基于NVIDIA® BlueField® DPU 构建多重网络安全
基于NVIDIA® BlueField® DPU 构建多重网络安全
与 NVIDIA 产品相关的图片或视频(完整或部分)的版权均归 NVIDIA Corporation 所有
随着人工智能、数据科学、虚拟仿真等数据流量负载呈现指数增长,企业需要在任何位置都有足够的处理能力,这对传统的数据中心基础设施带来全新挑战与巨大冲击,需要构建现代数据中心来支撑企业业务应用。当企业为云计算和边缘计算应用构建现代数据中心时,安全性都是一项不可回避的重要问题,而英迈采用 NVIDIA 云原生软件定义安全技术将直面现代数据中心零信任。
所谓零信任就是一种以安全性为中心的模型,其核心观点就是企业不应对其内部和外部的任何事物授予默认信任。而零信任网络安全就是首先对所有用户、设备、应用程序和数据均不信任,即使是在企业内部也不例外,然后再对所有尝试获得访问权限的人、事、物进行身份鉴别、认证、隔离和监视,只有授予权限后才可以访问特定资源,再通过“永不信任、始终验证”的方式持续进行安全保护。
为什么现代数据中心需要零信任网络安全呢?
英迈在与合作伙伴及用户业务交流的过程中发现现代数据中心面临着用户、数据、设备和应用程序的惊人增长,基础设施虚拟化无处不在的现代数据中心增大了攻击面,使企业面临更多、更复杂的网络威胁。在数据中心边界构建网络安全的解决方案虽然在过去十分完善且有效,但是已经不再具备为现代数据中心提供全面网络安全保护的能力。在部署了分布式、容器化应用程序的多租户环境,对于东西向的网络流量,租户网络的安全防护存在空白。在此类攻击愈发普遍、愈发复杂的情况下,网络一旦受到攻击,攻击者试图将网络攻击从一台服务器延伸到另一台服务器,从而在网络中发起横向攻击。
当前,从企业在构建现代数据中心的角度来看,必将采用更为完善的零信任网络安全解决方案,并需要考虑几个重要的层面:
#
网络层面
通过IPS/IDS来阻止网络攻击,下一代防火墙来追踪每个网络连接并授权访问,对网络进行微分段,不同分段具有不同的访问许可,检查所有的网络流量,阻止跨分段的未授权访问。
#
设备层面
对设备来说,所有的用户访问都是不安全和不被信任的,只有经过授权通过认证流程验证的用户才可以访问该设备。同时需要确保设备是可信的并进行安全监控,来防止因为某些失误而导致安全性受损。
#
用户层面
特别是在云原生时代,每个云计算数据中心都为大量的用户提供服务,需要有效的安全策略来防止恶意攻击的用户影响到其他用户,而且在租户间、租户与系统管理员间也要建立安全隔离。
#
应用程序层面
数据中心中运行着大量的业务应用,一个业务应用可能对应多个微服务,不同的业务应用之间可能会存在潜在的安全风险,比如通过一个业务应用来恶意入侵其他租户的业务应用,或者通过占用大量计算资源而影响其他租户的业务应用。
#
数据层面
大量的数据在数据中心里流动,需要保障传输中和静止的数据不被窃取和篡改,数据需要加密安全功能。
考虑到未来数据中心对安全性的需求,英迈采用了 NVIDIA 推出的零信任网络安全平台,该平台结合了三种核心技术,即 NVIDIA BlueField DPU、NVIDIA DOCA™ 软件框架和 NVIDIA Morpheus 人工智能网络安全框架。首先 BlueField DPU 作为零信任网络安全的基础,在BlueField DPU的硬件基础上构建了基于 DOCA 的零信任网络安全框架,并借助 Morpheus 来最终增强网络威胁检测。英迈的合作伙伴可以通过该平台为企业客户实现应用程序与基础设施的隔离,还可以通过该平台为企业客户增强下一代防火墙的性能,并利用加速计算和深度学习来持续监控和检测威胁,从而大幅提高数据中心的安全性。
英迈的合作伙伴如何帮助企业客户在构建现代数据中心时应对这些网络安全风险?
