為了持續支援視覺運算與機器學習的應用,GPU運算技術供應商Nvidia在一年多前,正式跨足資料處理器(DPU)領域,也讓這項加速運算技術不單活躍於高效能運算、5G電信架構數位轉型等應用需求,現在也能延伸至企業資料中心領域,幫忙分攤CPU與GPU的資料存取與處理負擔,於是,形成了三足鼎立的運算架構發展趨勢。

而在軟體平臺的部分,Nvidia也先後針對CPU與GPU,以及CPU與DPU之間,發展出運算統一裝置架構(CUDA),以及資料中心基礎架構單晶片架構(DOCA)。

今年11月舉行的GTC 2021秋季大會期間,Nvidia宣布下一代DPU:BlueField-3,預計在2022年5月開始提供樣品,搭配的DOCA軟體平臺,也正式推出1.2版,增加了零信任資安框架,能將多種威脅保護能力,像是:負載平衡、深度封包檢測、入侵偵測、分散式網路防火牆、智慧型遙測、安全群組(Security Group),將身分驗證、見證(attestation)、監控等查核機制,拓展到每個接觸點,涵蓋電腦、應用系統、資料、人,以及伺服器、容器、儲存、網路基礎架構。

在DOCA 1.2當中,Nvidia新增了108支API,開發人員社群也成長到1,400人的規模,而且有更多廠商加入BlueField DPU宇宙。

以資安廠商而言,新增了F5、Juniper Networks、趨勢科技,以及Aria、Custodio Technologies、Imvision、Nucleon、SentinelOne;在系統平臺廠商的部分,有Nutanix加入;關於邊緣運算的部分,有Versa Networks加入;至於儲存廠商,新增Dell Technologies、IBM、Nebulon;雲端廠商的部分,加入Cirrascale Cloud Services、OVHcloud、StackPath。

透過DPU的幫忙,Nvidia可協助企業建置多種安全、可掌握安全狀態的雲端服務──藉由控制資源存取、驗證每一支應用程式與每一位使用者,以及隔離可能已經遭到入侵的設備等手段,協助企業保護資料免於破壞與遭竊。

在進階的零信任功能上,DOCA 1.2將提供多個程式庫與容器化服務,涵蓋軟體與硬體身分驗證、硬體助力的全線速資料加密,上述的分散式防火牆與智慧型遙測,以及政策強制施行──針對多個微服務、租戶之間的角色存取控制(RBAC),以及安全隔離。

而與實現零信任資安有關的技術,還有Nvidia在GTC 2021春季大會宣布發展的AI資安框架Morpheus,現在也釋出第2個初期使用版本,他們希望透過這樣的技術協助開發相關應用的廠商與組織,替資料中心提供新的資安防護機制,而當中支援幾種作法,例如:從IT基礎架構著手,促使應用程式的執行可以彼此隔離;運用加速運算與深度學習技術,提升次世代防火牆的性能之餘,也能持續監控與偵測資安威脅。他們表示,基於這樣的加速與卸載方式,能將伺服器處理相關負載的速度提升至600倍之高。

Nvidia之所以看好零信任資安應用,主要理由在於人工智慧、5G、智慧裝置等創新應用的崛起,大大擴展了當代資料中心所要處理的網路流量,而這也導致我們難以憑藉既有技術去識別潛在的侵害與攻擊活動,而Nvidia現在打算以BlueField DPUs、DOCA、Morpheus這三大技術,來打造零信任資安平臺,協助開發者去建立完整的安全環境,進而針對走向雲端原生架構的資料中心環境,提供即時防護能力。

引領DPU應用風潮,拉攏VMware為首的多家企業級IT廠商拓展市場

在2020年春季召開的GTC大會,Nvidia首開先例,預告將跨足DPU與CPU等兩大領域,到了秋季GTC大會期間,他們併購網路設備廠商Mellanox之後取得的SmartNIC技術,也以DPU的名號,正式浮出檯面。

