NVIDIA、BlueField DPUをDOCA 1.2によるゼロトラスト・セキュリティのプラットフォームとして発表

NVIDIAは、世界最先端のデータ処理装置(DPU)であるNVIDIA BlueField® DPU向けに、NVIDIA DOCA™ 1.2ソフトウェアを発表しました。2021年11月下旬に予定されているこの最新リリースは、DOCA早期アクセスプログラムが用意されており、パートナーやユーザーがDPU上でアプリケーションやゼロトラストソリューションを早期に開発することを可能にします。認証、証明、隔離、監視の新機能により、BlueFieldはゼロトラストの分散型セキュリティプラットフォームの基盤となります。

BlueField DPUは、すべてのホストとすべてのネットワークトラフィックに対して、暗号化、きめ細かなアクセスコントロール、マイクロセグメンテーションによるネットワークスクリーニングを可能にします。BlueFieldは、ホストドメインとは別の信頼ドメインにセキュリティエージェントを配置することで、隔離を実現します。万が一ホストが侵害された場合でも、この隔離によりマルウェアがソフトウェアにアクセスできなくなり、他のサーバーへの攻撃の拡大を防ぐことができます。

BlueField DPUとDOCAは、データセンターのすべての層にゼロトラストをもたらす

BlueField DPUとDOCAは、ゼロトラストの基盤を提供します。DPU自体の整合性を確保するためのハードウェアからすべてのレイヤーに信頼性を付加することができます。これには、サーバ、コンテナ、ストレージ、ネットワークインフラ、そしてもちろん人間を含む、コンピュータ、アプリケーション、データのすべてのタッチポイントに認証、保証、監視をもたらすことが含まれます。

Supporting elements BlueField DPUs and DOCA bring to Zero Trust Architecture.
図1:BlueFieldのDPUとDOCAは、ゼロトラストの基盤を提供する

BlueField DPUとDOCAがゼロトラストソリューションを構築するための基盤となるプラットフォームを提供します。BlueField DPUは、その一部として以下の3つの機能を提供します。

  1. プラットフォームを認証する機能
    • ハードウェアルートオブトラストに基づくDPUのセキュアで計測されたブート
    • DICEベースのプラットフォームとDPUソフトウェアのリモート認証。DICEは、ハードウェアベースの暗号デバイスの識別、認証、およびデータ暗号化のためのハードウェアおよびソフトウェア技術
  2. 認証、アクセスコントロール、暗号化を高速化するツール
    • 公開鍵暗号方式を用いた認証・証明の負荷軽減
    • ソフトウェアで定義され、ハードウェアで高速化されたマイクロセグメンテーションとステートフル・コネクション・トラッキングにより、資産やデータへのアクセスを制御する
    • 通信中および保存中のデータの暗号化を高速化する
  3. 信用しない、常に検証する」というスタンスを導入する
    • DOCA Telemetryでネットワークトラフィックを監視し、疑わしいアクティビティを報告する
    • ソフトウェアをCPUやアプリケーションとは別のドメインに隔離する
    • ホストアプリケーションを破損や悪意ある改変から守る

ユーザー、デバイス、データを保護するためには、継続的なアクティビティの監視が必要となります。BlueField DPUは、ユニークなデバイスIDを持つハードウェアルートオブトラストを提供することで、最も低いレベルでこれを可能にします。そして、DPU上で動作するすべてのソフトウェアが署名され、認証されていることを確認する、測定された安全なブートを実行します。測定ブートは、ブートイメージが適切に署名・認証されていても、実際のブートプロセスが破壊され、異なるコードや追加のコードがロードされてしまうという問題に対処するものです。セキュアブートも実測ブートも、信頼の連鎖を広げるための出発点として、ハードウェアのルートオブトラストに依存しています。測定では、署名されたイメージの安全なハッシュを計算し、それが実際に安全なブートプロセスでロードされたイメージであることを測定します。