>NVIDIA BlueField DPU 提供网络安全基础
NVIDIA BlueField DPU 通过提供创新的硬件加速引擎将数据中心安全性提升到一个全新的水平,如网络报文处理的硬件卸载、连接跟踪(Connection Tracking)加速引擎、数据的加解密(TLS/IPsec/MACsec)和正则表达式(RegEx)加速引擎等。这些引擎可以为每台采用和部署 NVIDIA BlueField DPU 的主机提供安全防护的CPU卸载和加速,通过前置的隔离来保护网络/主机/数据的安全。
NVIDIA BlueField DPU 重新定义了安全域,使安全功能能够完全独立于主机 CPU 和操作系统运行。这种隔离是 NVIDIA BlueField DPU 实现零信任网络安全解决方案的关键,因为它提供了安全功能与主机间的隔离,同时提供了超强的性能。如果主机遭到入侵,安全功能与被入侵主机之间的安全隔离可有效的防止攻击的进一步扩散。
NVIDIA BlueField DPU 还可以作为开放式 AI 网络安全框架 NVIDIA Morpheus 的传感器。NVIDIA Morpheus可以从数据中心的每台由 NVIDIA BlueField DPU 加速的服务器接收丰富的实时网络遥测数据,且并不会影响到性能。通过将 NVIDIA BlueField DPU的实时遥测技术集成到 NVIDIA Morpheus 中,可在应对复杂的网络安全挑战时采用全球先进的 AI 计算技术。
>基于 NVIDIA DOCA 1.3 的零信任网络安全框架
NVIDIA DOCA 软件框架提供了一个全面、开放的开发平台,它集合了 API、驱动程序、库、示例代买、文档、服务和预打包容器,以简化和加速 NVIDIA BlueField DPU 应用程序和服务的构建。NVIDIA DOCA 与 NVIDIA BlueField DPU 共同创建了一个独立且安全的服务域,用于卸载、加速和隔离网络、存储、安全和基础设施管理,使合作伙伴与企业客户能够加快零信任网络安全解决方案的开发与部署。
零信任网络安全策略首先假设所有用户、设备、应用程序和数据都不可信任,通过分析用户权限、位置、访问数据的需求和历史行为来确定是否信任用户、设备或应用程序来访问特定资源。这需要企业实时基于用户的微细分和细颗粒度授权,监控每个用户、应用程序和设备的行为,并检查网络数据流量,在安全性受到威胁时,将风险和损失降到最低。
NVIDIA DOCA 基于 NVIDIA BlueField DPU 提供了零信任网络安全框架,据此合作伙伴可以帮助企业客户在设备、应用程序和数据的每个接触点上构建认证、身份验证和监控策略,实现零信任网络安全架构下的数据加密、网络遥测、访问控制、设备与用户认证、平台认证、下一代分布式防火墙、应用程序安全镜像与控制、自动威胁检测与响应等。
英迈将采用NVIDIA 全新推出的 DOCA 1.3 软件框架,提供 API 库或容器化服务来进一步增强了基于 NVIDIA BlueField DPU 的零信任网络安全功能与服务:
# 具有优化数据流插入的 NVIDIA DOCA FLOW 库
提供了一种新的方式来管理 NVIDIA BlueField DPU的数据包转发表,大幅提高数据流插入性能,提供了更大的灵活性。
# NVIDIA DOCA 正则表达式(RegEx)库
创建与文本模式匹配的过滤器,实现高吞吐量、低延迟的深度数据包检测,当应用程序需要对数据包的有效负载进行检测和异常检测时,就可以通过使用正则表达式的模式匹配和字符串匹配来实现。
# NVIDIA DOCA App Shield SDK
为网络安全供应商提供主机监控,以创建加速入侵检测系统解决方案,识别对物理或虚拟机的攻击,隔离受感染的主机,阻止恶意软件访问机密数据或传播到其他资源,增强对恶意活动的取证调查和事件响应。
# OVN IPsec 加密完全卸载
OVN 在物理设备之间建立网络隧道,在不占用主机 CPU 资源的情况下,基于DPU硬件加速引擎提供了IPSec数据包的加密和解密,以及 HMAC (基于哈希的消息认证码)身份验证。
# DOCA流检测器服务( Flow Inspector)
根据安全策略对指定的网路流量进行检测和分析,发现潜在的安全风险。
# DOCA 网络遥测服务(Telemetry)
通过Telemetry服务可以把包括安全信息在内的各种网络信息传送给指定的后端可视化服务器(包括Morpheus)进行处理,并以可视化的方式进行输出。
与此同时,NVIDIA DOCA 1.3 还新增和增强了其他 NVIDIA DOCA 服务,包括 NVIDIA DOCA 基于主机的网络(Host Based Networking)和安全的 NVIDIA DOCA 通信通道(Communication Channel)。
>英迈使用 NVIDIA Morpheus 增强网络威胁检测
NVIDIA Morpheus 是一个开放的应用程序框架,它基于 NVIDIA RAPIDS 和 NVIDIA GPU 进行构建,支持对网络流量、服务器遥测、应用程序日志和其他类型的非结构化数据的大规模实时分析,可使网络安全开发人员能够创建优化的 AI Pipeline,用于过滤、处理和分类大量实时数据。英迈利用NVIDIA Morpheus 为数据中心带来了新的信息安全技术,支持动态保护、实时遥测和自适应防御,以检测和修复网络安全威胁。
NVIDIA BlueField DPU 的加速器及 NVIDIA DOCA 的网络遥测功能与 NVIDIA Morpheus 结合使用时,使网络安全开发者和独立软件供应商(ISV)能够以最少的开发工作量,在数据中心基础设施中使用大量分布式数据收集来创建主动网络安全策略,而并不会影响性能。通过基于无监督学习、预训练 AI 模型的NVIDIA Morpheus实现实时行为分析,并在发现潜在威胁时立即向企业客户的安全运营团队发出问题警报,以便在造成破坏前识别和防御它们。
NVIDIA Morpheus 目前已经可以在 NVIDIA NGC™下载,或在 GitHub 上开发 Morpheus。
关注英迈中国公众号
获取更多资讯