在當今數據驅動的世界中,安全性不僅僅是一項功能,更是基礎。隨著 AI、HPC 和超大規模云計算的指數級增長,網絡結構的完整性比以往任何時候都更加重要。雖然許多網絡幾乎在事后添加了安全功能,但安全性卻延伸到了 NVIDIA Quantum InfiniBand 的每一層。
InfiniBand 因超低延遲、高吞吐量和大規模可擴展性而在性能圈中廣為人知。本文介紹了其強大的多層安全方法,這種方法通常不太被認可。
InfiniBand 如何進行安全設計?
InfiniBand 的核心是軟件定義的集中管理結構。在傳統網絡中,端點通常獨立運行,自行制定路由、資源和策略決策。缺乏集中式監督可能會導致配置錯誤、策略不一致和安全漏洞。InfiniBand 通過在子網管理器 (SM) 中進行集中控制來避免這種情況,子網管理器 (SM) 負責執行全局策略、優化路由、監控運行狀況并主動保護網絡。這種安全優先的方法嵌入到 InfiniBand 架構的每一層。
InfiniBand 如何控制訪問?
InfiniBand 使用類似于安全訪問令牌的專用關鍵機制,而不是依靠復雜的加密協議來保護每個字節 (這會影響速度) 。這些密鑰不會加密數據,而是確保只有經過授權的設備和受信任的應用才能參與網絡。
關鍵系統的工作原理如下:
- M_Key:用于防止惡意主機更改設備配置的管理密鑰。如果密鑰不匹配,則會放棄請求。
- P_Key:類似于 VLAN 的分區密鑰。這些密鑰定義了哪些設備可以相互“看到”或通信,從而在整個網絡中實現嚴格的流量隔離。
- Q_Key:通過要求對每個數據包進行密鑰驗證來保護不可靠的數據報流量。
- L_Key 和 R_Key:保護 RDMA 操作中的內存,確保只有經過授權的節點才能讀取或寫入內存,這對于現代零復制操作至關重要。
所有這些密鑰都由 InfiniBand 網卡或交換機 ASIC 進行硬件增強,這意味著即使是受損服務器上的根訪問也無法覆蓋它們。這提供了非常高的安全性。
InfiniBand 如何防止欺詐、假冒和劫持?
InfiniBand 十分重視硬件身份識別。每個節點和端口都使用全局唯一標識符 (GUID) 進行硬編碼,幾乎不可能進行欺詐。此外,SM 還支持靜態拓撲文件,管理員可以在其中定義預期的設備 GUID 和端口連接。如果某些內容不匹配,則不允許連接。
SM 還可以維護“允許的 SM GUID”列表,以防止惡意子網管理器試圖控制。借助 SMP 防火墻,即使在裸機或多租戶環境中,管理員也可以鎖定管理流量。
InfiniBand 分區比 VLAN 更強大
以太網 VLAN 雖然不錯,但它們是軟件結構。在硅級執行 InfiniBand 分區。管理員在 NVIDIA Unified Fabric Manager (UFM) 中定義分區組,并將這些定義推送到每個交換機和網卡。
在分區內,根據會員等級允許流量:
- 正式會員可以與分區中的任何人交談
- 數量有限的會員只能與正式會員交談
這種結構可以防止雜的租戶、惡意應用程序或受到攻擊的系統與他們甚至不應該知道存在的資源進行通信。
InfiniBand 無需軟件即可保護內存和傳輸
InfiniBand 傳輸層 – 可靠連接 (RC) 、不可靠數據圖 (UD) 和動態連接 (DC) – 均在硬件中實施。這意味著沒有軟件堆棧漏洞或內核繞過漏洞。
在 RC 和 DC 模式下,設備通過硬件處理和 SM 管理的握手過程建立連接。如果消息未遵循預期路徑、未通過 CRC,或顯示無效的序列號,系統會立即刪除該消息。
同時,遠程直接內存訪問 (RDMA) 使用 R_Keys 進行安全保護,R_ Keys 與特定的保護域和發起通信的隊列對 (QP) 相關聯。每個 QP 都在定義的保護域內運行,并且只能訪問在該域中注冊的內存區域。如果傳入的數據包所呈現的內存密鑰 (R_Key) 與目標 QP 和保護域所期望的不匹配,硬件會靜默地將其丟棄。這種機制可以防止未經授權的讀取和寫入,即使在面對主動攻擊時也是如此。
專為大規模安全而構建的管理
InfiniBand 管理既強大又安全。SM 使用管理數據報 (MAD) 與設備通信,每個管理數據報 (MAD) 均受特定類密鑰的保護。其中包括:
- SA_Key:用于子網管理員中的敏感操作 (例如添加或刪除記錄)
- VS_Key:適用于 ibdiagnet 等供應商工具
- C_Key 和 N2N_Key:安全通信管理器流量和節點到節點消息傳遞
- AM_Key:專用于 SHARP 聚合,確保僅由授權交換機減少數據
通過密鑰旋轉、每個端口的密鑰范圍和可配置的租賃期限,管理員可以在不影響性能的情況下定制保護。即使在實施控制的情況下,了解整個網絡中發生的情況也是關鍵。
陷阱和遙測
InfiniBand 非常明顯。每臺設備上的管理代理都會在發生任何異常情況 (包括違反協議、意外重啟、拓撲更改等) 時發送陷阱。這些數據會直接發送到 SM 或在 UFM 控制面板中公開。這種實時可見性意味著您不僅可以受到保護,而且可以隨時采取行動。
內置自動化、策略控制和可審核性
NVIDIA 為希望強化 InfiniBand 環境的管理員提供了各種選項。一些最佳實踐包括:
- 為 M_Key、SA_Key 等啟用每個端口密鑰
- 使用有限的成員資格按租戶執行分區
- 在裸機主機上使用 SMP 防火墻阻止模擬嘗試
- 定義和維護靜態拓撲文件,以防止設備被欺詐
- 開啟定期 MAD 密鑰更新,以保持關鍵材質的最新狀態
所有這些都可通過 UFM 或 REST API 進行管理,實現內置自動化、策略控制和可審計性。
專為滿足現代 AI 數據中心的需求而設計
安全性是 InfiniBand 網絡不可或缺的一部分。從隔離分區到強化傳輸、加密密鑰交換,再到主動遙測,InfiniBand 為企業組織提供了一個專門構建的高性能、設計安全的網絡,可應對要求嚴苛的工作負載。
要開始使用并了解更多信息,請參閱新的 NVIDIA InfiniBand 安全概述和指南。
