¿Por qué las Redes Tradicionales no son Suficientes?
En la era de la IA agéntica y HPC a hiperescala, la seguridad de la red es fundamental—no opcional. Las redes Ethernet tradicionales dependen de políticas descentralizadas en los endpoints, lo que genera configuraciones inconsistentes y vulnerabilidades. NVIDIA Quantum InfiniBand le da la vuelta: una malla definida por software, gestionada centralmente por el Subnet Manager (SM).
A pesar de los mecanismos robustos de aislamiento en hardware (PKeys, MKeys, filtros GUID), estas características estaban infrautilizadas por la complejidad de la configuración manual. Con clusters de decenas de miles de GPUs, un error en una clave de partición puede exponer datos sensibles o tumbar workloads de entrenamiento distribuido.
La respuesta de NVIDIA: perfiles de seguridad basados en intención en Unified Fabric Manager (UFM)—una solución de un click que automatiza toda la pila de seguridad. Vamos a ver la arquitectura, los perfiles y la validación.
Para un contexto más amplio sobre cómo entender las necesidades de tus usuarios al construir sistemas seguros, checa nuestro artículo sobre cuatro niveles de comprensión del cliente en UX research.

Los Tres Perfiles de Seguridad Intencionales
NVIDIA define tres perfiles, cada uno para un modelo de despliegue específico. La clave: en lugar de configurar decenas de parámetros manualmente, seleccionas un perfil y UFM orquesta todo.
| Perfil | Caso de Uso | Funcionalidades Activadas |
|---|---|---|
| General | Inquilino único, básico | Seguridad mínima; ideal para laboratorios |
| Bare Metal Cloud | Nube multi-inquilino | Aislamiento vía PKey, protección MKey, control de acceso GUID |
| Secured Bare Metal Cloud | Multi-inquilino con alta seguridad | Protección completa de claves MAD (MKEY, VSKEY, PMKEY, CCKEY, SMKEY, SAKEY), autenticación de servicio, modelo de confianza SA, limitación de tasa MAD, protección DoS/DDoS, limitación basada en LID |
Perfil Bare Metal Cloud en Acción
Este perfil activa el aislamiento basado en PKey—similar a las VLANs Ethernet, pero implementado en hardware. Los atributos de los puertos están en el silicio, accesibles solo mediante Management Key (MKey), conocida exclusivamente por el SM. Resultado: los inquilinos que comparten la misma malla física están criptográfica y lógicamente separados a nivel de hardware, sin depender de software en el host que un atacante con privilegios elevados podría eludir.
# Ejemplo: Consultando asignaciones de PKey vía API UFM (simplificado)
import requests
ufm_endpoint = "https://ufm-cluster.ejemplo.com"
headers = {"Authorization": "Bearer <token>"}
# Obtener todas las particiones
response = requests.get(f"{ufm_endpoint}/resources/partitions", headers=headers)
partitions = response.json()
for pkey in partitions:
print(f"PKey: {pkey['pkey']} | Miembros: {len(pkey['members'])}")
# Salida esperada: PKey: 0x8001 | Miembros: 1024
Secured Bare Metal Cloud: Protección Reforzada
Este perfil añade capas extra de seguridad:
- Protección completa de claves MAD con semillas aleatorias para todos los tipos de clave
- Control de acceso basado en GUID mediante
allowed_guid_list - Autenticación a nivel de servicio usando
service_key - Modelo de confianza SA mejorado aplicado a todos los comandos
- Limitación de tasa MAD para evitar abuso y congestión
- Protección DoS/DDoS que identifica y limita automáticamente paquetes excesivos
- Limitación basada en LID por nodo
Esto reduce la complejidad, minimiza errores de configuración y garantiza consistencia de seguridad en todos los despliegues.

Validando la Postura de Seguridad con CSV (Continuous Security Verification)
UFM introduce el CSV—una capacidad de diagnóstico proactivo que hace análisis estático y auditoría basada en logs. Genera un Security Health Score (Puntaje de Salud de Seguridad) con pasos de remediación automatizados para vulnerabilidades detectadas.
El reporte CSV se genera desde la pestaña System Health en UFM. El usuario selecciona el nivel de detalle (Errores, Advertencias o Info) y opcionalmente prueba las configuraciones de PKey. El reporte lista errores, advertencias y mensajes informativos.
# Ejemplo: Disparando reporte CSV vía CLI UFM (conceptual)
ufm security verify --profile secured-bare-metal-cloud --verbosity errors-and-warnings
# Salida: Security Health Score: 92/100
# Remediation: Actualizar MAD key de la partición 0x8002
Limitaciones y Cuidados
Aunque poderosos, los perfiles intencionales no son una bala de plata:
- Granularidad: No puedes mezclar configuraciones de diferentes perfiles en la misma malla. Si necesitas un modelo híbrido, usa mallas separadas o haz overrides manuales.
- Curva de aprendizaje: Equipos sin familiaridad con conceptos InfiniBand (PKeys, MAD keys, GUIDs) pueden necesitar capacitación inicial.
- Vendor lock-in: Los perfiles son específicos de NVIDIA Quantum InfiniBand. En mallas multi-vendor, la gestión de seguridad será separada.
Próximos Pasos
- Lee el white paper oficial de seguridad de NVIDIA Quantum InfiniBand para guías de configuración detalladas.
- Explora cómo integrar los perfiles UFM con tu pipeline CI/CD para despliegue zero-touch.
- Para un análisis profundo de autorización de APIs, checa nuestro caso de estudio sobre autorización granular con Amazon Verified Permissions.
![]()
Conclusión
Los perfiles de seguridad basados en intención de NVIDIA son un cambio de paradigma para la seguridad de mallas InfiniBand. Al abstraer configuraciones complejas en tres perfiles declarativos, UFM permite que proveedores de nube y centros de datos empresariales desplieguen aislamiento de inquilinos en hardware en minutos—no días. Combinado con CSV, los equipos ganan visibilidad proactiva de su postura de seguridad sin auditorías manuales.
Resumen: En el mundo de la IA agéntica y clusters masivos de GPU, la seguridad debe ser tan escalable como la infraestructura. Los perfiles intencionales lo hacen posible.
Próximos pasos de aprendizaje:
- Manos a la obra: despliega una malla InfiniBand de prueba con UFM y aplica el perfil Bare Metal Cloud.
- Profundiza: entiende la jerarquía de claves MAD y cómo las semillas aleatorias mejoran la seguridad.
- Avanza: implementa scripts de remediación CSV personalizados en tu automatización.
Este artículo está basado en el NVIDIA Developer Blog.