為了持續推動資料處理器(DPU)的應用情境,Nvidia在2020年發表資料中心基礎架構單晶片架構(DOCA),到了近期舉行的GTC 2021秋季大會期間推出1.2版,當中增加108個API,也累積1,400位開發者,同時將零信任資安框架納入DPU主要功能的訴求。(圖片來源/Nvidia)

為了持續支援視覺運算與機器學習的應用,GPU運算技術供應商Nvidia在一年多前,正式跨足資料處理器(DPU)領域,也讓這項加速運算技術不單活躍於高效能運算、5G電信架構數位轉型等應用需求,現在也能延伸至企業資料中心領域,幫忙分攤CPU與GPU的資料存取與處理負擔,於是,形成三足鼎立的運算架構發展。

軟體平臺的部分,Nvidia也針對CPU與GPU、CPU與DPU之間,發展出運算統一裝置架構(CUDA),以及資料中心基礎架構單晶片架構(DOCA)。

今年11月舉行的GTC秋季大會期間,Nvidia宣布下一代DPU:BlueField-3,預計在2022年5月提供樣品,搭配的DOCA軟體平臺,正式推出1.2版,增加零信任資安框架,能將多種威脅保護能力,像是:負載平衡、深度封包檢測、入侵偵測、分散式網路防火牆、智慧型遙測、安全群組(Security Group),將身分驗證、見證(attestation)、監控等查核機制,拓展到每個接觸點,涵蓋電腦、應用系統、資料、人,以及伺服器、容器、儲存、網路基礎架構。

DOCA進化到1.2版後,API新增108支,開發社群成長到1,400人,更多廠商加入BlueField DPU宇宙。以資安廠商而言,新增F5、Juniper Networks、趨勢科技、SentinelOne;系統平臺廠商的部分,有Nutanix加入;邊緣運算的部分,有Versa Networks;在儲存廠商中,新增Dell Technologies、IBM等;雲端廠商的部分,加入OVHcloud、StackPath等。

透過DPU的幫忙,Nvidia可協助企業建置多種安全、可掌握安全狀態的雲端服務──藉由控制資源存取、驗證每一支應用程式與每一位使用者,以及隔離可能已經遭到入侵的設備等手段,協助企業保護資料免於破壞與遭竊。

在進階的零信任功能上,DOCA 1.2將提供多個程式庫與容器化服務,涵蓋軟體與硬體身分驗證、硬體助力的全線速資料加密,上述的分散式防火牆與智慧型遙測,以及政策強制施行──針對多個微服務、租戶之間的角色存取控制(RBAC),以及安全隔離。

而與實現零信任資安有關的技術,還有Nvidia在GTC 2021春季大會宣布發展的AI資安框架Morpheus,現在也釋出第2個初期使用版本,他們希望透過這樣的技術協助開發相關應用的廠商與組織,替資料中心提供新的資安防護機制,而當中支援幾種作法,例如:從IT基礎架構著手,促使應用程式的執行可以彼此隔離;運用加速運算與深度學習技術,提升次世代防火牆的性能之餘,也能持續監控與偵測資安威脅。他們表示,基於這樣的加速與卸載,能將伺服器處理相關負載的速度提升至600倍之高。

Nvidia之所以看好零信任資安應用,主要理由在於人工智慧、5G、智慧裝置等創新應用的崛起,大大擴展了當代資料中心所要處理的網路流量,而這也導致我們難以憑藉既有技術去識別潛在的侵害與攻擊活動,而Nvidia現在打算以BlueField DPUs、DOCA、Morpheus這三大技術,來打造零信任資安平臺,協助開發者去建立完整的安全環境,進而針對走向雲端原生架構的資料中心環境,提供即時防護能力。

圖片來源/Nvidia
圖中是DOCA的執行時期環境的基本運作架構,以及延伸的應用服務,最底層是DPU與融合加速卡,往上依序是核心模式與使用者模式的驅動程式,以及應用程式與使用者模式的程式庫,而在這個應用程式層當中,主要是以容器型態來提供不同的服務(DOCA Service Container)。

