Por que as Redes Tradicionais Não Dão Conta?

No mundo da IA agêntica e HPC em escala, a segurança da rede não é mais opcional—é a base. Redes Ethernet tradicionais dependem de políticas distribuídas nos endpoints, o que gera configurações inconsistentes e vulnerabilidades. O NVIDIA Quantum InfiniBand vira essa chave: uma malha definida por software, gerenciada centralmente pelo Subnet Manager (SM).

Apesar dos mecanismos robustos de isolamento em hardware (PKeys, MKeys, filtros GUID), essas features eram subutilizadas por causa da complexidade de configuração manual. Com clusters de dezenas de milhares de GPUs, um erro numa chave de partição pode expor dados sensíveis ou derrubar workloads de treinamento distribuído.

A NVIDIA responde com perfis de segurança baseados em intenção no Unified Fabric Manager (UFM)—uma solução de um clique que automatiza toda a pilha de segurança. Vamos mergulhar na arquitetura, nos perfis e na validação.

Para um contexto mais amplo sobre como entender as necessidades dos seus usuários ao construir sistemas seguros, veja nosso artigo sobre quatro níveis de compreensão do cliente em UX research.

NVIDIA Quantum InfiniBand switch and UFM dashboard showing intent-based security profile selection

Os Três Perfis de Segurança Intencionais

A NVIDIA define três perfis, cada um para um modelo de implantação específico. A mágica: em vez de configurar dezenas de parâmetros manualmente, você escolhe um perfil e o UFM orquestra tudo.

PerfilCaso de UsoFuncionalidades Ativadas
GeneralInquilino único, básicoSegurança mínima; ideal para laboratórios
Bare Metal CloudNuvem multi-inquilinoIsolamento via PKey, proteção MKey, controle de acesso GUID
Secured Bare Metal CloudMulti-inquilino com alta segurançaProteção completa de chaves MAD (MKEY, VSKEY, PMKEY, CCKEY, SMKEY, SAKEY), autenticação de serviço, modelo de confiança SA, limitação de taxa MAD, proteção DoS/DDoS, limitação baseada em LID

Perfil Bare Metal Cloud na Prática

Esse perfil ativa o isolamento baseado em PKey—análogo a VLANs Ethernet, mas implementado em hardware. Os atributos das portas ficam no silício, acessíveis apenas via Management Key (MKey), conhecida exclusivamente pelo SM. Resultado: inquilinos que compartilham a mesma malha física ficam criptográfica e logicamente separados em nível de hardware, sem depender de software no host que um invasor com privilégios elevados poderia burlar.

# Exemplo: Consultando atribuições de PKey via API UFM (simplificado)
import requests

ufm_endpoint = "https://ufm-cluster.exemplo.com"
headers = {"Authorization": "Bearer <token>"}

# Obter todas as partições
response = requests.get(f"{ufm_endpoint}/resources/partitions", headers=headers)
partitions = response.json()

for pkey in partitions:
    print(f"PKey: {pkey['pkey']} | Membros: {len(pkey['members'])}")
    # Saída esperada: PKey: 0x8001 | Membros: 1024

Secured Bare Metal Cloud: Proteção Reforçada

Esse perfil adiciona camadas extras de segurança:

  • Proteção completa de chaves MAD com sementes aleatórias para todos os tipos de chave
  • Controle de acesso baseado em GUID via allowed_guid_list
  • Autenticação em nível de serviço usando service_key
  • Modelo de confiança SA aprimorado aplicado a todos os comandos
  • Limitação de taxa MAD para evitar abuso e congestionamento
  • Proteção DoS/DDoS que identifica e limita automaticamente pacotes excessivos
  • Limitação baseada em LID por nó

Isso reduz a complexidade, minimiza erros de configuração e garante consistência de segurança em todas as implantações.

Diagram of multi-tenant InfiniBand fabric with hardware-enforced PKey isolation and MAD key protection Programming Illustration

Validando a Postura de Segurança com CSV (Continuous Security Verification)

O UFM apresenta o CSV—uma capacidade de diagnóstico proativo que faz análise estática e auditoria baseada em logs. Ele gera um Security Health Score (Pontuação de Saúde de Segurança) com etapas de remediação automatizadas para vulnerabilidades detectadas.

O relatório CSV pode ser gerado na aba System Health do UFM. O usuário seleciona o nível de detalhamento (Erros, Avisos ou Info) e opcionalmente testa as configurações de PKey. O relatório lista erros, avisos e mensagens informativas.

# Exemplo: Disparando relatório CSV via CLI UFM (conceitual)
ufm security verify --profile secured-bare-metal-cloud --verbosity errors-and-warnings
# Saída: Security Health Score: 92/100
# Remediação: Atualizar MAD key da partição 0x8002

Limitações e Cuidados

Apesar de poderosos, os perfis intencionais não resolvem tudo:

  • Granularidade: Você não pode misturar configurações de perfis diferentes na mesma malha. Se precisar de um modelo híbrido, use malhas separadas ou faça overrides manuais.
  • Curva de aprendizado: Times sem familiaridade com conceitos InfiniBand (PKeys, MAD keys, GUIDs) podem precisar de treinamento inicial.
  • Vendor lock-in: Os perfis são específicos para NVIDIA Quantum InfiniBand. Em malhas multi-vendor, a gestão de segurança será separada.

Próximos Passos

Continuous Security Verification (CSV) report showing Security Health Score for InfiniBand cluster IT Technology Image

Conclusão

Os perfis de segurança baseados em intenção da NVIDIA são uma mudança de paradigma para a segurança de malhas InfiniBand. Ao abstrair configurações complexas em três perfis declarativos, o UFM permite que provedores de nuvem e data centers empresariais implantem isolamento de inquilinos em hardware em minutos—não dias. Combinado com o CSV, as equipes ganham visibilidade proativa da postura de segurança sem auditorias manuais.

Resumo: No mundo da IA agêntica e clusters massivos de GPU, a segurança precisa ser tão escalável quanto a infraestrutura. Perfis intencionais tornam isso possível.

Próximos passos de aprendizado:

  1. Mão na massa: implante uma malha InfiniBand de teste com UFM e aplique o perfil Bare Metal Cloud.
  2. Aprofunde-se: entenda a hierarquia de chaves MAD e como sementes aleatórias melhoram a segurança.
  3. Avance: implemente scripts de remediação CSV personalizados na sua automação.

Este artigo é baseado no NVIDIA Developer Blog.

Este conteúdo foi elaborado com o auxílio de ferramentas de IA, com base em fontes confiáveis, e revisado pela nossa equipe editorial antes da publicação. Não substitui o aconselhamento de um profissional especializado.