DPU – Bộ xử lý dữ liệu NVIDIA giải quyết bài toán bảo mật Zero Trust

BlueField DPU cung cấp sức mạnh cho hạ tầng bảo mật để CPU, GPU có thể tập trung vào tải công việc AI một cách hiệu quả nhất.

Kỷ nguyên làm việc từ xa tạo ra bởi đại dịch đã làm mở ra nhu cầu bảo mật mạnh mẽ khi các thiết bị đầu cuối (endpoint) phát triển theo cấp số nhân và khối lượng công việc bị phân tán nhiều hơn. Bộ xử lý dữ liệu (DPU) mới nhất của NVIDIA cho thấy rằng các môi trường máy tính phân tán này luôn tồn tại — và phần cứng có vai trò quan trọng trong việc triển khai cơ chế bảo mật Zero-Trust, cho dù là ở trong trung tâm dữ liệu hay ngoài biên.

Các DPU BlueField-2 của NVIDIA sẽ được triển khai trong các hệ thống Dell PowerEdge với mục đích cải thiện hiệu suất của tải công việc được ảo hóa dựa trên VMware vSphere 8.

Kevin Deierling, Phó chủ tịch cấp cao về mạng tại NVIDIA, cho biết, việc cung cấp sản phẩm mới là kết quả của hai năm hợp tác với VMware, tập trung vào việc đáp ứng nhu cầu của tải công việc trí tuệ nhân tạo và các dịch vụ bảo mật. Được tối ưu hóa cho nền tảng workload doanh nghiệp VMware vSphere 8, bộ đôi kết hợp giữa NVIDIA-Dell bao gồm NVIDIA BlueField DPU, GPU NVIDIA và phần mềm NVIDIA AI Enterprise.

DPU được sử dụng để giảm tải, cô lập, tăng tốc và bảo mật các dịch vụ hạ tầng của trung tâm dữ liệu, để CPU và GPU có thể tự do tập trung vào việc chạy và xử lý khối lượng công việc lớn cho AI và các ứng dụng trung tâm dữ liệu khác.

Deierling cho biết số lượng microservices hỗ trợ các ứng dụng được chứa trong container và ảo hóa ngày càng tăng trên khắp các trung tâm dữ liệu đang bào mòn sức lực của CPU, Deierling nói.

“Năng lực xử lý của CPU đang được sử dụng cho các thành phần bảo mật, di chuyển dữ liệu và chạy một lượng lớn lưu lượng truy cập east-west để cho phép các ứng dụng phân tán này giao tiếp với nhau — và thực sự chia sẻ tất cả dữ liệu trên toàn bộ dataset”, ông nói .

Các ứng dụng hiện đại, bao gồm cả AI, đang tiếp tục tạo ra một lượng lớn dữ liệu và kèm theo đó là quá trình xử lý chúng, và các dữ liệu đó đang tiêu tốn sức mạnh của CPU.

Là một phần của nền tảng rộng lớn hơn được phát triển cùng với VMware, BlueField-2 của NVIDIA được sử dụng để giảm tải, cô lập, tăng tốc và bảo mật các dịch vụ hạ tầng trung tâm dữ liệu — để CPU và GPU tự do tập trung vào việc chạy và xử lý khối lượng công việc lớn cho AI và các ứng dụng khác. (Nguồn: NVIDIA)

Ngoài việc giảm áp lực lên CPU và GPU, khả năng lập trình của DPU đóng một vai trò trong việc tăng cường bảo mật cho các môi trường đa đám mây, Deierling nói. “Nhu cầu gia tăng đối với các ứng dụng phân tán lại là một thứ khác đang diễn ra”.

Thay vì một ứng dụng nguyên khối duy nhất, các microservices được trải rộng trên toàn bộ trung tâm dữ liệu và nhiều máy tính hơn đang được thực hiện ở rìa mạng — tất cả chúng đều cần được bảo mật.

Đây là nơi mà bảo mật Zero-Trust phát huy tác dụng.

“Zero-Trust Security thực sự hàm ý rằng mọi thứ bên trong trung tâm dữ liệu đều là ‘không đáng tin’”, ông nói, lưu ý rằng điều đó có nghĩa là tất cả người dùng, thiết bị và dữ liệu phải được xác thực và đảm bảo tính hợp lệ của truy cập.

Nền tảng NVIDIA có cách tiếp cận rằng các thiết bị là nền tảng của bảo mật Zero-Trust. Tất cả firmware đang được tải có thể được xác thực trong môi trường khởi động và thực thi để mọi thứ đang vận hành cho trung tâm dữ liệu đều có thể được tin cậy.

