duì)用戶和設(shè)備進(jìn)行身份驗(yàn)證，以確保只有經(jīng)過授權(quán)的用戶才具有訪問權(quán)限，并通過加密來確保隱私 。零信任要求僅授予用戶完成每個(gè)特定任務(wù)所需的訪問權(quán)限，而不授予其它權(quán)限。

基于零信任的網(wǎng)絡(luò)安全模型可以識(shí)別網(wǎng)絡(luò)內(nèi)外的每個(gè)人和每件事，都必須被身份驗(yàn)證、被監(jiān)控和被分段。即使經(jīng)過身份驗(yàn)證，所有操作也都應(yīng)該被隔離，同時(shí)通過加密來保護(hù)傳輸中的數(shù)據(jù)和靜止的數(shù)據(jù)，以在安全受到威脅時(shí)將未授權(quán)數(shù)據(jù)訪問的影響半徑降至最低。

BlueField DPU 通過面向零信任保護(hù)的先進(jìn)的基礎(chǔ)技術(shù)重新定義了安全邊界，DPU 可在每臺(tái)主機(jī)和所有網(wǎng)絡(luò)流量上通過加密、細(xì)粒度訪問控制和微分段實(shí)現(xiàn)了網(wǎng)絡(luò)的篩選。BlueField 提供隔離，在與主機(jī)域分離的信任域中部署安全代理。如果主機(jī)受損，這種隔離將阻止惡意軟件訪問安全軟件，從而幫助防止攻擊擴(kuò)散到其它服務(wù)器。

BlueField DPU 和 DOCA

為數(shù)據(jù)中心提供從上到下的零信任保護(hù)

BlueField DPU 和 DOCA 是零信任保護(hù)的基礎(chǔ)。從硬件信任根開始，首先確保 DPU 本身的完整性，然后再逐層添加信任機(jī)制，包括對(duì)計(jì)算機(jī)、應(yīng)用及數(shù)據(jù)的每個(gè)相關(guān)接觸點(diǎn)都進(jìn)行認(rèn)證、身份驗(yàn)證和監(jiān)視涵蓋服務(wù)器、容器、存儲(chǔ)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施，當(dāng)然還有人。

圖 1. BlueField DPU 和 DOCA 是零信任保護(hù)的基礎(chǔ)。

BlueField DPU 和 DOCA 為合作伙伴和客戶提供了構(gòu)建完整零信任解決方案的基礎(chǔ)平臺(tái)。在此，我們將重點(diǎn)介紹三個(gè) BlueField DPU 的關(guān)鍵能力，包括：

驗(yàn)證平臺(tái)的能力，包括：

a. 基于硬件信任根的安全的和可測(cè)量 的DPU啟動(dòng)。

b. 基于 DICE 的驗(yàn)證平臺(tái)和 DPU 軟件的遠(yuǎn)程認(rèn)證。DICE 是一整套基于硬件密碼寫的設(shè)備標(biāo)識(shí)、認(rèn)證和數(shù)據(jù)加密的軟硬件技術(shù)。

用于加速身份驗(yàn)證、訪問控制和加密的工具。

a. 使用公鑰加密技術(shù)卸載身份驗(yàn)證和認(rèn)證。

b. 通過軟件定義、硬件加速的微分段和有狀態(tài)連接跟蹤，控制對(duì)設(shè)備和數(shù)據(jù)的訪問。

c. 加速在線數(shù)據(jù)和靜態(tài)數(shù)據(jù)的加密。

堅(jiān)持 “永不信任，始終驗(yàn)證” 的立場(chǎng)。

a. 通過 DOCA 的遙測(cè)技術(shù)監(jiān)測(cè)網(wǎng)絡(luò)流量并報(bào)告可疑活動(dòng)。

b. 將安全隔離軟件在CPU /應(yīng)用之外的域中。

c. 保護(hù)主機(jī)應(yīng)用免受損壞或惡意修改。

以前的 “信任，有時(shí)驗(yàn)證” 概念現(xiàn)在變成了 “不信任、驗(yàn)證和證明，然后仍然不信任，始終保持監(jiān)視和驗(yàn)證”。核心假設(shè)是，即使在驗(yàn)證之后，任何設(shè)備仍可能受到損害，因此需要持續(xù)地監(jiān)視以保護(hù)用戶、設(shè)備和數(shù)據(jù)。

BlueField DPU 通過提供具有唯一設(shè)備 ID 的硬件信任根，從最底層實(shí)現(xiàn)了上述要求。然后，它執(zhí)行一個(gè)可測(cè)量的安全啟動(dòng)，以驗(yàn)證 DPU 上運(yùn)行的所有軟件都經(jīng)過簽名和身份驗(yàn)證?？蓽y(cè)量的啟動(dòng)解決了啟動(dòng)鏡像可以被正確地簽名和進(jìn)行身份驗(yàn)證的問題以及實(shí)際的啟動(dòng)過程被破壞從而加載了不同的或附加的代碼等問題。安全啟動(dòng)和可測(cè)量啟動(dòng)都依賴于硬件信任根作為起點(diǎn)來擴(kuò)展信任鏈。通過測(cè)量先計(jì)算出一個(gè)被簽名的鏡像的安全哈希值，然后在安全啟動(dòng)過程中用它來測(cè)量是否是加載了正確的鏡像。

一旦 DPU 的完整性得到驗(yàn)證， BlueField 就能夠加速公鑰/密鑰認(rèn)證，并將信任鏈擴(kuò)展到其它應(yīng)用、設(shè)備和用戶。