圖片來源/Nvidia
隨著DOCA 1.2發布,Nvidia揭露整個技術堆疊架構。底層是由BlueField DPU與BlueField-X融合式加速卡,提供運算卸載處理;上層應用情境,可支援網路、資安、儲存、高效能運算/人工智慧、電信、多媒體;中間則是DOCA本體,包含驅動程式、程式庫、應用服務。

引領DPU風潮,拉攏VMware為首的企業級廠商搶市

在2020年春季召開的GTC大會,Nvidia首開先例,預告將跨足DPU與CPU等兩大領域,到了秋季GTC大會期間,他們併購網路設備廠商Mellanox之後取得的SmartNIC技術,也以DPU的名號,正式浮出檯面。

當時他們端出的陣容包含:硬體型態的BlueField-2晶片/智慧型網路卡,以及軟體型態DOCA組成元件、4大應用領域(基礎架構管理、軟體定義儲存、軟體定義資安、軟體定義網路),以及合作的重量級企業應用廠商VMware。

DOCA 1.0

GTC 2021春季大會期間,Nvidia宣布,要推動以DPU來加速的資料中心基礎架構。此時,Nvidia正式發布這系列DPU專屬的軟體開發套件:DOCA SDK 1.0版,他們也調整DOCA的具體架構內容,並公布技術堆疊與元件組成資訊。

基本上,DOCA可同時用於兩大領域:底層的基礎架構服務,以及上層的應用程式,廠商與用戶均可針對它們進行軟體開發,運用可程式化能力、功能可相互隔離運作等機制,實現編製型基礎架構(Composable Infrastructure)、資料中心服務卸載至DPU執行,以及安全而不掉速的網路傳輸等目標。

DOCA有3大元件:驅動程式、程式庫、服務,可執行在BlueField DPU,以及融合DPU與GPU的BlueField-X。

在更上層的是參考應用程式,Nvidia提供6種類型,包含:網路、資安、儲存、高效能運算/人工智慧、電信、多媒體,這些應用均可從伺服器端的CPU當中,卸載到DPU進行處理,以實現加速與隔離的執行方式,進而大幅改善效能與運作效率,協助資料中心提升為兼具虛擬私有雲的隱密性,以及公有雲的擴展性,同時,還能具備加速運作、完整的可程式化彈性、安全保護等特色。

就程式開發者角度而言,DOCA運作分成兩區:協助應用程式組建的軟體開發套件(SDK),以及在DPU執行應用程式必備的執行時期元件(runtime)。

以SDK而言,包含:程式庫、驅動程式、工具套件、文件、參考應用程式的原始碼;而另一個執行時期元件,包含:程式庫、執行時期元件的二進位型態,以及編譯工具、安裝工具、效能測試器、多種DOCA服務代理程式,可運用多種DPU API與功能,來設定DPU加速卡、安裝作業系統,以及在DPU執行軟體,同時,Nvidia也在此針對伺服器與網路端,提供建置、支援DPU加速卡等功能的管理工具,以便因應容器化與加速服務的調度指揮作業。

就管理工具而言,可分為多個元件,Nvidia將陸續提供SDK Manager、建立工具(Provisioning tools)、遙測處理。對於搭配DPU的電腦或伺服器,此處的SDK Manager可協助管理與更新系統中執行的BlueField SDK,並且安裝DOCA軟體開發套件與執行時期元件,以及用來更新DPU端執行的作業系統與DOCA的開發容器(development container)。

另一個遙測處理,則是指能針對DPU執行特定資訊擷取功能,以及關鍵網路環境與伺服器狀態的遙測,當中可搭配事件記錄管理、資料分析或網路安全工具,來進行相關資訊的共享或收集。

至於建立工具的部分,DOCA在1.0的後續版本才會提供,可簡化設置與自動處理多張DPU加速卡的使用,也將允許用戶透過指令碼與管理工具來操作。

在GTC 2021春季大會期間,Nvidia也順勢公布DOCA合作廠商生態系統,當中涵蓋四大領域:軟體定義基礎架構、企業儲存系統、網路安全、邊緣運算。以軟體定義基礎架構廠商而言,有Canonical、Red Hat、VMware;儲存廠商的部分,涵蓋DDN、NetApp、Vast Data、Weka等;資安廠商方面,有Check Point、Fortinet、Guardicore、Palo Alto Networks;邊緣運算部分,有CloudFlare、Juniper Networks、F5等。