當時他們端出的陣容,包含:硬體型態的BlueField-2晶片/智慧型網路卡,以及軟體型態的DOCA組成元件、4大應用領域(基礎架構管理、軟體定義儲存、軟體定義資安、軟體定義網路),以及與其合作的重量級企業應用廠商VMware。這樣的組合一出現,震撼整個IT界,Nvidia也預告下一代的BlueField-3、BlueField-4,將分別於2022年、2023年問世。

DOCA 1.0

到了GTC 2021春季大會,他們宣布要推動以DPU來加速的資料中心基礎架構,以此區隔歷年來陸續發展的各種IT架構,像是:單體系統、軟體定義資料中心、分散式與橫向擴展型微服務、GPU加速運算。

此時,Nvidia正式發布這系列DPU專屬的軟體開發套件:DOCA SDK 1.0版,他們也調整了DOCA的具體架構內容,並公布技術堆疊與元件組成的資訊。

基本上,DOCA可同時用於兩大領域:底層的基礎架構服務,以及上層的應用程式,廠商與用戶均可針對它們進行軟體開發,運用可程式化能力、功能可相互隔離運作等機制,實現編製型基礎架構(Composable Infrastructure)、資料中心服務卸載至DPU執行,以及安全而不掉速的網路傳輸等目標。

DOCA包含3大元件:驅動程式、程式庫、服務,均可執行在Nvidia的DPU,也就是BlueField,以及融合DPU與GPU的BlueField-X之上。

在更上層的是參考應用程式,Nvidia提供6種類型,包含:網路、資安、儲存、高效能運算/人工智慧、電信、多媒體,這些應用均可從伺服器端的CPU當中,卸載到DPU進行處理,以實現加速與隔離的執行方式,進而大幅改善效能與運作效率,協助資料中心提升為兼具虛擬私有雲的隱密性,以及公有雲的擴展性,同時,還能具備加速運作、完整的可程式化彈性、安全保護等特色。

就應用程式開發者的角度而言,DOCA的運作分成兩個區域:可協助應用程式組建的軟體開發套件(SDK),以及在DPU執行應用程式必備的執行時期元件(runtime)。

以SDK而言,包含:程式庫、驅動程式、工具套件、文件、參考應用程式的原始碼;而另一個執行時期元件,包含:程式庫、執行時期元件的二進位型態,以及編譯工具、安裝工具、效能測試器、多種DOCA服務代理程式,可運用多種DPU API與功能,來設定DPU加速卡、安裝作業系統,以及在DPU執行軟體,同時,Nvidia也在此針對伺服器與網路端,提供建置、支援DPU加速卡等功能的管理工具,以便因應容器化與加速服務的調度指揮作業。

  

就管理工具而言,又可細分為多個元件,根據Nvidia的規畫,此處將陸續提供SDK Manager、建立工具(Provisioning tools)、遙測處理。對於搭配DPU的電腦或伺服器,此處的SDK Manager可協助管理與更新系統中執行的BlueField SDK,並且安裝DOCA軟體開發套件與執行時期元件,以及用來更新DPU端執行的作業系統與DOCA的開發容器(development container)。

另一個遙測處理,則是指能針對DPU執行特定資訊擷取功能,以及關鍵網路環境與伺服器狀態的遙測,當中可搭配事件記錄管理、資料分析或網路安全工具,來進行相關資訊的共享或收集。

至於建立工具的部分,DOCA在1.0的後續版本才會提供,能用來簡化設置與自動處理多張DPU加速卡的部署,也將允許用戶透過指令碼與管理工具來進行操作。

在GTC 2021春季大會期間,Nvidia也順勢公布DOCA合作廠商生態系統,當中涵蓋四大領域:軟體定義基礎架構、企業儲存系統、網路安全、邊緣運算。以軟體定義基礎架構廠商而言,有Canonical、Red Hat、VMware;儲存廠商的部分,涵蓋DDN、Excelero、NetApp、Vast Data、Weka;在資安廠商方面,有Check Point、Fortinet、Guardicore、Palo Alto Networks;邊緣運算的部分,則有BroadBridge Networks、CloudFlare、Juniper Networks、F5。

