NVIDIA 的技術可幫助組織構建和維護安全、可擴展和高性能的網絡基礎設施。NVIDIA 在引領 AI 技術的前沿，每天都在推動安全方面的進步，對保障網絡安全采取的更直接的方法之一就是采用安全的網絡操作系統（NOS）。

安全網絡操作系統（NOS）是一種專門的網絡操作系統，專注于強大的安全功能，以保護網絡基礎設施免受各種威脅。

不同的系統提供多樣的安全功能。有些系統提供內置防火墻、VPN 或監控工具，有些系統提供高級威脅檢測和響應功能，有些系統在啟動級別提供強化的安全性，甚至在操作系統加載之前就能防止攻擊，其中一項功能稱為安全啟動（Secure Boot）。

安全啟動

越來越多的 NVIDIA 平臺支持安全標準安全啟動。安全啟動是一項安全 UEFI（統一可擴展固件接口）功能，旨在防止在啟動過程和固件更新期間運行未經授權的固件或軟件。

NVIDIA Spectrum-4交換機和NVIDIA BlueField-2DPU及更高版本現已完全支持 UEFI 安全啟動。

系統會阻止未簽名或簽名不當的代碼在啟動級別執行，從而防止在操作系統或安全機制初始化之前加載 rootkits、bootkits、固件攻擊和其他惡意活動。而在初始化之前，攻擊者可能會獲得對核心系統的完全控制權，獲得這種級別的訪問權限幾乎可以讓攻擊者執行任何操作。

安全啟動還顯著提高了攻擊者試圖利用物理訪問設備的門檻。即使攻擊者可以物理訪問設備，但如果沒有正確的密鑰，他們也無法更改啟動組件，從而防止發生實際修改，例如更換 CPU 或硬盤。

安全啟動的工作原理是建立“信任鏈”，從硬件級別開始，并擴展到固件和啟動加載程序。啟動過程中的每個組件都會驗證下一個，并且必須在執行之前進行簽名和檢查。如果簽名有效并且與已知的可信密鑰相匹配，系統將繼續啟動過程。否則，固件將拒絕所有未簽名的代碼，系統將停止或發出警告。這包括攻擊者試圖直接安裝自己的操作系統。

SONiC 網絡操作系統中的安全啟動

SONiC（Software for Open Networking in the Cloud）支持安全啟動，這是一種基于 Linux 的開源、與硬件無關的網絡操作系統。NVIDIA 是 SONiC 項目的第二大貢獻者，并以多種方式支持 SONiC。詳細了解 NVIDIA 和 SONiC 。

與其他系統相比，SONiC 安全啟動功能的最大優勢在于自主性。作為開源軟件，SONiC 支持可定制的啟動流程，而許多傳統或專有系統則限制了用戶的修改權限。

運行 SONiC 并不依賴于任何供應商作為簽名實體。您可以使用自己的私鑰自由簽名您的鏡像，因此您知道只能安裝您明確授權的固件。這還會針對供應商鎖定增加一個額外的層。您可以設計您的發行版，使其僅在某些供應商或設備上運行，并為攻擊者設置更多的知識門檻來跨越，因為許多設備通常需要專有或特殊知識才能訪問和使用。

圖 1 顯示了 SONiC 中安全啟動的高級架構流程設計。產生簽名流程的工作原理與開發略有不同，后者是在外部簽名服務器中簽名組件，而不是在自己的服務器中簽名。外部簽名服務器提供了一個隔離的環境，可在大型環境中實現額外的安全性、可擴展性以及受控更新和管理。在運行時，在整個流程中對啟動組件進行驗證。

圖 1.SONiC 構建簽名流程