持續擴展DPU宇宙,Nvidia發布新版軟體開發套件,納入零信任資安應用情境

access_timePosted on by admin

為了持續支援視覺運算與機器學習的應用GPU運算技術供應商Nvidia在一年多前正式跨足資料處理器(DPU)領域也讓這項加速運算技術不單活躍於高效能運算、5G電信架構數位轉型等應用需求現在也能延伸至企業資料中心領域幫忙分攤CPU與GPU的資料存取與處理負擔於是形成了三足鼎立的運算架構發展趨勢。

而在軟體平臺的部分Nvidia也先後針對CPU與GPU以及CPU與DPU之間發展出運算統一裝置架構(CUDA)以及資料中心基礎架構單晶片架構(DOCA)。

今年11月舉行的GTC 2021秋季大會期間Nvidia宣布下一代DPU:BlueField-3預計在2022年5月開始提供樣品搭配的DOCA軟體平臺也正式推出1.2版增加了零信任資安框架能將多種威脅保護能力像是:負載平衡、深度封包檢測、入侵偵測、分散式網路防火牆、智慧型遙測、安全群組(Security Group)將身分驗證、見證(attestation)、監控等查核機制拓展到每個接觸點涵蓋電腦、應用系統、資料、人以及伺服器、容器、儲存、網路基礎架構。

在DOCA 1.2當中Nvidia新增了108支API開發人員社群也成長到1,400人的規模而且有更多廠商加入BlueField DPU宇宙。

以資安廠商而言新增了F5、Juniper Networks、趨勢科技以及Aria、Custodio Technologies、Imvision、Nucleon、SentinelOne;在系統平臺廠商的部分有Nutanix加入;關於邊緣運算的部分有Versa Networks加入;至於儲存廠商新增Dell Technologies、IBM、Nebulon;雲端廠商的部分加入Cirrascale Cloud Services、OVHcloud、StackPath。

透過DPU的幫忙Nvidia可協助企業建置多種安全、可掌握安全狀態的雲端服務──藉由控制資源存取、驗證每一支應用程式與每一位使用者以及隔離可能已經遭到入侵的設備等手段協助企業保護資料免於破壞與遭竊。

在進階的零信任功能上DOCA 1.2將提供多個程式庫與容器化服務涵蓋軟體與硬體身分驗證、硬體助力的全線速資料加密上述的分散式防火牆與智慧型遙測以及政策強制施行──針對多個微服務、租戶之間的角色存取控制(RBAC)以及安全隔離。

而與實現零信任資安有關的技術還有Nvidia在GTC 2021春季大會宣布發展的AI資安框架Morpheus現在也釋出第2個初期使用版本他們希望透過這樣的技術協助開發相關應用的廠商與組織替資料中心提供新的資安防護機制而當中支援幾種作法例如:從IT基礎架構著手促使應用程式的執行可以彼此隔離;運用加速運算與深度學習技術提升次世代防火牆的性能之餘也能持續監控與偵測資安威脅。他們表示基於這樣的加速與卸載方式能將伺服器處理相關負載的速度提升至600倍之高。

Nvidia之所以看好零信任資安應用主要理由在於人工智慧、5G、智慧裝置等創新應用的崛起大大擴展了當代資料中心所要處理的網路流量而這也導致我們難以憑藉既有技術去識別潛在的侵害與攻擊活動而Nvidia現在打算以BlueField DPUs、DOCA、Morpheus這三大技術來打造零信任資安平臺協助開發者去建立完整的安全環境進而針對走向雲端原生架構的資料中心環境提供即時防護能力。

引領DPU應用風潮拉攏VMware為首的多家企業級IT廠商拓展市場

在2020年春季召開的GTC大會Nvidia首開先例預告將跨足DPU與CPU等兩大領域到了秋季GTC大會期間他們併購網路設備廠商Mellanox之後取得的SmartNIC技術也以DPU的名號正式浮出檯面。

當時他們端出的陣容包含:硬體型態的BlueField-2晶片/智慧型網路卡以及軟體型態的DOCA組成元件、4大應用領域(基礎架構管理、軟體定義儲存、軟體定義資安、軟體定義網路)以及與其合作的重量級企業應用廠商VMware。這樣的組合一出現震撼整個IT界Nvidia也預告下一代的BlueField-3、BlueField-4將分別於2022年、2023年問世。

