Naarmate bedrijven AI steeds meer omarmen, is de noodzaak om de "AI-fabriek" – de infrastructuur waar complexe, agentische workflows worden uitgevoerd – te beveiligen nog nooit zo urgent geweest. De nieuwste ontwikkelingen van NVIDIA, met name het DOCA-softwareframework dat draait op BlueField DPU's, veranderen de manier waarop organisaties runtime-cybersecurity voor AI-workloads benaderen. Dit artikel onderzoekt de verschillende rollen van CPU's en DPU's in deze context, met een focus op hoe DOCA DPU-architectuur benut om next-generation beveiliging te leveren.
CPU's, DPU's en DOCA
CPU's vormen al lange tijd de ruggengraat van algemeen computergebruik en verwerken een breed scala aan taken, van applicatielogica tot systeembeheer. DPU's daarentegen zijn speciaal gebouwd om datagedreven processen, zoals netwerken, opslag en beveiliging, te ontlasten en te versnellen, waardoor CPU-bronnen vrijkomen voor de belangrijkste bedrijfslogica.
NVIDIA DOCA (Data Center Infrastructure-on-a-Chip Architecture) is een softwareframework dat is ontworpen om het volledige potentieel van BlueField DPU'sDOCA biedt een platform voor het bouwen, implementeren en beheren van datacenterservices, inclusief geavanceerde beveiliging, rechtstreeks op de DPU, onafhankelijk van de host-CPU.
Architectuurvergelijking: CPU versus DPU voor AI-beveiliging
De traditionele aanpak van runtime-beveiliging is gebaseerd op hostgebaseerde agents die op CPU's draaien. Hoewel dit model in veel scenario's effectief is, introduceert het overhead, kan het de prestaties beïnvloeden en is het kwetsbaar als de host wordt gecompromitteerd. DPU's daarentegen werken onafhankelijk van de host, waardoor out-of-band beveiligingsbewerkingen mogelijk zijn die zowel efficiënt als veerkrachtig zijn.
Hier is een vergelijking op hoog niveau van CPU- en DPU-strategieën in de context van AI-beveiliging aangestuurd door DOCA.
| Functie/capaciteit | CPU (hostgebaseerd) | DPU (BlueField met DOCA) |
|---|---|---|
| Beveiligingsoperaties | Draait op host, gebruikt agents | Draait op DPU, agentloos |
| Prestatie-impact | Kan overhead introduceren | Geen overhead voor host-workloads |
| Zichtbaarheid voor aanvallers | Zichtbaar, kan worden uitgeschakeld | Onzichtbaar, geïsoleerd van de gastheer |
| Integratie | Vereist hostintegratie | Integreert met enterprise-beveiligingsplatforms (SIEM, SOAR, XDR) |
| Veerkracht | Kwetsbaar als de host is gecompromitteerd | Blijft operationeel als de host wordt aangevallen |
| Schaalbaarheid | Beperkt door hostbronnen | Schaalbaar met DPU-implementatie |
DOCA Argus: realtime, agentloze detectie van bedreigingen
NVIDIA DOCA Argus illustreert de voordelen van de DPU-centrische aanpak. Argus werkt volledig op de BlueField DPU en levert realtime detectie van bedreigingen met behulp van geavanceerde geheugenforensics. Volgens NVIDIA worden hiermee detectiesnelheden tot 1,000 keer sneller bereikt dan met traditionele agentless oplossingen. Dit wordt bereikt zonder de systeemprestaties te beïnvloeden, omdat alle beveiligingsactiviteiten worden overgeheveld van de host-CPU.
Dankzij het agentloze ontwerp van Argus zijn er geen softwareagents of hostgebaseerde integratie nodig, wat de operationele complexiteit en het aanvalsoppervlak vermindert. Door buiten de host te werken, blijft Argus onzichtbaar voor aanvallers, zelfs als het hostsysteem is gecompromitteerd. Integratie met enterprise security-platforms (SIEM, SOAR, XDR) maakt continue monitoring en geautomatiseerde dreigingsbeperking mogelijk, waardoor bestaande cybersecuritymogelijkheden worden uitgebreid naar AI-infrastructuur.
Gebruiksscenario's: AI-workloads op schaal beveiligen
Multi-tenant AI-fabrieken
In omgevingen waar meerdere teams of klanten dezelfde AI-infrastructuur delen, is het isoleren en beschermen van workloads cruciaal. BlueField DPU's met DOCA Argus bieden runtime-beveiliging voor container- en multi-tenantomgevingen, waardoor bedreigingen worden gedetecteerd en ingedamd zonder dat dit de prestaties beïnvloedt of wijzigingen aan de host vereist.
Autonome datacenters
Naarmate bedrijven op grote schaal agentische AI-modellen en autonome agents inzetten, nemen het volume en de snelheid van data dramatisch toe. DOCA Argus, geoptimaliseerd met real-world threat intelligence, brengt alleen gevalideerde bedreigingen aan het licht, waardoor foutpositieve meldingen en waarschuwingsmoeheid bij beveiligingsteams worden verminderd. Dit stelt organisaties in staat een sterke beveiligingspositie te behouden, zelfs bij toenemende AI-activiteiten.
Samenwerking en ecosysteem binnen de industrie
NVIDIA en Cisco werken samen aan de ontwikkeling van veilige systemen voor kunstmatige intelligentie (AI). Door beveiliging toe te voegen op elk niveau van het AI-proces, van hardware tot software, kunnen bedrijven hun AI-toepassingen vol vertrouwen gebruiken en uitbreiden, wetende dat bescherming vanaf het begin is ingebouwd.
Zoals Jeetu Patel, EVP en Chief Product Officer bij Cisco, opmerkt, is de sleutel tot het ontsluiten van innovatieve AI-use cases het waarborgen van veiligheid en beveiliging vanaf het begin. De gezamenlijke architectuur van NVIDIA en Cisco biedt bedrijven de basis om AI op te schalen en tegelijkertijd hun meest waardevolle data te beschermen.
Het DPU-voordeel voor AI-beveiliging
De verschuiving van CPU's naar DPU's voor beveiliging markeert een significante verandering in de manier waarop we AI-fabrieken beschermen. Met frameworks zoals NVIDIA DOCA kunnen bedrijven beveiligingstaken beheren met DPU's. Dit stelt hen in staat om bedreigingen in realtime te detecteren zonder agents, waardoor het voor aanvallers moeilijker wordt om hun beveiligingsmaatregelen te detecteren. Deze methode verbetert de beveiliging en behoudt tegelijkertijd hoge prestaties en efficiëntie. Deze aspecten zijn cruciaal voor de huidige grootschalige AI-systemen.
Amazon