Tất nhiên, mã hóa rất quan trọng để bảo mật phần cứng. Nhưng, như Deierling đã lưu ý, đó là một quá trình sử dụng CPU rất tốn kém.

BlueField-2 DPU có thể tiếp quản để tăng tốc quá trình mã hóa và giải mã bằng phần cứng, giúp cho việc mã hóa tất cả dữ liệu, lưu lượng truy east-west trở nên khả thi, cả khi dữ liệu đang di chuyển và được lưu trữ.

Các DPU BlueField-2 của NVIDIA sẽ được triển khai trong các hệ thống Dell PowerEdge với mục đích cải thiện hiệu suất của khối lượng công việc được ảo hóa dựa trên VMware vSphere 8. (Nguồn: NVIDIA)

Các tính năng khác của nền tảng này bao gồm tận dụng GPU và DPU cùng nhau để áp dụng AI nhằm phát hiện hành vi bất thường, chẳng hạn như nhập nhanh mật khẩu vượt quá khả năng nhập của con người. Ông cho biết sự kết hợp giữa DPU và AI có thể xem xét cách mọi người đang tương tác với trung tâm dữ liệu và phát hiện các hành vi bất thường ngay cả khi dữ liệu được mã hóa.

Zero-Trust như một khái niệm chủ yếu là lĩnh vực của các nhà quản lý CNTT. Và nó không chỉ là công nghệ; đó là triết lý an ninh mạng bao gồm các quy trình và phương pháp thực hành tốt nhất. Cốt lõi của khái niệm Zero-Trust là người dùng chỉ nên có quyền truy cập vào các ứng dụng, dữ liệu và dịch vụ khi cần thiết để thực hiện công việc của họ. Nhưng khi các tác nhân đe dọa ngày càng chú ý đến các hệ thống kiểm soát công nghiệp của Mỹ (ICS) và nhắm mục tiêu vào hạ tầng quan trọng và đặc biệt là các tiện ích, thì việc đảm bảo công nghệ vận hành (OT) ở cấp độ phần cứng ngày càng trở nên quan trọng.

Ngay cả khi không có biệt danh Zero-Trust, việc tăng cường bảo mật ở cấp độ thiết bị đã và đang đạt được sức hút, cho dù đó là thẻ nhớ hay card giao tiếp mạng. Các tính năng bảo mật trong bộ nhớ đã trưởng thành trước sự phát triển bùng nổ của điện toán biên, internet vạn vật và thế hệ ô tô được kết nối: Chữ “S” trong thẻ SD là viết tắt của “Secure” và bộ nhớ chỉ đọc có thể lập trình có thể xóa bằng điện (E2PROM) được ưu tiên cho thẻ tín dụng, thẻ SIM và hệ thống nhập không cần chìa khóa.

SSD dựa trên flash nhiều năm đã được trang bị khả năng mã hóa, mặc dù đã có những lo lắng về cách nó có thể ảnh hưởng đến hiệu suất của ổ đĩa. Ổ đĩa tự mã hóa bao gồm các công cụ mã hóa chuyên dụng sử dụng Tiêu chuẩn mã hóa nâng cao (AES) không yêu cầu phần mềm chạy trên máy chủ. CrossBar gần đây đã hướng trọng tâm của mình vào xử lý an toàn với công nghệ ReRAM và PUF.

Các tính năng bảo mật dựa trên phần cứng phản ánh tính không thể tránh khỏi của mọi hệ thống được kết nối và một thiết bị bị xâm nhập do sự giả mạo của tin tặc có thể ảnh hưởng đến bất kỳ nền tảng máy tính nào khác, bao gồm cả phương tiện tự hành, về cơ bản là một “máy chủ trên các bánh xe”, hoặc trong công nghiệp, y tế và các thiết bị IoT được kết nối qua mạng 5G.

Việc nhúng bảo mật vào các thiết bị cũng phù hợp với khái niệm DevSecOps, nơi các nhà phát triển có tư duy về bảo mật khi bắt đầu quá trình phát triển ứng dụng phần mềm, thay vì chỉ bắt đầu suy nghĩ sau đó. Điều này cũng làm giảm khả năng các tính năng bảo mật làm giảm hiệu suất ứng dụng và cách tiếp cận của NVIDIA trong việc chuyển trách nhiệm bảo mật sang DPU của mình để GPU và CPU ít bị bào mòn sức lực hơn cũng phù hợp với triết lý đó.