DPUの完全性が証明されると、BlueFieldは公開鍵/秘密鍵認証を高速化し、信頼の連鎖を他のアプリケーション、デバイス、ユーザーにまで拡大することができます。

BlueFieldは、SDNプラットフォームとしても機能し、ロールベースのアクセスコントロール(RBAC)やマイクロセグメンテーションを用いて、各アプリケーションやユーザーの資産へのアクセスを制限します。例えば、あるストレージデバイス上のデータを解析してユーザーに渡す必要のあるコンテナ化されたアプリは、独自のネットワークセグメントに置くことができます。そこでは、そのストレージデバイスとそのユーザーだけを見ることができ、それ以外のものは見えません。セキュリティ・グループ、ネットワーク・マイクロセグメンテーション、ダイナミック・ロール・ベース・アクセス・コントロールを使用することで、東西の内部トラフィックを介したマルウェアの拡散を防ぐことができます。

「Still do not trust」の面において、BlueFieldでは、TLSとIPsecの暗号化、およびストレージの暗号化を高速化しているため、暗号化されたリンクは、CPU負荷ゼロで200Gb/秒の速度で動作することが可能になりました。その意味するところは、ゼロトラストフレームワークでは常に望ましいとされる複数のレイヤーでの暗号化が、より効率的に実行できるということです。これにより、すべてのサーバーとすべてのネットワークトラフィックで暗号化が可能になります。以前は、一部のWebやVPN接続以外では、計算コストがかかりすぎて実装できませんでした。すべてのネットワーク接続とストレージが暗号化されているため、ネットワークに侵入した敵はデータにアクセスすることができません。

疑わしいアクティビティが発生した場合にはSIEMやXDRシステムに警告を発します。BlueFieldでは、DPUに内蔵されているテレメトリを利用してすべてを継続的に監視し、ネットワークの遠隔測定は、NVIDIAのAIを加速させたスケーラブルなサイバーセキュリティフレームワークであるNVIDIA Morpheus(モーフィアス)に供給することができます。これにより、パートナーは、スケーラブルなAIマルウェア検出、IDS/IPS、および侵害された資産の自動隔離を行うことができます。DOCA plus Morpheusは、AIを使って、設定ミスのサーバーや古いソフトウェアなど、悪意はないが重大な問題を特定することもできます。さらに、パスワード、クレジットカード番号、医療情報などの機密情報が、暗号化されているはずなのに平文で送信されているケースも検出できます。

万が一、サイバー犯罪が発生した場合でも、複数の保護層が影響範囲を限定してくれます。DPUは、システムの完全性を保護・証明し、脅威を隔離してセキュリティソフトウェアエージェントを保護します。また、感染したサーバやVMは、RBACとマイクロセグメンテーションにより、他の数少ない資産にしかアクセスできません。侵害されたアプリケーションはApp Shieldによって識別されます。Morpheusと連携したDOCA Telemetryは、疑わしいネットワークトラフィックを検出します。異常なトラフィックフローは、DPUを搭載した主要なファイアウォールソフトウェアによってブロックされ、パフォーマンスやサービスを低下させることなく、セキュリティが強化されます。また、貴重な情報は、飛行中と静止中の両方で暗号化されます。DOCAとDPUは、あらゆる場所でゼロトラストを前提とすることで、あらゆる場所であらゆる資産を保護するセキュリティアプリケーションの基盤として機能します。

DOCAでゼロトラスト・セキュリティを実現するためのリンク

DOCAの早期アクセスプログラムに申し込む>>
北米DPUハッカソンへの参加登録はこちらから>>
BlueField DPUコースのDOCA入門を受講する >>
App Shield Solution Briefをダウンロードする >>
NVIDIAがどのようにして新しいゼロトラスト・サイバーセキュリティ・プラットフォームを構築したかを読む >>

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder OWASP Member ITは人々の生活をあらゆる面でより良い方向に変化させること 競争原理から共創原理へ