NVIDIA 推出了用于NVIDIA BlueField? DPU的NVIDIA DOCA? 1.2 software，這是世界上最先進的數據處理器（ DPU ）。此最新版本定于 11 月底發布，以DOCA early access program的勢頭為基礎，使合作伙伴和客戶能夠加快 DPU 上應用程序和整體零信任解決方案的開發。新的認證、認證、隔離和監視功能使得 BlueField 成為零信任分布式安全平臺的理想基礎。

以前，外圍安全足以保護數據中心免受外部威脅，因為數據中心內的用戶、設備、數據和應用程序都是隱式受信任的。但有了云，軟件即服務的私有云，您可以將自己的設備（ BYOD ）和下載大量應用程序的用戶帶入數據中心，這種默示的信任不再被擔保或接受。因此，零信任模型認識到，數據中心內部的資源不可能比外部的資源更受信任。零信任首先假設所有用戶、設備、應用程序和數據，甚至網絡外圍內的用戶、設備、應用程序和數據都不受信任。

零信任要求企業利用基于用戶的微細分和細粒度授權實施。分析用戶的權限、位置、訪問數據的需要和行為歷史將確定是否信任用戶、設備或應用程序訪問特定資源。它監控每個用戶、應用程序和服務器的行為，并使用以下技術檢查網絡每個部分的流量：；多因素身份驗證、基于角色的訪問控制、下一代分布式防火墻和深度數據包檢查。對用戶和設備進行身份驗證，以確保只有經過授權的用戶才具有訪問權限，而加密可確保隱私 。零信任調用僅授予用戶完成每個特定任務所需的訪問權限，而不授予其他權限。

零信任網絡安全模型認識到網絡內外的每一個人和每一件事都必須經過身份驗證、監控和分割。即使經過身份驗證，所有操作都應該隔離，同時使用加密保護傳輸中和靜止的數據，以在安全性受到威脅時將未經授權的數據訪問的爆炸半徑降至最低。

Bluefield DPU 重新定義了安全域，并為零信任保護提供了一流的基礎。 DPU 可在每臺主機和所有網絡流量上通過加密、細粒度訪問控制和微分段實現網絡篩選。 BlueField 提供隔離，在與主機域分離的信任域中部署安全代理。如果主機受損，這種隔離將阻止惡意軟件訪問安全軟件，從而幫助防止攻擊擴散到其他服務器。

BlueField DPU 和 DOCA 為數據中心的所有層帶來零信任

BlueField DPUs 和 DOCA 為零信任提供了基礎。從硬件信任根開始，以確保 DPU 本身的完整性，我們可以向每一層添加信任。這包括將認證、身份驗證和監視帶到計算機、應用程序和數據的每個接觸點，包括服務器、容器、存儲、網絡基礎設施，當然還有人。

圖 1:BlueField DPU 和 DOCA 為零信任提供了基礎。

BlueField DPUs 和 DOCA 為合作伙伴和客戶提供了構建整體零信任解決方案的基礎平臺。藍田 DPU 提供了三個關鍵能力作為本基金會的一部分，包括：

驗證平臺的能力包括：

DPU 基于硬件信任根的安全和測量引導。

基于 DICE 的平臺和 DPU 軟件的遠程認證。 DICE 是一系列用于基于硬件的加密設備標識、認證和數據加密的硬件和軟件技術。

用于加速身份驗證、訪問控制和加密的工具。

使用公鑰加密技術卸載身份驗證和認證。

通過軟件定義、硬件加速的微分段和有狀態連接跟蹤，控制對資產和數據的訪問。

加快在線和靜態數據的加密。

實施“仍然不信任始終驗證”的立場

通過 DOCA 遙測監測網絡流量并報告可疑活動。

在獨立于 CPU /應用程序的域中隔離軟件。

保護主機應用程序免受損壞或惡意修改。

以前的“信任，有時驗證”概念現在變成了“不信任、驗證和證明，然后仍然不信任，因此始終監視和驗證”。核心假設是，即使在驗證之后，任何資產都可能受到損害，因此需要持續的活動監視來保護用戶、設備、，和數據。

BlueField DPU 通過提供具有唯一設備 ID 的硬件信任根，在最低級別實現了這一點。然后，它執行一個測量的安全引導，以驗證 DPU 上運行的所有軟件都經過簽名和身份驗證。度量引導解決了引導映像可以正確簽名和身份驗證的問題，然后實際的引導過程被破壞以加載不同的或附加的代碼。安全引導和測量引導都依賴于硬件信任根作為擴展信任鏈的起點。度量計算簽名映像的安全散列，然后度量它是否確實是在安全引導過程中加載的映像。

