英伟达DPU带来基于硬件的零信任安全
英伟达最新的DPU反映了分布式计算环境将继续存在,而硬件是在数据中心和边缘实现零信任安全的关键。 当端点呈指数级激增,工作负载变得更加分散时,疫情催生的远程工作时代揭示了对强大安全的需求。英伟达最新的数据处理单元(DPU)反映出,这些分布式...
英伟达最新的DPU反映了分布式计算环境将继续存在,而硬件是在数据中心和边缘实现零信任安全的关键。
当端点呈指数级激增,工作负载变得更加分散时,疫情催生的远程工作时代揭示了对强大安全的需求。英伟达最新的数据处理单元(DPU)反映出,这些分布式计算环境将继续存在,硬件在实现零信任安全方面发挥着关键作用,无论是在数据中心还是在边缘。
Nvidia的BlueField-2 DPU将部署在Dell PowerEdge系统中,旨在提高基于VMware vSphere 8的虚拟化工作负载的性能。
英伟达网络高级副总裁Kevin Deierling告诉《EE时报》,新产品是与VMware合作两年的结果,重点是满足人工智能工作负载和安全服务的需求。Nvidia-Dell组合针对VMware vSphere 8企业工作负载平台进行了优化,包括Nvidia BlueField DPU、Nvidia GPU和Nvidia-AI enterprise软件。
DPU用于卸载、隔离、加速和保护数据中心基础设施服务,使CPU和GPU可以自由地专注于运行和处理人工智能和其他数据中心应用程序的大量工作负载。
Deierling表示,支持分布在数据中心的容器化和虚拟化应用程序的微服务数量不断增加,这对CPU造成了负担。
他说:“CPU容量正被安全方面、四处移动数据以及运行大量东西向流量所消耗,以使这些分布式应用程序能够相互通信,并在整个数据集上共享所有数据。”。
包括人工智能在内的现代应用程序正在继续生成大量数据和处理,这些数据正在消耗CPU周期。
<img data-lazy-fallback="1" decoding="async" src="https://uploads.9icnet.com/images/aritcle/20230421/nvidiadell-image1-1.jpg">
作为与VMware一起开发的更广泛平台的一部分,Nvidia的BlueField-2用于卸载、隔离、加速和保护数据中心基础设施服务,以便CPU和GPU可以自由地专注于运行和处理人工智能和其他应用程序的大量工作负载。(来源:英伟达)
Deierling说,除了减轻CPU和GPU的压力外,DPU的可编程性还在增强多云环境和边缘环境的安全性方面发挥了作用。“对分布式应用程序的需求增加是另一件正在发生的事情。”
微服务不是一个单一的应用程序,而是分布在整个数据中心,更多的计算正在边缘进行,所有这些都需要得到保护。
这就是零信任安全发挥作用的地方。
“零信任安全实际上意味着数据中心内部的一切都是不可信的,”他说,并指出这意味着所有用户、设备和数据都必须经过身份验证和验证。
英伟达平台采用的方法是,设备是零信任安全的基础。所有正在加载的固件都可以在引导和执行环境中进行身份验证,这样运行数据中心的任何东西都可以被信任。
当然,加密对于确保硬件安全至关重要。但是,正如Deierling所指出的,这是一个非常昂贵的CPU密集型进程。
BlueField-2 DPU可以接管,用硬件加速加密和解密,使其能够在数据移动和存储时加密所有数据,即东西向流量。
<img data-lazy-fallback="1" decoding="async" src="https://uploads.9icnet.com/images/aritcle/20230421/nvidiadell-image2-1.jpg">
Nvidia的BlueField-2 DPU将部署在Dell PowerEdge系统中,旨在提高基于VMware vSphere 8的虚拟化工作负载的性能。(来源:英伟达)
该平台的其他功能包括利用GPU和DPU共同应用人工智能来检测异常行为,例如快速输入超出人类输入范围的密码。他说,DPU和人工智能的结合可以观察人们如何与数据中心互动,并检测异常行为,即使数据是加密的。
零信任作为一个概念,主要是IT经理的领域。这不仅仅是技术;这是一种包括最佳实践和流程的网络安全哲学。零信任概念的核心是,用户应该只有在完成工作所必需的时候才能访问应用程序、数据和服务。但是作为威胁行为者越来越多地将目光投向在美国工业控制系统(ICS)上,针对关键基础设施,尤其是公用事业,在硬件层面确保操作技术(OT)的安全变得越来越重要。
即使没有零信任的绰号,在设备级别增加安全性也越来越受欢迎,无论是内存还是网络接口卡。内存中的安全功能早在边缘计算、物联网和联网汽车的爆炸式增长之前就已经激增:SD卡中的“S”代表“安全”和电可擦除可编程只读存储器(E2.PROM)被青睐于信用卡、SIM卡和无钥匙进入系统。
多年来,基于闪存的固态硬盘一直包括加密,尽管人们对它可能如何实现感到不安影响驱动器的性能。自加密驱动器,如Virtium制造的驱动器,包括使用高级加密标准(AES)的专用加密引擎,不需要在主机上运行软件。CrossBar最近将重点放在了使用ReRAM确保计算安全以及PUF技术。
基于硬件的安全功能反映了每个系统连接的必然性,而一个因黑客篡改而受损的设备可能会影响任何数量的不同计算平台,包括自动驾驶汽车,它本质上是一个轮子上的服务器,或通过5G网络连接的工业、医疗和物联网设备。
在左侧设备嵌入安全性也符合DevSecOps的概念,即开发人员在软件应用程序开发过程开始时就考虑安全性,而不是事后才考虑。这也降低了安全功能降低应用程序性能的可能性,而英伟达将安全责任转移到其DPU以减少GPU和CPU的税收的方法与这一理念非常吻合。
>>这篇文章最初发表在我们的姐妹网站上,EE时间.