DOCA 1.0

到了GTC 2021春季大會他們宣布要推動以DPU來加速的資料中心基礎架構以此區隔歷年來陸續發展的各種IT架構像是:單體系統、軟體定義資料中心、分散式與橫向擴展型微服務、GPU加速運算。

此時Nvidia正式發布這系列DPU專屬的軟體開發套件:DOCA SDK 1.0版他們也調整了DOCA的具體架構內容並公布技術堆疊與元件組成的資訊。

基本上DOCA可同時用於兩大領域:底層的基礎架構服務以及上層的應用程式廠商與用戶均可針對它們進行軟體開發運用可程式化能力、功能可相互隔離運作等機制實現編製型基礎架構(Composable Infrastructure)、資料中心服務卸載至DPU執行以及安全而不掉速的網路傳輸等目標。

DOCA包含3大元件:驅動程式、程式庫、服務均可執行在Nvidia的DPU也就是BlueField以及融合DPU與GPU的BlueField-X之上。

在更上層的是參考應用程式Nvidia提供6種類型包含:網路、資安、儲存、高效能運算/人工智慧、電信、多媒體這些應用均可從伺服器端的CPU當中卸載到DPU進行處理以實現加速與隔離的執行方式進而大幅改善效能與運作效率協助資料中心提升為兼具虛擬私有雲的隱密性以及公有雲的擴展性同時還能具備加速運作、完整的可程式化彈性、安全保護等特色。

就應用程式開發者的角度而言DOCA的運作分成兩個區域:可協助應用程式組建的軟體開發套件(SDK)以及在DPU執行應用程式必備的執行時期元件(runtime)。

以SDK而言包含:程式庫、驅動程式、工具套件、文件、參考應用程式的原始碼;而另一個執行時期元件包含:程式庫、執行時期元件的二進位型態以及編譯工具、安裝工具、效能測試器、多種DOCA服務代理程式可運用多種DPU API與功能來設定DPU加速卡、安裝作業系統以及在DPU執行軟體同時Nvidia也在此針對伺服器與網路端提供建置、支援DPU加速卡等功能的管理工具以便因應容器化與加速服務的調度指揮作業。

  

就管理工具而言又可細分為多個元件根據Nvidia的規畫此處將陸續提供SDK Manager、建立工具(Provisioning tools)、遙測處理。對於搭配DPU的電腦或伺服器此處的SDK Manager可協助管理與更新系統中執行的BlueField SDK並且安裝DOCA軟體開發套件與執行時期元件以及用來更新DPU端執行的作業系統與DOCA的開發容器(development container)。

另一個遙測處理則是指能針對DPU執行特定資訊擷取功能以及關鍵網路環境與伺服器狀態的遙測當中可搭配事件記錄管理、資料分析或網路安全工具來進行相關資訊的共享或收集。

至於建立工具的部分DOCA在1.0的後續版本才會提供能用來簡化設置與自動處理多張DPU加速卡的部署也將允許用戶透過指令碼與管理工具來進行操作。

在GTC 2021春季大會期間Nvidia也順勢公布DOCA合作廠商生態系統當中涵蓋四大領域:軟體定義基礎架構、企業儲存系統、網路安全、邊緣運算。以軟體定義基礎架構廠商而言有Canonical、Red Hat、VMware;儲存廠商的部分涵蓋DDN、Excelero、NetApp、Vast Data、Weka;在資安廠商方面有Check Point、Fortinet、Guardicore、Palo Alto Networks;邊緣運算的部分則有BroadBridge Networks、CloudFlare、Juniper Networks、F5。

同時他們也公布BlueField-3更多規格像是採用16顆Arm A78核心、PCIe 5.0介面、DDR5記憶體搭配新一代的網路介面ConnectX-7提供400 Gbps的網路吞吐量但BlueField-4推出時間延至2024年。

貨櫃屋改裝後可應用在哪些地方呢?

金誠貨櫃屋裝潢,可依客戶需求設計,不論是渡假屋、含廁所小套房、檳榔攤、警衛室、小吃店、展示間、辦公室、工具材料間、車庫,皆可依顧客需求搭配設計

塑膠射出成型加工商品有哪些?