同時,他們也公布BlueField-3更多規格,像是採用16顆Arm A78核心、PCIe 5.0介面、DDR5記憶體,搭配新一代的網路介面ConnectX-7,提供400 Gbps的網路吞吐量,但BlueField-4推出時間延至2024年。

為了證明這個架構可行,Nvidia也以身作則,在GTC 2021春季大會上,宣布自家雲端遊戲平臺GeForce NOW導入BlueField-2,將軟體定義資料中心、資安防護、遙測,以及NAT、DDoS防護、反向代理的執行,卸載到DPU處理。

DOCA 1.1

到了7月,Nvidia推出DOCA軟體框架1.1,當中增加了5項新特色,例如,針對Flow的處理,在加速閘道功能中的對應程式庫,能促成分隔網路之間的互通,而在網址、DNS的過濾與轉送功能處理上,也提供了範例應用程式;因應連線追蹤的需求,提供狀態流向表(Stateful Flow Table,SFT)的加速處理;在搭配DPI程式庫的狀態之下,可針對模式比對處理,提供正規表示式的加速機制;同時,這裡也提供DOCA Runtime for x86元件,能讓在x86系統中執行的應用程式就地進行加速,而不需要完全卸載到DPU,省去相關的傳輸作業。

        

而在DOCA合作廠商與應用生態系統的部分,Nvidia在原本的四大領域當中,又擴增了雲端服務一類,有百度、京東、優刻得(UCloud)這3家中國雲端業者加入。

DOCA 1.2

在GTC 2021秋季大會期間,Nvidia宣布DOCA 1.2將於11月稍晚推出,能讓合作廠商與用戶針對BlueField DPU,加快腳步開發相關應用程式,以及全方位的零信任解決方案,當中將新增身分驗證、見證、隔離、監控機制,使其成為零信任與分散式安全平臺。

Nvidia將針對DOCA平臺,提供零信任資安框架,以及名為App Shield的應用程式保護解決方案。同時,也增加多種加速服務,像是DOCA Telemetry、DOCA Firefly、DOCA Host Based Networking。

其中的DOCA Telemetry,可用於DPU、GPU、主機的即時執行狀態掌握,支援多種串流資料傳輸協定,可運用高頻寬的跨處理程序通訊通道(IPC channel),因應密集的資料串流處理。DOCA Firefly負責的精準時間同步處理(Precision Time Synchronized),可針對整個資料中心環境提供服務,加速時間處理的相關應用,像是時間感知型流量壅塞控制、分散式快取、分散式同步資料庫。

至於DOCA Host Based Networking(HBN),則是處理DPU與裸機伺服器之間的路由,在底層路由使用BGP協定時,可搭配EVPN以支援多租戶環境。

為了在資料中心的所有應用層面實現零信任,Nvidia表示,他們將透過BlueField DPU與DOCA,提供三大重要功能:一,認證平臺身分的能力;二,提供工具,加快身分認證、存取控制、加密等作業的處理速度;三、實踐「保持質疑、不斷驗證」的態度。

驗證平臺的合法性

在平臺認證的部分,DPU可基於本身的硬體信任根,提供安全與可量測(measured)的系統開機能力;這裡將運用基於設備識別組合引擎(DICE)而成的平臺,以及DPU軟體的遠端見證。基本上,DICE是一系列軟硬體技術,可用於硬體加密設備的身分識別、見證、資料加密。

BlueField在最底層架構中提供了硬體信任根與獨一無二的裝置ID,能執行可測量的安全開機方式,如此一來,能驗證所有執行在DPU的軟體,確認它們都是獲得數位簽署與通過身分驗證的,同時,可突顯開機映像是否都已妥善完成上述安全程序的檢核,避免實際的開機過程當中載入不同或額外的程式碼。

