為了持續支援視覺運算與機器學習的應用，GPU運算技術供應商Nvidia在一年多前，正式跨足資料處理器（DPU）領域，也讓這項加速運算技術不單活躍於高效能運算、5G電信架構數位轉型等應用需求，現在也能延伸至企業資料中心領域，幫忙分攤CPU與GPU的資料存取與處理負擔，於是，形成了三足鼎立的運算架構發展趨勢。

而在軟體平臺的部分，Nvidia也先後針對CPU與GPU，以及CPU與DPU之間，發展出運算統一裝置架構（CUDA），以及資料中心基礎架構單晶片架構（DOCA）。

今年11月舉行的GTC 2021秋季大會期間，Nvidia宣布下一代DPU：BlueField-3，預計在2022年5月開始提供樣品，搭配的DOCA軟體平臺，也正式推出1.2版，增加了零信任資安框架，能將多種威脅保護能力，像是：負載平衡、深度封包檢測、入侵偵測、分散式網路防火牆、智慧型遙測、安全群組（Security Group），將身分驗證、見證（attestation）、監控等查核機制，拓展到每個接觸點，涵蓋電腦、應用系統、資料、人，以及伺服器、容器、儲存、網路基礎架構。

在DOCA 1.2當中，Nvidia新增了108支API，開發人員社群也成長到1,400人的規模，而且有更多廠商加入BlueField DPU宇宙。

以資安廠商而言，新增了F5、Juniper Networks、趨勢科技，以及Aria、Custodio Technologies、Imvision、Nucleon、SentinelOne；在系統平臺廠商的部分，有Nutanix加入；關於邊緣運算的部分，有Versa Networks加入；至於儲存廠商，新增Dell Technologies、IBM、Nebulon；雲端廠商的部分，加入Cirrascale Cloud Services、OVHcloud、StackPath。

透過DPU的幫忙，Nvidia可協助企業建置多種安全、可掌握安全狀態的雲端服務──藉由控制資源存取、驗證每一支應用程式與每一位使用者，以及隔離可能已經遭到入侵的設備等手段，協助企業保護資料免於破壞與遭竊。

在進階的零信任功能上，DOCA 1.2將提供多個程式庫與容器化服務，涵蓋軟體與硬體身分驗證、硬體助力的全線速資料加密，上述的分散式防火牆與智慧型遙測，以及政策強制施行──針對多個微服務、租戶之間的角色存取控制（RBAC），以及安全隔離。

而與實現零信任資安有關的技術，還有Nvidia在GTC 2021春季大會宣布發展的AI資安框架Morpheus，現在也釋出第2個初期使用版本，他們希望透過這樣的技術協助開發相關應用的廠商與組織，替資料中心提供新的資安防護機制，而當中支援幾種作法，例如：從IT基礎架構著手，促使應用程式的執行可以彼此隔離；運用加速運算與深度學習技術，提升次世代防火牆的性能之餘，也能持續監控與偵測資安威脅。他們表示，基於這樣的加速與卸載方式，能將伺服器處理相關負載的速度提升至600倍之高。

Nvidia之所以看好零信任資安應用，主要理由在於人工智慧、5G、智慧裝置等創新應用的崛起，大大擴展了當代資料中心所要處理的網路流量，而這也導致我們難以憑藉既有技術去識別潛在的侵害與攻擊活動，而Nvidia現在打算以BlueField DPUs、DOCA、Morpheus這三大技術，來打造零信任資安平臺，協助開發者去建立完整的安全環境，進而針對走向雲端原生架構的資料中心環境，提供即時防護能力。

引領DPU應用風潮，拉攏VMware為首的多家企業級IT廠商拓展市場

在2020年春季召開的GTC大會，Nvidia首開先例，預告將跨足DPU與CPU等兩大領域，到了秋季GTC大會期間，他們併購網路設備廠商Mellanox之後取得的SmartNIC技術，也以DPU的名號，正式浮出檯面。

