使用 NVIDIA BlueField DPU 加速 Suricata IDS / IPS

深度數(shù)據(jù)包檢測（DPI）是網(wǎng)絡(luò)安全的一項關(guān)鍵技術(shù)，可在數(shù)據(jù)包通過網(wǎng)絡(luò)傳輸時對其進(jìn)行檢測和分析。通過檢查這些數(shù)據(jù)包的內(nèi)容，DPI 可以識別惡意軟件、病毒和惡意流量等潛在的安全威脅，并防止它們滲透到網(wǎng)絡(luò)中。但是，DPI 的實施也會對網(wǎng)絡(luò)性能產(chǎn)生重大影響。

使用 NVIDIA BlueField DPU 可降低執(zhí)行深度數(shù)據(jù)包檢測的成本和性能影響。

Suricata 概述

Suricata 是一款高性能、開源的網(wǎng)絡(luò)分析和威脅檢測應(yīng)用程序，供私有和共有組織使用，并供主要供應(yīng)商嵌入以保護(hù)資產(chǎn)。使用 Suricata（或任何其他入侵檢測系統(tǒng)和入侵防御系統(tǒng)（IDS / IPS）解決方案）檢測高吞吐量流量需要高 CPU 占用率。因此，CPU 可用性可能會成為瓶頸。

數(shù)據(jù)中心的流量檢測可采用集中式的或分布式的：

• 集中式設(shè)備：使用一臺或多臺功能強大的服務(wù)器來檢測進(jìn)出數(shù)據(jù)中心的所有流量。

• 分布在所有節(jié)點上：數(shù)據(jù)中心內(nèi)的每個節(jié)點都負(fù)責(zé)使用其自身的一小部分計算能力來檢測其入口和出口流量。

每種方法都有其優(yōu)點和缺點。分布式檢測更為復(fù)雜，因為它需要部署和管理所有分布式節(jié)點。但是，它可以通過啟用東西向流量檢測以及為分布式節(jié)點處理的特定流量定制檢測規(guī)則來提供更高的安全級別。

BlueField DPU 可以加速集中式和分布式檢測。這降低了 Suricata 的計算資源利用率，并在釋放主機資源的同時實現(xiàn)了更高的網(wǎng)絡(luò)吞吐量。

有關(guān)如何在零信任環(huán)境中將 BlueField DPU 用于分布式解決方案的更多信息，請參閱 NVIDIA 發(fā)布零信任網(wǎng)絡(luò)安全平臺。

使用 BlueField DPU 和 NVIDIA DOCA

卸載 Suricata 旁路

2016 年發(fā)布的 Suricata v3.2 引入了旁路功能，使 Suricata 能夠在特定條件下停止檢測特定流。Suricata 支持以下類型的旁路流：

• 大象流：達(dá)到預(yù)先配置的流量限制的流。

• 加密流：無法檢測或只能部分檢測的流。

• 旁路規(guī)則：與要旁路的規(guī)則集中的預(yù)先配置規(guī)則匹配的流。

Suricata 使用內(nèi)核數(shù)據(jù)路徑在軟件中實現(xiàn)旁路。吞吐量得到了提高，但仍然依賴于消耗 CPU 周期的軟件將數(shù)據(jù)包直接路由到用戶空間，而無需經(jīng)過 Suricata 引擎的檢測。

BlueField DPU 在其智能網(wǎng)卡子系統(tǒng)中提供了線速轉(zhuǎn)向模塊，可以使用 NVIDIA DOCA Flow API 進(jìn)行配置。DOCA Flow 是用于在硬件中構(gòu)建通用數(shù)據(jù)包處理管道的 API，使您能夠?qū)⑷肟诹髁恐囟ㄏ虻?ARM 子系統(tǒng)或直接重定向到主機。它還可以被配置為將出口流量重定向到 ARM 子系統(tǒng)或直接重定向到外部級聯(lián)端口。

使用具有 Suricata 的 DOCA Flow 來配置硬件，以便在主機和外部級聯(lián)端口之間直接重定向旁路流。這使得線速流量能夠重定向到這些流，以便進(jìn)行集中式和分布式檢測。

此外，BlueField-3 DPU 還包括一個具有 16 個 ARM A78 核心的 ARM 子系統(tǒng)。在內(nèi)置 ARM 子系統(tǒng)上運行的 Suricata 通過卸載到 ARM 處理器來降低主機 CPU 的利用率。在 ARM 核心上運行的 Suricata 可讓您使用 BlueField-3 DPU 來檢測同一主機上 VM 到 VM 的流量。

圖 1 : BlueField DPU 使用硬件加速來創(chuàng)建快速路徑流

為了展示在 Suricata 中 BlueField DPU 硬件加速旁路的價值，NVIDIA 對分布式檢測場景進(jìn)行了概念驗證。Suricata 部署在 BlueField ARM 子系統(tǒng)上，Suricata 引擎更新使用 DOCA Flow API 來處理旁路流，而不是使用內(nèi)核旁路。我們在 BlueField-3 DPU 上實現(xiàn)了 400G 設(shè)備雙向線速的旁路流，并實現(xiàn)了數(shù) Gbps 的檢測流，且在 x86 主機服務(wù)器上無 CPU 負(fù)載。

圖 2 描述了傳統(tǒng)軟件解決方案（基于主機）與 DPU 加速和潛在分布式解決方案相比的網(wǎng)絡(luò)性能提升和 x86 CPU 利用率。

圖 2 : BlueField DPU 和 DOCA Flow API 強力加速吞吐量，

同時將服務(wù)器上的 CPU 負(fù)載降低到幾乎為零*

*實際流量的實際吞吐量取決于流量的類型和配置文件以及檢測規(guī)則集。性能可能會相應(yīng)變化。

總結(jié)

這項工作還可以用于加速其他流量檢測解決方案，例如：Snort 或 WAF，其原理與應(yīng)用于 Suricata 加速的原理相同。

BlueField DPU 還可用于加速以下各項：

• 內(nèi)聯(lián) IPsec 和 TLS 加速：支持以線速檢測加密流量。

• 快速模式匹配加速：使用 BlueField-3 DPU 中內(nèi)置的 RegEx 加速器。

• 與用戶空間數(shù)據(jù)路徑集成：實現(xiàn)約 10 – 20% 的性能提升。

• 接收端縮放（RSS）：為了更好地使用 ARM 子系統(tǒng)的 8 / 16 核心。

觀看下方視頻

了解更多關(guān)于 NVIDIA BlueField DPU 的信息！

掃描下方二維碼，或點擊“閱讀原文”查看更多有關(guān) NVIDIA BlueField DPU 的信息。

?

NVIDIA BlueField DPU 往期內(nèi)容 全球十只團(tuán)隊齊聚 NVIDIA 黑客松競賽，探索網(wǎng)絡(luò)安全的全新解決方案
使用基于 AI 的網(wǎng)絡(luò)安全更快地檢測威脅
使用 DPU 加速的下一代防火墻實現(xiàn)企業(yè)網(wǎng)絡(luò)安全保護(hù)
借助 ARIA Cybersecurity 和 NVIDIA 實時阻止現(xiàn)代安全攻擊