中國三大雲業者表態支援,DOCA零信任資安浮上檯面

整個企業IT基礎架構,其實都是DPU應用的範疇,因此在Nvidia發表DOCA軟體平臺之後,後續仍有多種IT技術應用與廠商陸續宣布加入這個生態體系,希望能藉此一解因效能不足而無法發揮所長的困境,而這樣的現象也反映在下半年DOCA改版發布的相關消息當中。

DOCA 1.1

時至7月,Nvidia推出DOCA軟體框架1.1,增加下列5項新特色。首先,是針對Flow的處理,在加速閘道功能中的對應程式庫,能促成分隔網路之間的互通,而在網址、DNS的過濾與轉送功能處理上,也提供了範例應用程式;因應連線追蹤的需求,提供了狀態流向表(Stateful Flow Table,SFT)的加速處理;在搭配DPI程式庫的狀態之下,可針對模式比對處理,提供正規表示式的加速;同時,也提供DOCA Runtime for x86元件,協助x86系統執行的應用程式就地加速,而不需完全卸載到DPU,省去相關傳輸作業。

而在DOCA合作廠商與應用生態系統的部分,Nvidia在四大領域中又擴增雲端服務,有3家中國雲端業者加入,分別是百度、京東,以及優刻得(UCloud)。

DOCA 1.2

在GTC 2021秋季大會期間,Nvidia宣布DOCA 1.2將於11月稍晚推出,新版軟體能讓合作廠商與用戶針對BlueField DPU,加快腳步開發相關應用程式,以及全方位的零信任解決方案,當中將新增身分驗證、見證、隔離、監控機制,使其成為零信任與分散式安全平臺。

Nvidia將針對DOCA平臺,提供零信任資安框架,以及應用程式保護解決方案名為App Shield,也增加多種DPU加速應用服務,像是Telemetry、Firefly、Host Based Networking(HBN)。

其中的DOCA Telemetry服務,可掌握DPU、GPU、主機的即時執行狀態,支援多種串流傳輸協定,可用高頻寬的跨處理程序通訊通道(IPC channel),因應密集串流處理。另一個DOCA Firefly服務負責精準時間同步處理(Precision Time Synchronized),針對整個資料中心環境提供服務,加速時間處理相關應用,如時間感知型流量壅塞控制、分散式快取、分散式同步資料庫。

至於DOCA Host Based Networking服務,則是處理DPU與裸機伺服器之間的路由,在底層路由使用BGP協定時,可搭配EVPN以支援多租戶環境。

圖片來源/Nvidia
在DPU網路應用上,Nvidia提供DOCA Host Based Networking(HBN)服務,可基於DPU在雲端環境裸機伺服器提供路由,管理者可將路由邏輯搬移到邊緣端(DPU),簡化網路設定工作,聚焦在連線處理,並提供可延展的分散式路由架構。

圖片來源/Nvidia
DOCA服務中,DOCA Telemetry可即時呈現DPU、GPU與伺服器運作狀態與活動,運用高頻寬的行程間通訊通道(IPC channel)與多種協定,實現密集資料串流,以及硬體效能計數器。

圖片來源/Nvidia
另一個Nvidia DPU的服務DOCA Firefly,是可進行精準時間同步處理的服務,可改善運算、儲存、網路的運作方式,目前這項機制可支援多種應用,像是:全球同步資料庫、分散式快取、時間感知壅塞控制。

為了在資料中心所有應用層面實現零信任,Nvidia將透過DPU與DOCA,提供三大重要功能:一、認證平臺身分的能力;二、提供工具,加快身分認證、存取控制、加密的處理速度;三、實踐「保持質疑、不斷驗證」的態度。

● 一、驗證平臺的合法性

平臺認證部分,DPU基於硬體信任根,提供安全與可量測(measured)的系統開機能力;這裡將運用基於設備識別組合引擎(DICE)而成的平臺,以及DPU軟體的遠端見證。基本上,DICE是一系列軟硬體技術,可用於硬體加密設備的身分識別、見證、資料加密。