塑膠粒預熱進料 : 將塑膠粒放入漏斗中,並且加溫預熱。可以乾燥塑膠粒並節省熔化時間

總是為了廚餘煩惱嗎?

雅高環保提供最適用的廚餘機,滿足多樣需求。

好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!

鴻和興精密工業股份有限公司,是由在台灣專業生產茶葉罐、奶粉罐具有領先地位的光華金屬所投資組織成立的一家專業製造包裝材料之馬口鐵罐製造廠,秉持的專業、品質、服務、效率為各大客戶服務。

為了證明這個架構可行Nvidia也以身作則在GTC 2021春季大會上宣布自家雲端遊戲平臺GeForce NOW導入BlueField-2將軟體定義資料中心、資安防護、遙測以及NAT、DDoS防護、反向代理的執行卸載到DPU處理。

DOCA 1.1

到了7月Nvidia推出DOCA軟體框架1.1當中增加了5項新特色例如針對Flow的處理在加速閘道功能中的對應程式庫能促成分隔網路之間的互通而在網址、DNS的過濾與轉送功能處理上也提供了範例應用程式;因應連線追蹤的需求提供狀態流向表(Stateful Flow TableSFT)的加速處理;在搭配DPI程式庫的狀態之下可針對模式比對處理提供正規表示式的加速機制;同時這裡也提供DOCA Runtime for x86元件能讓在x86系統中執行的應用程式就地進行加速而不需要完全卸載到DPU省去相關的傳輸作業。

        

而在DOCA合作廠商與應用生態系統的部分Nvidia在原本的四大領域當中又擴增了雲端服務一類有百度、京東、優刻得(UCloud)這3家中國雲端業者加入。

DOCA 1.2

在GTC 2021秋季大會期間Nvidia宣布DOCA 1.2將於能讓合作廠商與用戶針對BlueField DPU加快腳步開發相關應用程式以及全方位的零信任解決方案當中將新增身分驗證、見證、隔離、監控機制使其成為零信任與分散式安全平臺。

Nvidia將針對DOCA平臺提供零信任資安框架以及名為App Shield的應用程式保護解決方案。同時也增加多種加速服務像是DOCA Telemetry、DOCA Firefly、DOCA Host Based Networking。

其中的DOCA Telemetry可用於DPU、GPU、主機的即時執行狀態掌握支援多種串流資料傳輸協定可運用高頻寬的跨處理程序通訊通道(IPC channel)因應密集的資料串流處理。DOCA Firefly負責的精準時間同步處理(Precision Time Synchronized)可針對整個資料中心環境提供服務加速時間處理的相關應用像是時間感知型流量壅塞控制、分散式快取、分散式同步資料庫。

至於DOCA Host Based Networking(HBN)則是處理DPU與裸機伺服器之間的路由在底層路由使用BGP協定時可搭配EVPN以支援多租戶環境。

為了在資料中心的所有應用層面實現零信任Nvidia表示他們將透過BlueField DPU與DOCA提供三大重要功能:一認證平臺身分的能力;二提供工具加快身分認證、存取控制、加密等作業的處理速度;三、實踐「保持質疑、不斷驗證」的態度。

驗證平臺的合法性

在平臺認證的部分DPU可基於本身的硬體信任根提供安全與可量測(measured)的系統開機能力;這裡將運用基於設備識別組合引擎(DICE)而成的平臺以及DPU軟體的遠端見證。基本上DICE是一系列軟硬體技術可用於硬體加密設備的身分識別、見證、資料加密。

BlueField在最底層架構中提供了硬體信任根與獨一無二的裝置ID能執行可測量的安全開機方式如此一來能驗證所有執行在DPU的軟體確認它們都是獲得數位簽署與通過身分驗證的同時可突顯開機映像是否都已妥善完成上述安全程序的檢核避免實際的開機過程當中載入不同或額外的程式碼。

這樣的開機驗證保護基本上主要仰賴硬體信任根作為信任鏈(chain of trust)延伸的起點而此處所謂的測量是會針對那些已完成數位簽署的映像檔計算出安全雜湊值接著還會觀察映像檔在安全開機過程中載入的狀況。

