NVIDIA BlueField-2 DPU為數(shù)據(jù)中心提供高級(jí)安全功能

數(shù)據(jù)處理單元，或 DPU，是一個(gè)全面和創(chuàng)新的安全產(chǎn)品的新基礎(chǔ)。超規(guī)模巨頭和電信提供商已經(jīng)采用了這一戰(zhàn)略來構(gòu)建和保護(hù)高效的云數(shù)據(jù)中心，現(xiàn)在企業(yè)客戶可以使用它。這一戰(zhàn)略徹底改變了將風(fēng)險(xiǎn)降至最低并在數(shù)據(jù)中心內(nèi)實(shí)施安全策略的方法。

DPU 是一種集成片上系統(tǒng)（ SOC ），它將高性能 CPU 、網(wǎng)絡(luò)接口和數(shù)據(jù)中心功能加速器組合到單個(gè) ASIC 中。 DPU 利用可編程硬件以線路速率卸載和加速內(nèi)聯(lián)安全服務(wù)。

BlueField DPU

NVIDIA ? BlueField? -2 DPU 提供了抵御攻擊的第一道防線。通過隔離、安全的啟動(dòng)過程和安全的固件更新，可以防止試圖滲透到數(shù)據(jù)中心的內(nèi)部攻擊。旨在加速整個(gè)數(shù)據(jù)中心的安全，DPU 能夠過濾數(shù)據(jù)包，以支持下一代防火墻和入侵檢測(cè)/預(yù)防系統(tǒng)。 DPU 可以檢測(cè)、阻止和保護(hù)敏感資產(chǎn)和數(shù)據(jù)免受威脅。

該設(shè)計(jì)提供內(nèi)置的功能隔離，以保護(hù)單個(gè)工作負(fù)載，并在服務(wù)器級(jí)別提供靈活的控制和可見性，從而降低風(fēng)險(xiǎn)并提高效率。隔離使軟件代理和應(yīng)用程序能夠在 DPU 上安全運(yùn)行，而不考慮系統(tǒng)的其他部分。

DPU 與主機(jī)隔離，并利用獨(dú)特的硬件功能，可以通過減少攻擊面和增強(qiáng)單個(gè)工作負(fù)載隔離來實(shí)現(xiàn)提供更好的安全性，從而提供額外的保護(hù)以降低風(fēng)險(xiǎn)并簡(jiǎn)化安全管理策略。

此外， DPU 可以卸載和加速加密操作，并在靜止或運(yùn)動(dòng)時(shí)提供數(shù)據(jù)加密。釋放主機(jī) CPU 以運(yùn)行關(guān)鍵應(yīng)用程序，并將其與應(yīng)用程序域隔離，從而使加密密鑰不受可能受到危害的主機(jī)的保護(hù)。

防火墻安全的角色變化

云計(jì)算模型的采用需要能夠提供最大性能和靈活性的智能安全解決方案。在混合云和虛擬計(jì)算時(shí)代，安全功能已經(jīng)發(fā)生了變化。它們被部署在每個(gè)主機(jī)中，以提供嚴(yán)格的策略實(shí)施，以及對(duì)可能的攻擊的可見性。

以前，主機(jī)內(nèi)的保護(hù)需要運(yùn)行一個(gè)軟件安全解決方案或 VM 設(shè)備，該解決方案或設(shè)備運(yùn)行緩慢且消耗 CPU 資源。隨著新技術(shù)和帶寬需求的增加，基于主機(jī)的保護(hù)現(xiàn)在需要以線路速率提供硬件性能。

BlueField-2 DPU 可以用作這樣一種設(shè)備，用于過濾計(jì)算機(jī)之間的通信。 NVIDIA DPU 采用功能強(qiáng)大的可編程硬件和軟件網(wǎng)絡(luò)組件，具有一組可配置的規(guī)則來檢查以線路速率通過連接的所有通信量。與外圍安全解決方案結(jié)合使用時(shí)， DPU 可以擴(kuò)展安全性，以包括基于主機(jī)的保護(hù)。

DPU 可以用作一個(gè)平臺(tái)，位于每個(gè)主機(jī)的入口和出口點(diǎn)，在計(jì)算邊緣最需要它的地方添加一個(gè)新的層。它們一起可以更好地防止對(duì)公司資產(chǎn)和資源的惡意威脅。

基于軟件的防火墻也給 CPU 增加了額外負(fù)擔(dān)，減少了應(yīng)用程序處理的可用計(jì)算資源，減少了可以在單個(gè)主機(jī)上運(yùn)行的 VM 、應(yīng)用程序和服務(wù)的數(shù)量。 BlueField-2 DPU 安全平臺(tái)具有軟件安全堆棧，可從主機(jī)卸載安全服務(wù)，從而為在主機(jī)資源上運(yùn)行的應(yīng)用程序釋放 CPU 周期。

微分段

隨著計(jì)算和網(wǎng)絡(luò)虛擬化技術(shù)的使用，安全性的復(fù)雜性增加。微分段是虛擬化環(huán)境中的一種網(wǎng)絡(luò)安全技術(shù)，它在工作負(fù)載級(jí)別將數(shù)據(jù)中心邏輯上劃分為不同的安全分段。在這個(gè)低層次上，可以定義安全控制，并為每個(gè)獨(dú)特的細(xì)分市場(chǎng)提供安全服務(wù)。 BlueField-2 提供了一個(gè)平臺(tái)，用于托管微分段和網(wǎng)絡(luò)連接跟蹤服務(wù)，用于數(shù)據(jù)中心內(nèi)流量的基于流量的網(wǎng)絡(luò)分析和應(yīng)用程序級(jí)安全。

DPU 可以運(yùn)行安全軟件堆棧，不會(huì)對(duì)服務(wù)器造成影響或妨礙應(yīng)用程序性能。此硬件加速解決方案包括線速安全策略和實(shí)施功能，并與應(yīng)用程序工作負(fù)載本身完全隔離。

已有十年歷史的周邊安全防御方法已經(jīng)達(dá)到了性能限制和操作復(fù)雜性的臨界點(diǎn)。企業(yè)需要一種新的整體安全方法來實(shí)現(xiàn)強(qiáng)大的保護(hù)。企業(yè)數(shù)據(jù)中心正在發(fā)展，并在超規(guī)模和公共云提供商的引領(lǐng)下，采用 CDI ，還應(yīng)采用類似的網(wǎng)絡(luò)安全策略。 BlueField-2 可以針對(duì)當(dāng)前和未來的威脅為所有類型的工作負(fù)載提供保護(hù)，并為新的混合云時(shí)代提供最高的安全性、完整性和可靠性。

隨著網(wǎng)絡(luò)安全形勢(shì)日益復(fù)雜，安全專家繼續(xù)將 NVIDIA BlueField-2作為提供高級(jí)安全功能的平臺(tái)。

關(guān)于作者

Ariel Kit 是 NVIDIA 網(wǎng)絡(luò)產(chǎn)品營(yíng)銷總監(jiān)。 Ariel 負(fù)責(zé)管理 NVIDIA BlueField DPU 軟件組合和網(wǎng)絡(luò)安全的戰(zhàn)略和交付。 Ariel 在網(wǎng)絡(luò)安全和嵌入式片上系統(tǒng)領(lǐng)域擁有 6 年以上的產(chǎn)品開發(fā)經(jīng)驗(yàn)，并擁有 12 年以上的研發(fā)管理經(jīng)驗(yàn)。他有學(xué)士學(xué)位。通信系統(tǒng)工程和工商管理碩士。

審核編輯：郭婷