當時他們端出的陣容，包含：硬體型態的BlueField-2晶片／智慧型網路卡，以及軟體型態的DOCA組成元件、4大應用領域（基礎架構管理、軟體定義儲存、軟體定義資安、軟體定義網路），以及與其合作的重量級企業應用廠商VMware。這樣的組合一出現，震撼整個IT界，Nvidia也預告下一代的BlueField-3、BlueField-4，將分別於2022年、2023年問世。

DOCA 1.0

到了GTC 2021春季大會，他們宣布要推動以DPU來加速的資料中心基礎架構，以此區隔歷年來陸續發展的各種IT架構，像是：單體系統、軟體定義資料中心、分散式與橫向擴展型微服務、GPU加速運算。

此時，Nvidia正式發布這系列DPU專屬的軟體開發套件：DOCA SDK 1.0版，他們也調整了DOCA的具體架構內容，並公布技術堆疊與元件組成的資訊。

基本上，DOCA可同時用於兩大領域：底層的基礎架構服務，以及上層的應用程式，廠商與用戶均可針對它們進行軟體開發，運用可程式化能力、功能可相互隔離運作等機制，實現編製型基礎架構（Composable Infrastructure）、資料中心服務卸載至DPU執行，以及安全而不掉速的網路傳輸等目標。

DOCA包含3大元件：驅動程式、程式庫、服務，均可執行在Nvidia的DPU，也就是BlueField，以及融合DPU與GPU的BlueField-X之上。

在更上層的是參考應用程式，Nvidia提供6種類型，包含：網路、資安、儲存、高效能運算／人工智慧、電信、多媒體，這些應用均可從伺服器端的CPU當中，卸載到DPU進行處理，以實現加速與隔離的執行方式，進而大幅改善效能與運作效率，協助資料中心提升為兼具虛擬私有雲的隱密性，以及公有雲的擴展性，同時，還能具備加速運作、完整的可程式化彈性、安全保護等特色。

就應用程式開發者的角度而言，DOCA的運作分成兩個區域：可協助應用程式組建的軟體開發套件（SDK），以及在DPU執行應用程式必備的執行時期元件（runtime）。

以SDK而言，包含：程式庫、驅動程式、工具套件、文件、參考應用程式的原始碼；而另一個執行時期元件，包含：程式庫、執行時期元件的二進位型態，以及編譯工具、安裝工具、效能測試器、多種DOCA服務代理程式，可運用多種DPU API與功能，來設定DPU加速卡、安裝作業系統，以及在DPU執行軟體，同時，Nvidia也在此針對伺服器與網路端，提供建置、支援DPU加速卡等功能的管理工具，以便因應容器化與加速服務的調度指揮作業。

就管理工具而言，又可細分為多個元件，根據Nvidia的規畫，此處將陸續提供SDK Manager、建立工具（Provisioning tools）、遙測處理。對於搭配DPU的電腦或伺服器，此處的SDK Manager可協助管理與更新系統中執行的BlueField SDK，並且安裝DOCA軟體開發套件與執行時期元件，以及用來更新DPU端執行的作業系統與DOCA的開發容器（development container）。

另一個遙測處理，則是指能針對DPU執行特定資訊擷取功能，以及關鍵網路環境與伺服器狀態的遙測，當中可搭配事件記錄管理、資料分析或網路安全工具，來進行相關資訊的共享或收集。

至於建立工具的部分，DOCA在1.0的後續版本才會提供，能用來簡化設置與自動處理多張DPU加速卡的部署，也將允許用戶透過指令碼與管理工具來進行操作。

在GTC 2021春季大會期間，Nvidia也順勢公布DOCA合作廠商生態系統，當中涵蓋四大領域：軟體定義基礎架構、企業儲存系統、網路安全、邊緣運算。以軟體定義基礎架構廠商而言，有Canonical、Red Hat、VMware；儲存廠商的部分，涵蓋DDN、Excelero、NetApp、Vast Data、Weka；在資安廠商方面，有Check Point、Fortinet、Guardicore、Palo Alto Networks；邊緣運算的部分，則有BroadBridge Networks、CloudFlare、Juniper Networks、F5。

