Por que as Redes Tradicionais Não Dão Conta?
No mundo da IA agêntica e HPC em escala, a segurança da rede não é mais opcional—é a base. Redes Ethernet tradicionais dependem de políticas distribuídas nos endpoints, o que gera configurações inconsistentes e vulnerabilidades. O NVIDIA Quantum InfiniBand vira essa chave: uma malha definida por software, gerenciada centralmente pelo Subnet Manager (SM).
Apesar dos mecanismos robustos de isolamento em hardware (PKeys, MKeys, filtros GUID), essas features eram subutilizadas por causa da complexidade de configuração manual. Com clusters de dezenas de milhares de GPUs, um erro numa chave de partição pode expor dados sensíveis ou derrubar workloads de treinamento distribuído.
A NVIDIA responde com perfis de segurança baseados em intenção no Unified Fabric Manager (UFM)—uma solução de um clique que automatiza toda a pilha de segurança. Vamos mergulhar na arquitetura, nos perfis e na validação.
Para um contexto mais amplo sobre como entender as necessidades dos seus usuários ao construir sistemas seguros, veja nosso artigo sobre quatro níveis de compreensão do cliente em UX research.

Os Três Perfis de Segurança Intencionais
A NVIDIA define três perfis, cada um para um modelo de implantação específico. A mágica: em vez de configurar dezenas de parâmetros manualmente, você escolhe um perfil e o UFM orquestra tudo.
| Perfil | Caso de Uso | Funcionalidades Ativadas |
|---|---|---|
| General | Inquilino único, básico | Segurança mínima; ideal para laboratórios |
| Bare Metal Cloud | Nuvem multi-inquilino | Isolamento via PKey, proteção MKey, controle de acesso GUID |
| Secured Bare Metal Cloud | Multi-inquilino com alta segurança | Proteção completa de chaves MAD (MKEY, VSKEY, PMKEY, CCKEY, SMKEY, SAKEY), autenticação de serviço, modelo de confiança SA, limitação de taxa MAD, proteção DoS/DDoS, limitação baseada em LID |
Perfil Bare Metal Cloud na Prática
Esse perfil ativa o isolamento baseado em PKey—análogo a VLANs Ethernet, mas implementado em hardware. Os atributos das portas ficam no silício, acessíveis apenas via Management Key (MKey), conhecida exclusivamente pelo SM. Resultado: inquilinos que compartilham a mesma malha física ficam criptográfica e logicamente separados em nível de hardware, sem depender de software no host que um invasor com privilégios elevados poderia burlar.
# Exemplo: Consultando atribuições de PKey via API UFM (simplificado)
import requests
ufm_endpoint = "https://ufm-cluster.exemplo.com"
headers = {"Authorization": "Bearer <token>"}
# Obter todas as partições
response = requests.get(f"{ufm_endpoint}/resources/partitions", headers=headers)
partitions = response.json()
for pkey in partitions:
print(f"PKey: {pkey['pkey']} | Membros: {len(pkey['members'])}")
# Saída esperada: PKey: 0x8001 | Membros: 1024
Secured Bare Metal Cloud: Proteção Reforçada
Esse perfil adiciona camadas extras de segurança:
- Proteção completa de chaves MAD com sementes aleatórias para todos os tipos de chave
- Controle de acesso baseado em GUID via
allowed_guid_list - Autenticação em nível de serviço usando
service_key - Modelo de confiança SA aprimorado aplicado a todos os comandos
- Limitação de taxa MAD para evitar abuso e congestionamento
- Proteção DoS/DDoS que identifica e limita automaticamente pacotes excessivos
- Limitação baseada em LID por nó
Isso reduz a complexidade, minimiza erros de configuração e garante consistência de segurança em todas as implantações.
![]()
Validando a Postura de Segurança com CSV (Continuous Security Verification)
O UFM apresenta o CSV—uma capacidade de diagnóstico proativo que faz análise estática e auditoria baseada em logs. Ele gera um Security Health Score (Pontuação de Saúde de Segurança) com etapas de remediação automatizadas para vulnerabilidades detectadas.
O relatório CSV pode ser gerado na aba System Health do UFM. O usuário seleciona o nível de detalhamento (Erros, Avisos ou Info) e opcionalmente testa as configurações de PKey. O relatório lista erros, avisos e mensagens informativas.
# Exemplo: Disparando relatório CSV via CLI UFM (conceitual)
ufm security verify --profile secured-bare-metal-cloud --verbosity errors-and-warnings
# Saída: Security Health Score: 92/100
# Remediação: Atualizar MAD key da partição 0x8002
Limitações e Cuidados
Apesar de poderosos, os perfis intencionais não resolvem tudo:
- Granularidade: Você não pode misturar configurações de perfis diferentes na mesma malha. Se precisar de um modelo híbrido, use malhas separadas ou faça overrides manuais.
- Curva de aprendizado: Times sem familiaridade com conceitos InfiniBand (PKeys, MAD keys, GUIDs) podem precisar de treinamento inicial.
- Vendor lock-in: Os perfis são específicos para NVIDIA Quantum InfiniBand. Em malhas multi-vendor, a gestão de segurança será separada.
Próximos Passos
- Leia o white paper oficial de segurança da NVIDIA Quantum InfiniBand para guias de configuração detalhados.
- Explore como integrar os perfis UFM com seu pipeline CI/CD para deploy zero-touch.
- Para um mergulho em autorização de APIs, veja nosso estudo de caso sobre autorização granular com Amazon Verified Permissions.

Conclusão
Os perfis de segurança baseados em intenção da NVIDIA são uma mudança de paradigma para a segurança de malhas InfiniBand. Ao abstrair configurações complexas em três perfis declarativos, o UFM permite que provedores de nuvem e data centers empresariais implantem isolamento de inquilinos em hardware em minutos—não dias. Combinado com o CSV, as equipes ganham visibilidade proativa da postura de segurança sem auditorias manuais.
Resumo: No mundo da IA agêntica e clusters massivos de GPU, a segurança precisa ser tão escalável quanto a infraestrutura. Perfis intencionais tornam isso possível.
Próximos passos de aprendizado:
- Mão na massa: implante uma malha InfiniBand de teste com UFM e aplique o perfil Bare Metal Cloud.
- Aprofunde-se: entenda a hierarquia de chaves MAD e como sementes aleatórias melhoram a segurança.
- Avance: implemente scripts de remediação CSV personalizados na sua automação.
Este artigo é baseado no NVIDIA Developer Blog.