近日， NVIDIA 推出了面向世界領先的數(shù)據(jù)處理器（ DPU ）—— NVIDIA BlueField DPU 的 NVIDIA DOCA 1.2 軟件。此最新版本已經(jīng)發(fā)布，借 DOCA 搶先體驗計劃之強勁勢頭，使合作伙伴和客戶能夠加快 DPU 上的應用開發(fā)和完全零信任解決方案的開發(fā)。新的鑒別、認證、隔離和監(jiān)視功能使得 BlueField 成為基于零信任的分布式安全平臺的理想基礎。

以前，外圍安全方案足以保護數(shù)據(jù)中心免受外部威脅，因為數(shù)據(jù)中心內的用戶、設備、數(shù)據(jù)和應用程序都被默認是受信任的。但是隨著云，私有云，軟件即服務， BYOD（將自己的設備接入數(shù)據(jù)中心）和用戶下載大量應用程序到數(shù)據(jù)中心等趨勢的發(fā)展，這種默認的信任不能再得到保障或是被接受。因此，零信任模型認識到，數(shù)據(jù)中心內部的資源和外部的資源一樣，不能再被信任。零信任就是首先假設所有用戶、設備、應用程序和數(shù)據(jù)，即使是在網(wǎng)絡內部，都不受信任。

零信任要求企業(yè)對于用戶進行微分段和細粒度授權。通過分析用戶的權限、位置、訪問數(shù)據(jù)的需要和行為歷史等，來確定是否信任該用戶、設備或應用程序去訪問特定資源。它監(jiān)控每個用戶、應用程序和服務器的行為，并使用以下技術檢查網(wǎng)絡中每部分的流量：多因素身份驗證、基于角色的訪問控制、下一代分布式防火墻和深度數(shù)據(jù)包檢查。通過對用戶和設備進行身份驗證，以確保只有經(jīng)過授權的用戶才具有訪問權限，并通過加密來確保隱私 。零信任要求僅授予用戶完成每個特定任務所需的訪問權限，而不授予其它權限。

基于零信任的網(wǎng)絡安全模型可以識別網(wǎng)絡內外的每個人和每件事，都必須被身份驗證、被監(jiān)控和被分段。即使經(jīng)過身份驗證，所有操作也都應該被隔離，同時通過加密來保護傳輸中的數(shù)據(jù)和靜止的數(shù)據(jù)，以在安全受到威脅時將未授權數(shù)據(jù)訪問的影響半徑降至最低。

BlueField DPU 通過面向零信任保護的先進的基礎技術重新定義了安全邊界，DPU 可在每臺主機和所有網(wǎng)絡流量上通過加密、細粒度訪問控制和微分段實現(xiàn)了網(wǎng)絡的篩選。BlueField 提供隔離，在與主機域分離的信任域中部署安全代理。如果主機受損，這種隔離將阻止惡意軟件訪問安全軟件，從而幫助防止攻擊擴散到其它服務器。

BlueField DPU 和 DOCA

為數(shù)據(jù)中心提供從上到下的零信任保護

BlueField DPU 和 DOCA 是零信任保護的基礎。從硬件信任根開始，首先確保 DPU 本身的完整性，然后再逐層添加信任機制，包括對計算機、應用及數(shù)據(jù)的每個相關接觸點都進行認證、身份驗證和監(jiān)視涵蓋服務器、容器、存儲、網(wǎng)絡基礎設施，當然還有人。

圖 1. BlueField DPU 和 DOCA 是零信任保護的基礎。

BlueField DPU 和 DOCA 為合作伙伴和客戶提供了構建完整零信任解決方案的基礎平臺。在此，我們將重點介紹三個 BlueField DPU 的關鍵能力，包括：

驗證平臺的能力，包括：

a. 基于硬件信任根的安全的和可測量 的DPU啟動。

b. 基于 DICE 的驗證平臺和 DPU 軟件的遠程認證。DICE 是一整套基于硬件密碼寫的設備標識、認證和數(shù)據(jù)加密的軟硬件技術。

用于加速身份驗證、訪問控制和加密的工具。

a. 使用公鑰加密技術卸載身份驗證和認證。

b. 通過軟件定義、硬件加速的微分段和有狀態(tài)連接跟蹤，控制對設備和數(shù)據(jù)的訪問。

c. 加速在線數(shù)據(jù)和靜態(tài)數(shù)據(jù)的加密。

堅持 “永不信任，始終驗證” 的立場。

a. 通過 DOCA 的遙測技術監(jiān)測網(wǎng)絡流量并報告可疑活動。

b. 將安全隔離軟件在CPU /應用之外的域中。

c. 保護主機應用免受損壞或惡意修改。

以前的 “信任，有時驗證” 概念現(xiàn)在變成了 “不信任、驗證和證明，然后仍然不信任，始終保持監(jiān)視和驗證”。核心假設是，即使在驗證之后，任何設備仍可能受到損害，因此需要持續(xù)地監(jiān)視以保護用戶、設備和數(shù)據(jù)。