同時，他們也公布BlueField-3更多規格，像是採用16顆Arm A78核心、PCIe 5.0介面、DDR5記憶體，搭配新一代的網路介面ConnectX-7，提供400 Gbps的網路吞吐量，但BlueField-4推出時間延至2024年。

為了證明這個架構可行，Nvidia也以身作則，在GTC 2021春季大會上，宣布自家雲端遊戲平臺GeForce NOW導入BlueField-2，將軟體定義資料中心、資安防護、遙測，以及NAT、DDoS防護、反向代理的執行，卸載到DPU處理。

DOCA 1.1

到了7月，Nvidia推出DOCA軟體框架1.1，當中增加了5項新特色，例如，針對Flow的處理，在加速閘道功能中的對應程式庫，能促成分隔網路之間的互通，而在網址、DNS的過濾與轉送功能處理上，也提供了範例應用程式；因應連線追蹤的需求，提供狀態流向表（Stateful Flow Table，SFT）的加速處理；在搭配DPI程式庫的狀態之下，可針對模式比對處理，提供正規表示式的加速機制；同時，這裡也提供DOCA Runtime for x86元件，能讓在x86系統中執行的應用程式就地進行加速，而不需要完全卸載到DPU，省去相關的傳輸作業。

而在DOCA合作廠商與應用生態系統的部分，Nvidia在原本的四大領域當中，又擴增了雲端服務一類，有百度、京東、優刻得（UCloud）這3家中國雲端業者加入。

DOCA 1.2

在GTC 2021秋季大會期間，Nvidia宣布DOCA 1.2將於11月稍晚推出，能讓合作廠商與用戶針對BlueField DPU，加快腳步開發相關應用程式，以及全方位的零信任解決方案，當中將新增身分驗證、見證、隔離、監控機制，使其成為零信任與分散式安全平臺。

Nvidia將針對DOCA平臺，提供零信任資安框架，以及名為App Shield的應用程式保護解決方案。同時，也增加多種加速服務，像是DOCA Telemetry、DOCA Firefly、DOCA Host Based Networking。

其中的DOCA Telemetry，可用於DPU、GPU、主機的即時執行狀態掌握，支援多種串流資料傳輸協定，可運用高頻寬的跨處理程序通訊通道（IPC channel），因應密集的資料串流處理。DOCA Firefly負責的精準時間同步處理（Precision Time Synchronized），可針對整個資料中心環境提供服務，加速時間處理的相關應用，像是時間感知型流量壅塞控制、分散式快取、分散式同步資料庫。

至於DOCA Host Based Networking（HBN），則是處理DPU與裸機伺服器之間的路由，在底層路由使用BGP協定時，可搭配EVPN以支援多租戶環境。

為了在資料中心的所有應用層面實現零信任，Nvidia表示，他們將透過BlueField DPU與DOCA，提供三大重要功能：一，認證平臺身分的能力；二，提供工具，加快身分認證、存取控制、加密等作業的處理速度；三、實踐「保持質疑、不斷驗證」的態度。

驗證平臺的合法性

在平臺認證的部分，DPU可基於本身的硬體信任根，提供安全與可量測（measured）的系統開機能力；這裡將運用基於設備識別組合引擎（DICE）而成的平臺，以及DPU軟體的遠端見證。基本上，DICE是一系列軟硬體技術，可用於硬體加密設備的身分識別、見證、資料加密。

BlueField在最底層架構中提供了硬體信任根與獨一無二的裝置ID，能執行可測量的安全開機方式，如此一來，能驗證所有執行在DPU的軟體，確認它們都是獲得數位簽署與通過身分驗證的，同時，可突顯開機映像是否都已妥善完成上述安全程序的檢核，避免實際的開機過程當中載入不同或額外的程式碼。