BlueField 還可以作為一個(gè)加速的 SDN 平臺(tái)，使用基于角色的訪問控制（ RBAC ）和微分段來限制每個(gè)應(yīng)用或用戶對(duì)設(shè)備的訪問。例如，一個(gè)容器化的應(yīng)用需要分析在一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)，并將其傳送給一個(gè)用戶，就可以放在自己的網(wǎng)絡(luò)分段上。在那里，它只能看到存儲(chǔ)設(shè)備、用戶，再不能看到其它任何東西。使用安全組、網(wǎng)絡(luò)微分段和基于角色的動(dòng)態(tài)訪問控制，可防止任何惡意軟件通過內(nèi)部的東西向流量傳播。

在 “永不信任” 方面， BlueField 通過對(duì) TLS 和 IPsec 加密以及存儲(chǔ)加密的加速，使得加密鏈路可以在零 CPU 負(fù)載下以 200 Gb / s 的速度工作。這意味著在零信任框架下所期望的多層加密，現(xiàn)在可以高效地實(shí)現(xiàn)，這使得我們可以對(duì)所有的服務(wù)器和所有的網(wǎng)絡(luò)流量都進(jìn)行加密，而之前，由于實(shí)現(xiàn)全部加密需要消耗大量的計(jì)算資源，我們只能對(duì)少數(shù)網(wǎng)站 和 VPN 連接進(jìn)行加密。通過對(duì)所有網(wǎng)絡(luò)連接和存儲(chǔ)都加密，任何壞人即使侵入了網(wǎng)絡(luò)，但卻無法訪問數(shù)據(jù)。

利用 DPU 內(nèi)置的遙測(cè)技術(shù)，BlueField 可以對(duì)一切事物進(jìn)行不間斷監(jiān)控，并在可疑活動(dòng)發(fā)生時(shí)向 SIEM 和 XDR 系統(tǒng)發(fā)出警報(bào)。網(wǎng)絡(luò)遙測(cè)結(jié)果可以被輸入到NVIDIA Morpheus ——這是 NVIDIA 基于人工智能加速的、可擴(kuò)展的網(wǎng)絡(luò)安全框架。讓合作伙伴執(zhí)行可擴(kuò)展的 AI 惡意軟件檢測(cè)、 IDS / IPS 和自動(dòng)隔離受損設(shè)備。DOCA 配合 Morpheus 還可以通過 AI 技術(shù)識(shí)別非惡意但是嚴(yán)重的問題，如配置錯(cuò)誤的服務(wù)器和過期的軟件。它甚至可以檢測(cè)到那些需要加密的敏感信息（如密碼、信用卡號(hào)碼或醫(yī)療信息等）被以明文傳輸?shù)那闆r。

現(xiàn)在，當(dāng)不可避免的網(wǎng)絡(luò)入侵發(fā)生時(shí)，多層保護(hù)將限制其影響半徑。DPU 保護(hù)和認(rèn)證系統(tǒng)的完整性，隔離威脅并保護(hù)安全軟件代理。借助于 RBAC 和微分段，受影響的服務(wù)器或 VM 將只能訪問少數(shù)其它設(shè)備。通過 App Shield 可以識(shí)別出受損應(yīng)用。DOCA 遙測(cè)與 Morpheus 一起檢測(cè)可疑網(wǎng)絡(luò)流量，異常流量會(huì)被基于DPU 加速的先進(jìn)的防火墻軟件所阻止，且不會(huì)影響任何業(yè)務(wù)性能或服務(wù)。重要的信息在在傳輸過程中和落盤都會(huì)被加密。從零信任無處不在的假設(shè)開始， DOCA 和 DPU 應(yīng)該作為應(yīng)用安全的基礎(chǔ)來保護(hù)所有設(shè)備，無處不在。

總結(jié)

基于零信任的現(xiàn)代安全方法對(duì)于確保當(dāng)今數(shù)據(jù)中心的安全至關(guān)重要，因?yàn)榫W(wǎng)絡(luò)內(nèi)的活動(dòng)不再能夠自動(dòng)地默認(rèn)是安全的。

這在邊緣業(yè)務(wù)中更為重要，因?yàn)閿?shù)據(jù)中心不再只是有大門、警衛(wèi)和槍支的大型設(shè)施。在邊緣地帶，工廠、機(jī)器人、汽車、商店和無線電發(fā)射塔中都有微型數(shù)據(jù)中心——每個(gè)中心都包含有重要的資料。但隨著物理訪問的可能性出現(xiàn)，傳統(tǒng)防火墻無法充分保護(hù)這些設(shè)備。因此 DPU 從信任硬件根開始，逐層構(gòu)建安全防護(hù)來限制網(wǎng)絡(luò)訪問 —— 保護(hù)用戶、設(shè)備、數(shù)據(jù)和應(yīng)用 —— 數(shù)據(jù)中心內(nèi)缺一不可。

BlueField DPU 和 DOCA 軟件棧為合作伙伴提供了理想的開放基礎(chǔ)來構(gòu)建零信任解決方案，并將它們擴(kuò)展到網(wǎng)絡(luò)的所有部分，以解決現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題。

原文標(biāo)題：從 DOCA 1.2 起，NVIDIA BlueField DPU 平臺(tái)將支持零信任安全保障

文章出處：【微信公眾號(hào)：NVIDIA英偉達(dá)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。