提供可加速安全防護功能的工具

關於加速多種安全處理的工具這裡區分為:卸載(運用公鑰加密的認證與見證)、控制(運用軟體定義與硬體加速的微分段以及狀態型連線追蹤等技術執行資產與資料的存取)以及加速(線上與靜態的資料加密)等三種性質。

舉例來說在見證的處理上一旦DPU完成完整性的查核作業之後它可用來加速公鑰與私鑰的認證並且能將信任鏈延伸至其他應用程式、裝置、使用者。

在加密處理的加速上BlueField可針對TLS與IPsec等網路連線加密通訊協定以及資料儲存的加密運算。在效能表現上Nvidia表示可達到200 Gbps的吞吐量而且不會占用CPU運算資源。

不厭其煩地執行驗證

在持續驗證的部分可使用多種作法來實作例如可結合DOCA Telemetry服務以便監控網路流量以及回報可疑的連線活動;也能從處理器將應用程式的執行抽離到DPU讓軟體能夠在隔離的區域當中運作;或是保護主機端應用程式以免遭到破壞或惡意竄改。

整體而言若能利用DPU內建的遙測服務企業能夠持續監控資料中心網路環境上的一舉一動若發現可疑行為能主動發出警示通知安全資訊事件處理系統(SIEM)以及綜合型威脅偵測與反制系統(XDR)應變。

同時這項網路遙測所收集的資訊還可餵送至Nvidia的AI資安框架Morpheus能協助那些與Nvidia合作的資安廠商善用機器學習的技術執行惡意軟體偵測、網路入侵偵測與防禦並且針對已經慘遭感染和入侵的資產進行自動隔離的處理。

DOCA與Morpheus聯手之後還能運用機器學習來辨識各種非惡意、實際上卻是嚴重的高風險資安問題像是:組態設定不當的伺服器以及過時、長久未升級或修補漏洞的軟體甚至還能偵測密碼、信用卡號、醫療記錄等敏感資訊的存取方式例如以明碼、未加密的方式傳輸。

在數位資產的保護上BlueField也能透過加速軟體定義網路(SDN)平臺執行的方式協助企業與組織運用角色存取控制與網路微分段的方式限制應用程式與使用者的存取。

舉例來說容器化應用程式若需要在一個儲存裝置上分析資料然後將這些資料傳給一個使用者讓他放置在專屬的網路分段此時這支應用程式只能存取這個儲存裝置、這個使用者其餘皆不能存取。

而要做到這樣的管控與局限DOCA目前可提供多種手段例如安全群組、網路微分段、動態角色存取控制等預防惡意軟體透過內部網路的東西向流量散播開來。

透過上述多層次防護DPU能夠確保與見證系統完整性隔離資安威脅的活動範圍以及保護資安軟體代理程式一旦發生無可避免的網路破壞攻擊即可局限影響範圍換言之一臺受感染的伺服器或虛擬機器因為受限於角色存取控制與網路微分段只能接觸到很少的數位資產。

若要識別應用程式是否遭到入侵或破壞除了透過資安廠商的解決方案之外Nvidia現在也提供DOCA App Shield支援狀態與行為監控以及入侵偵測功能;另一個DOCA Telemetry也能搭配Morpheus偵測可疑的網路流量。若要擋下異常網路活動目前一些次世代防火牆軟體平臺也能運用DPU加速技術來實施安全檢測與阻擋而不會拖垮效能與服務品質。

         

https://www.ithome.com.tw/news/147840

信泰電機生產製作:鋁殼電阻、繞線電阻、剎車電阻、煞車電阻、大功率電阻、回升電阻回昇電阻、平衡電阻、陶瓷電阻、模擬負載、大功率繞線電阻器製造、燒機設備規劃及施工、變壓器及電抗器製造、自動控制器材零組件買賣、DC電源供應器製造、電子零組件製造業。

示波器鮮為人知的使用技巧?

一個典型的示波器通常是盒狀螢幕,有多個輸入連接,示波器至少包括探頭、顯示器和控制面板三部分

5噸電動堆高機 & 2噸立式堆高機

不想忍受柴油堆高機帶來的廢氣汙染,電動堆高機將會是很好的選擇

空壓機這裡買最划算!

晨達空壓機秉持著專業空壓機技術、優質快速服務、空壓機合理價格。為您解決工作中需要風量、風壓的問題。

work_outlinePosted in 工業