一旦 DPU 的完整性得到驗證， BlueField 就能夠加速公鑰/密鑰認證，并將信任鏈擴展到其他應用程序、設備和用戶。

BlueField 還充當加速 SDN 平臺，使用基于角色的訪問控制（ RBAC ）和微分段限制每個應用程序或用戶對資產的訪問。例如，需要分析一個存儲設備上的數據并將其傳遞給用戶的容器化應用程序可以放在自己的網段上。在那里，它只能看到存儲設備、用戶，而不能看到其他任何東西。使用安全組、網絡微分段和基于角色的動態訪問控制，可防止任何惡意軟件通過內部東西方流量傳播。

在“仍然不信任”方面， BlueField 加速了 TLS 和 IPsec 加密以及存儲加密。這使得加密鏈接可以在零 CPU 負載下以 200 Gb / s 的速度運行。這意味著，在零信任框架中，多層加密總是可取的——現在可以更高效地執行。這使得加密適用于所有服務器和所有網絡流量，在此之前，除了在少數網站 和 VPN 連接上，實現加密的計算成本太高。所有網絡連接和存儲都加密后，任何侵入網絡的對手都將無法訪問數據。

BlueField 利用 DPU 內置的遙測技術，提供對一切的持續監控，并在可疑活動發生時向 SIEM 和 XDR 系統發出警報。網絡遙測可以輸入NVIDIA Morpheus——這是 NVIDIA 的人工智能加速、可擴展的網絡安全框架。這允許合作伙伴執行可擴展的 AI 惡意軟件檢測、 ID / IP 和自動隔離受損資產。 DOCA 加上 Morpheus 還可以使用 AI 識別非惡意但嚴重的問題，如配置錯誤的服務器和過時的軟件。它甚至可以檢測到敏感信息（如密碼、信用卡號碼或醫療信息）在需要加密時被透明傳輸的情況。

現在，當不可避免的網絡入侵發生時，多層保護將限制爆炸半徑。 DPU 保護和認證系統完整性，隔離威脅并保護安全軟件代理。由于 RBAC 和微分段，受感染的服務器或 VM 將只能訪問少數其他資產。受損應用程序通過App Shield。 DOCA 遙測與 Morpheus 一起檢測可疑網絡流量。異常流量被運行 DPU 的領先防火墻軟件阻止，該軟件加速了安全性，并且沒有任何性能或服務降級。有價值的信息在飛行和休息時都會被加密。從零信任的假設開始， DOCA 和 DPU 作為安全應用的基礎，保護所有資產，無處不在。

總結

基于零信任的現代安全方法對于確保當今數據中心的安全至關重要，因為周界內的活動不再能夠自動被認為是安全的。

這在邊緣地區更為重要，因為數據中心不再只是有大門、警衛和槍支的大型設施。在邊緣地帶，工廠、機器人、汽車、商店和無線電發射塔中都有微型數據中心——每個中心都包含有價值的資產。但由于物理訪問是可能的，傳統防火墻無法充分保護這些設備。因此 DPU 從信任的硬件基礎開始，逐層構建安全性，并限制網絡訪問——保護用戶、設備、數據和應用程序——所有這些都在數據中心集合。

BlueField DPUs 和 DOCA 軟件棧為合作伙伴構建理想的開放基礎提供了零信任解決方案，并將它們擴展到網絡的所有部分，以解決現代數據中心的網絡安全問題。

關于作者

Scott Ciccone 于 2020 年作為 Cumulus Networks 收購的一部分加入后，目前擔任 NVIDIA 的產品營銷總監。 Scott 在產品營銷和產品管理方面擁有 20 多年的經驗，擅長在高增長環境下啟動新的業務線，包括 Cumulus Networks ， Palo Alto Networks 、 Cisco 和 Sun Microsystems 。斯科特在羅切斯特理工學院獲得生物醫學計算學士學位，在巴布森學院獲得市場營銷工商管理碩士學位。

John Kim 是 NVIDIA 網絡事業部的存儲市場總監，致力于幫助客戶和供應商從高性能網絡連接、智能網卡卸載和遠程直接數據存取 （RDMA） 中獲益，尤其是在存儲、大數據和人工智能領域。

審核編輯：郭婷