深度数据包检测( DPI )是网络安全的一项关键技术,能够在数据包在网络中传输时对其进行检测和分析。通过检查这些数据包的内容, DPI 可以识别潜在的安全威胁,如恶意软件、病毒和恶意流量,并防止它们渗透到网络中。然而, DPI 的实现也带来了对网络性能的显著影响。
使用 NVIDIA BlueField DPU 降低了执行深度数据包检查的成本和性能影响。
Suricata 概述
Suricata 是一款高性能、开源的网络分析和威胁检测应用程序,由私人和公共组织使用,并由主要供应商嵌入以保护资产。使用 Suricata (或任何其他入侵检测系统和入侵保护系统( IDS / IPS )解决方案)检查高通量流量需要高 CPU 使用率。因此, CPU 可用性可能会成为一个瓶颈。
数据中心的流量检查可以是集中式的,也可以是分布式的:
- 集中式设备:使用一个或多个功能强大的服务器来检查进出数据中心的所有流量。
- 分布在所有节点上:数据中心中的每个节点都负责使用其自身计算能力的一小部分来检查其入口和出口流量。
每种方法都有其优点和缺点。分布式检查更为复杂,因为它需要部署和管理所有分布式节点。然而,它可以通过启用东西向流量检查和为分布式节点处理的特定流量定制检查规则来提供更高的安全级别。
BlueField DPU 可以加速集中和分布式检查。这降低了 Suricata 的计算资源利用率,并在释放主机资源的同时实现了更高的网络吞吐量。
有关如何在零信任环境中为分布式解决方案使用 BlueField DPU 的更多信息,请参阅NVIDIA Creates Zero-Trust Cybersecurity Platform.
使用 BlueField 和 NVIDIA DOCA 卸载 Suricata 旁路
2016 年发布的 Suricata v3 . 2 引入了旁路功能,使 Suricata 能够在某些条件下停止检查特定流量。 Suricata 支持以下类型的旁通流:
- 大象流量:达到预先配置的流量限制的流量。
- 加密流:无法检查或只能部分检查的流程。
- 绕过规则:与要绕过的规则集中的预配置规则匹配的流。
Suricata 使用内核数据路径在软件中实现旁路。吞吐量得到了提高,但仍然依赖于消耗 CPU 个周期的软件将数据包直接路由到用户空间,而无需经过 Suricata 引擎的检查。
BlueField DPU 在 SmartNIC 子系统中提供了线速转向模块,可以使用 NVIDIA DOCA Flow API 进行配置。 DOCA Flow 是用于在硬件中构建通用数据包处理管道的 API ,使您能够将入口流量重定向到 Arm 子系统或直接重定向到主机。它还可以被配置为将出口流量重定向到 Arm 子系统或直接重定向到外部上行链路端口。
使用 DOCA Flow with Suricata 配置硬件,以便在主机和外部上行链路之间直接重定向绕过的流。这使得线路速率业务能够重定向到这些流,用于集中和分布式检查。
此外, BlueField -3 DPU 包括一个具有 16 个 ARM A78 核心的 Arm 子系统。在板载 Arm 子系统上运行 Suricata 会将主机 CPU 卸载到 Arm 处理器,从而降低主机的利用率。在 Arm 核心上运行 Suricata 使您能够使用 BlueField 3 DPU 来检查同一主机上的 VM 到 VM 流量。
为了展示 BlueField 硬件加速旁路在 Suricata 中的价值, NVIDIA 进行了分布式检查场景的概念验证。 Suricata 部署在 BlueField Arm 子系统上, Suricata 引擎更新为使用 DOCA Flow API 来绕过流,而不是使用内核绕过。我们在 BlueField -3 DPU 上实现了 400G 设备双向线路速率的旁路流,以及在 x86 主机服务器上没有 CPU 负载的情况下检查的几 Gbps 流。
图 2 描述了与 DPU 加速和潜在的分布式解决方案相比,传统软件解决方案(基于主机)的网络性能提升和 x86 CPU 利用率。
*实际流量的实际吞吐量取决于流量的类型和配置文件以及检查规则集。性能可能会相应变化。
总结
这项工作也可以用于加速其他交通检查解决方案,Snort或 WAF ,具有与在 Suricata 加速中应用的原理相同的原理。
BlueField DPU 也可用于加速以下各项:
- 内联 IPsec 和 TLS 加速:支持以线路速率检查加密流量。
- 快速模式匹配加速:使用 BlueField -3 中内置的 RegEx 加速器。
- 与用户空间数据路径集成:实现约 10 – 20% 的性能提升。
- 接收端缩放( RSS ):为了更好地使用 Arm 子系统的 8 / 16 核心。
有关 BlueField DPU 如何加速安全应用程序的更多信息,请参阅以下资源:
- Developers Design Innovative Network Security Solutions at the NVIDIA Cybersecurity Hackathon
- Detecting Threats Faster with AI-Based Cybersecurity
- Enabling Enterprise Cybersecurity Protection with a DPU-Accelerated, Next-Generation Firewall
- Stop Modern Security Attacks in Real Time with ARIA Cybersecurity and NVIDIA