這樣的開機驗證保護，基本上，主要仰賴硬體信任根作為信任鏈（chain of trust）延伸的起點，而此處所謂的測量，是會針對那些已完成數位簽署的映像檔，計算出安全雜湊值，接著還會觀察映像檔在安全開機過程中載入的狀況。

提供可加速安全防護功能的工具

關於加速多種安全處理的工具，這裡區分為：卸載（運用公鑰加密的認證與見證）、控制（運用軟體定義與硬體加速的微分段，以及狀態型連線追蹤等技術，執行資產與資料的存取），以及加速（線上與靜態的資料加密）等三種性質。

舉例來說，在見證的處理上，一旦DPU完成完整性的查核作業，之後，它可用來加速公鑰與私鑰的認證，並且能將信任鏈延伸至其他應用程式、裝置、使用者。

在加密處理的加速上，BlueField可針對TLS與IPsec等網路連線加密通訊協定，以及資料儲存的加密運算。在效能表現上，Nvidia表示，可達到200 Gbps的吞吐量，而且不會占用CPU運算資源。

不厭其煩地執行驗證

在持續驗證的部分，可使用多種作法來實作，例如，可結合DOCA Telemetry服務，以便監控網路流量，以及回報可疑的連線活動；也能從處理器將應用程式的執行抽離到DPU，讓軟體能夠在隔離的區域當中運作；或是保護主機端應用程式，以免遭到破壞或惡意竄改。

整體而言，若能利用DPU內建的遙測服務，企業能夠持續監控資料中心網路環境上的一舉一動，若發現可疑行為，能主動發出警示，通知安全資訊事件處理系統（SIEM），以及綜合型威脅偵測與反制系統（XDR）應變。

同時，這項網路遙測所收集的資訊，還可餵送至Nvidia的AI資安框架Morpheus，能協助那些與Nvidia合作的資安廠商，善用機器學習的技術，執行惡意軟體偵測、網路入侵偵測與防禦，並且針對已經慘遭感染和入侵的資產，進行自動隔離的處理。

DOCA與Morpheus聯手之後，還能運用機器學習來辨識各種非惡意、實際上卻是嚴重的高風險資安問題，像是：組態設定不當的伺服器，以及過時、長久未升級或修補漏洞的軟體，甚至還能偵測密碼、信用卡號、醫療記錄等敏感資訊的存取方式，例如，以明碼、未加密的方式傳輸。

在數位資產的保護上，BlueField也能透過加速軟體定義網路（SDN）平臺執行的方式，協助企業與組織運用角色存取控制與網路微分段的方式，限制應用程式與使用者的存取。

舉例來說，容器化應用程式若需要在一個儲存裝置上分析資料，然後將這些資料傳給一個使用者，讓他放置在專屬的網路分段，此時，這支應用程式只能存取這個儲存裝置、這個使用者，其餘皆不能存取。

而要做到這樣的管控與局限，DOCA目前可提供多種手段，例如，安全群組、網路微分段、動態角色存取控制等，預防惡意軟體透過內部網路的東西向流量散播開來。

透過上述多層次防護，DPU能夠確保與見證系統完整性，隔離資安威脅的活動範圍，以及保護資安軟體代理程式，一旦發生無可避免的網路破壞攻擊，即可局限影響範圍，換言之，一臺受感染的伺服器或虛擬機器，因為受限於角色存取控制與網路微分段，只能接觸到很少的數位資產。

若要識別應用程式是否遭到入侵或破壞，除了透過資安廠商的解決方案之外，Nvidia現在也提供DOCA App Shield支援狀態與行為監控，以及入侵偵測功能；另一個DOCA Telemetry也能搭配Morpheus，偵測可疑的網路流量。若要擋下異常網路活動，目前一些次世代防火牆軟體平臺，也能運用DPU加速技術來實施安全檢測與阻擋，而不會拖垮效能與服務品質。