BlueField DPU 通過提供具有唯一設備 ID 的硬件信任根，從最底層實現(xiàn)了上述要求。然后，它執(zhí)行一個可測量的安全啟動，以驗證 DPU 上運行的所有軟件都經(jīng)過簽名和身份驗證。可測量的啟動解決了啟動鏡像可以被正確地簽名和進行身份驗證的問題以及實際的啟動過程被破壞從而加載了不同的或附加的代碼等問題。安全啟動和可測量啟動都依賴于硬件信任根作為起點來擴展信任鏈。通過測量先計算出一個被簽名的鏡像的安全哈希值，然后在安全啟動過程中用它來測量是否是加載了正確的鏡像。

一旦 DPU 的完整性得到驗證， BlueField 就能夠加速公鑰/密鑰認證，并將信任鏈擴展到其它應用、設備和用戶。

BlueField 還可以作為一個加速的 SDN 平臺，使用基于角色的訪問控制（ RBAC ）和微分段來限制每個應用或用戶對設備的訪問。例如，一個容器化的應用需要分析在一個存儲設備上的數(shù)據(jù)，并將其傳送給一個用戶，就可以放在自己的網(wǎng)絡分段上。在那里，它只能看到存儲設備、用戶，再不能看到其它任何東西。使用安全組、網(wǎng)絡微分段和基于角色的動態(tài)訪問控制，可防止任何惡意軟件通過內部的東西向流量傳播。

在 “永不信任” 方面， BlueField 通過對 TLS 和 IPsec 加密以及存儲加密的加速，使得加密鏈路可以在零 CPU 負載下以 200 Gb / s 的速度工作。這意味著在零信任框架下所期望的多層加密，現(xiàn)在可以高效地實現(xiàn)，這使得我們可以對所有的服務器和所有的網(wǎng)絡流量都進行加密，而之前，由于實現(xiàn)全部加密需要消耗大量的計算資源，我們只能對少數(shù)網(wǎng)站 和 VPN 連接進行加密。通過對所有網(wǎng)絡連接和存儲都加密，任何壞人即使侵入了網(wǎng)絡，但卻無法訪問數(shù)據(jù)。

利用 DPU 內置的遙測技術，BlueField 可以對一切事物進行不間斷監(jiān)控，并在可疑活動發(fā)生時向 SIEM 和 XDR 系統(tǒng)發(fā)出警報。網(wǎng)絡遙測結果可以被輸入到NVIDIA Morpheus ——這是 NVIDIA 基于人工智能加速的、可擴展的網(wǎng)絡安全框架。讓合作伙伴執(zhí)行可擴展的 AI 惡意軟件檢測、 IDS / IPS 和自動隔離受損設備。DOCA 配合 Morpheus 還可以通過 AI 技術識別非惡意但是嚴重的問題，如配置錯誤的服務器和過期的軟件。它甚至可以檢測到那些需要加密的敏感信息（如密碼、信用卡號碼或醫(yī)療信息等）被以明文傳輸?shù)那闆r。

現(xiàn)在，當不可避免的網(wǎng)絡入侵發(fā)生時，多層保護將限制其影響半徑。DPU 保護和認證系統(tǒng)的完整性，隔離威脅并保護安全軟件代理。借助于 RBAC 和微分段，受影響的服務器或 VM 將只能訪問少數(shù)其它設備。通過 App Shield 可以識別出受損應用。DOCA 遙測與 Morpheus 一起檢測可疑網(wǎng)絡流量，異常流量會被基于DPU 加速的先進的防火墻軟件所阻止，且不會影響任何業(yè)務性能或服務。重要的信息在在傳輸過程中和落盤都會被加密。從零信任無處不在的假設開始， DOCA 和 DPU 應該作為應用安全的基礎來保護所有設備，無處不在。

總結

基于零信任的現(xiàn)代安全方法對于確保當今數(shù)據(jù)中心的安全至關重要，因為網(wǎng)絡內的活動不再能夠自動地默認是安全的。

這在邊緣業(yè)務中更為重要，因為數(shù)據(jù)中心不再只是有大門、警衛(wèi)和槍支的大型設施。在邊緣地帶，工廠、機器人、汽車、商店和無線電發(fā)射塔中都有微型數(shù)據(jù)中心——每個中心都包含有重要的資料。但隨著物理訪問的可能性出現(xiàn)，傳統(tǒng)防火墻無法充分保護這些設備。因此 DPU 從信任硬件根開始，逐層構建安全防護來限制網(wǎng)絡訪問 —— 保護用戶、設備、數(shù)據(jù)和應用 —— 數(shù)據(jù)中心內缺一不可。

BlueField DPU 和 DOCA 軟件棧為合作伙伴提供了理想的開放基礎來構建零信任解決方案，并將它們擴展到網(wǎng)絡的所有部分，以解決現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡安全問題。

原文標題：從 DOCA 1.2 起，NVIDIA BlueField DPU 平臺將支持零信任安全保障

文章出處：【微信公眾號：NVIDIA英偉達】歡迎添加關注！文章轉載請注明出處。