這樣的開機驗證保護,基本上,主要仰賴硬體信任根作為信任鏈(chain of trust)延伸的起點,而此處所謂的測量,是會針對那些已完成數位簽署的映像檔,計算出安全雜湊值,接著還會觀察映像檔在安全開機過程中載入的狀況。

提供可加速安全防護功能的工具

關於加速多種安全處理的工具,這裡區分為:卸載(運用公鑰加密的認證與見證)、控制(運用軟體定義與硬體加速的微分段,以及狀態型連線追蹤等技術,執行資產與資料的存取),以及加速(線上與靜態的資料加密)等三種性質。

舉例來說,在見證的處理上,一旦DPU完成完整性的查核作業,之後,它可用來加速公鑰與私鑰的認證,並且能將信任鏈延伸至其他應用程式、裝置、使用者。

在加密處理的加速上,BlueField可針對TLS與IPsec等網路連線加密通訊協定,以及資料儲存的加密運算。在效能表現上,Nvidia表示,可達到200 Gbps的吞吐量,而且不會占用CPU運算資源。

不厭其煩地執行驗證

在持續驗證的部分,可使用多種作法來實作,例如,可結合DOCA Telemetry服務,以便監控網路流量,以及回報可疑的連線活動;也能從處理器將應用程式的執行抽離到DPU,讓軟體能夠在隔離的區域當中運作;或是保護主機端應用程式,以免遭到破壞或惡意竄改。

整體而言,若能利用DPU內建的遙測服務,企業能夠持續監控資料中心網路環境上的一舉一動,若發現可疑行為,能主動發出警示,通知安全資訊事件處理系統(SIEM),以及綜合型威脅偵測與反制系統(XDR)應變。

同時,這項網路遙測所收集的資訊,還可餵送至Nvidia的AI資安框架Morpheus,能協助那些與Nvidia合作的資安廠商,善用機器學習的技術,執行惡意軟體偵測、網路入侵偵測與防禦,並且針對已經慘遭感染和入侵的資產,進行自動隔離的處理。

DOCA與Morpheus聯手之後,還能運用機器學習來辨識各種非惡意、實際上卻是嚴重的高風險資安問題,像是:組態設定不當的伺服器,以及過時、長久未升級或修補漏洞的軟體,甚至還能偵測密碼、信用卡號、醫療記錄等敏感資訊的存取方式,例如,以明碼、未加密的方式傳輸。

在數位資產的保護上,BlueField也能透過加速軟體定義網路(SDN)平臺執行的方式,協助企業與組織運用角色存取控制與網路微分段的方式,限制應用程式與使用者的存取。

舉例來說,容器化應用程式若需要在一個儲存裝置上分析資料,然後將這些資料傳給一個使用者,讓他放置在專屬的網路分段,此時,這支應用程式只能存取這個儲存裝置、這個使用者,其餘皆不能存取。

而要做到這樣的管控與局限,DOCA目前可提供多種手段,例如,安全群組、網路微分段、動態角色存取控制等,預防惡意軟體透過內部網路的東西向流量散播開來。

透過上述多層次防護,DPU能夠確保與見證系統完整性,隔離資安威脅的活動範圍,以及保護資安軟體代理程式,一旦發生無可避免的網路破壞攻擊,即可局限影響範圍,換言之,一臺受感染的伺服器或虛擬機器,因為受限於角色存取控制與網路微分段,只能接觸到很少的數位資產。

若要識別應用程式是否遭到入侵或破壞,除了透過資安廠商的解決方案之外,Nvidia現在也提供DOCA App Shield支援狀態與行為監控,以及入侵偵測功能;另一個DOCA Telemetry也能搭配Morpheus,偵測可疑的網路流量。若要擋下異常網路活動,目前一些次世代防火牆軟體平臺,也能運用DPU加速技術來實施安全檢測與阻擋,而不會拖垮效能與服務品質。

         


熱門新聞

Advertisement