BlueField在最底層架構中提供了硬體信任根與獨一無二的裝置ID,能執行可測量的安全開機方式,如此一來,能驗證所有執行在DPU的軟體,確認它們都是獲得數位簽署與通過身分驗證的,同時,可突顯開機映像是否都已妥善完成上述安全程序的檢核,避免實際的開機過程當中載入不同或額外的程式碼。

這樣的開機驗證保護,仰賴硬體信任根為信任鏈(chain of trust)延伸起點,而此處所謂的測量,是會針對那些已完成數位簽署的映像檔,計算出安全雜湊值,接著還會觀察映像檔在安全開機過程中載入的狀況。

● 二、提供加速安全防護功能的工具

關於加速多種安全處理的工具,這裡區分為:卸載(運用公鑰加密的認證與見證)、控制(運用軟體定義與硬體加速的微分段,以及狀態型連線追蹤等技術,執行資產與資料的存取),以及加速(線上與靜態的資料加密)等三種。

舉例來說,在見證的處理上,一旦DPU完成完整性的查核作業後,可用來加速公鑰與私鑰的認證,並將信任鏈延伸至其他應用程式、裝置、使用者。

在加密處理上,BlueField可針對TLS與IPsec等網路連線加密通訊協定,以及資料儲存的加密運算。在效能表現上,Nvidia表示,可達到200 Gbps的吞吐量,且不占用CPU資源。

● 三、不厭其煩地執行驗證

在持續驗證的部分,可使用多種作法,如結合DOCA Telemetry服務,以便監控網路流量,以及回報可疑連線活動;也能從處理器將應用程式的執行抽離到DPU,讓軟體在隔離區中運作;或是保護主機端應用程式,以免遭到破壞或惡意竄改。

整體而言,若能利用DPU內建的遙測服務,企業能夠持續監控資料中心網路環境上的一舉一動,若發現可疑行為,能主動發出警示,通知安全資訊事件處理系統(SIEM),以及綜合型威脅偵測與反制系統(XDR)來進行應變處置。

同時,這項網路遙測收集的資訊,還可送至Nvidia的AI資安框架Morpheus,協助與Nvidia合作的資安廠商,善用機器學習技術,執行惡意軟體偵測、網路入侵偵測與防禦,並針對已慘遭感染和入侵的資產,進行自動隔離的處理。

DOCA與Morpheus聯手後,還能運用機器學習,辨識非惡意、實際上卻是嚴重的高風險資安問題,像是組態設定不當的伺服器,以及過時、久未升級或修補漏洞的軟體,甚至還能偵測密碼、信用卡號、醫療記錄等敏感資訊的存取方式,例如以明碼、未加密的方式傳輸。

在數位資產的保護上,BlueField也能透過加速軟體定義網路(SDN)平臺執行的方式,協助企業與組織運用角色存取控制與網路微分段的方式,限制應用程式與使用者的存取。

舉例來說,容器化應用程式若要在一個儲存裝置分析資料,再將這些資料傳給一個使用者,放在專屬網路分段,此時,這支應用程式只能存取這個儲存裝置與這個使用者,其餘皆不能存取。

而要做到這樣的管控與局限,DOCA目前可提供多種手段,如安全群組、網路微分段、動態角色存取控制,預防惡意軟體透過內網的東西向流量散播。

透過上述多層次防護,DPU能夠確保與見證系統完整性,隔離資安威脅的活動範圍,以及保護資安軟體代理程式,一旦發生無可避免的網路破壞攻擊,即可局限影響範圍,換言之,一臺受感染的伺服器或虛擬機器,因為受限於角色存取控制與網路微分段,只能接觸到很少的數位資產。

若要識別應用程式是否遭入侵破壞,除了透過資安廠商的解決方案,Nvidia也提供DOCA App Shield服務,支援狀態與行為監控,以及入侵偵測;另一個DOCA Telemetry也能搭配Morpheus,偵測可疑的網路流量。若要擋下異常網路活動,目前一些次世代防火牆軟體平臺,也能運用DPU加速來實施更多元、深入的安全檢測與阻攔,而不會拖垮系統整體效能與服務品質。


熱門新聞

Advertisement