网络安全/欺诈检测

聚焦:思科借助 NVIDIA BlueField-3 DPU 提高工作负载安全性和运营效率

随着网络攻击变得越来越复杂,组织必须不断采用先进的解决方案来保护其关键资产。其中一种解决方案是Cisco Secure Workload,这是一种全面的安全解决方案,旨在保护跨不同基础设施、位置和外形尺寸的应用程序工作负载。

Cisco 最近发布了 Cisco Secure Workload 3.9 版,该版本将企业的安全性和运营效率提升到了新的水平。它提供了新的功能来缓解威胁和漏洞,并为部署 microsegmentation 提供了更大的灵活性。现在,它还扩展到NVIDIA BlueField-3 数据处理器,其专用 Arm 核心可以加速硬件任务并隔离特定操作,从而确保高效数据处理和强大的安全性,从而打造更精简、更安全的基础设施。

思科安全工作负载主要功能

思科安全工作负载可为每次工作负载交互提供出色的可见性,并利用 AI 的强大功能自动执行人类管理员无法完成的任务,从而保护应用程序工作负载。

思科安全工作负载提供多种功能,包括:

  • 微分段:此技术可隔离工作负载并限制网络内的横向移动,从而防止威胁扩散并最大限度地减少攻击面。
  • 工作负载加密:静态和传输中的数据加密可保护敏感信息,即使攻击者获得了系统访问权限也无妨。
  • 威胁检测和预防:思科安全工作负载采用高级威胁检测机制来实时识别和阻止恶意活动。
  • 自动事件响应:该解决方案可自动执行事件响应程序,使组织能够快速遏制和补救威胁。

与 NVIDIA BlueField-3 DPU 集成

Cisco Secure Workload 与 NVIDIA BlueField DPUs 集成,彻底改变了 workload security。BlueField DPUs 是一种可编程处理器,专门为卸载 CPU 中的任务和增强 data center security 而设计。它们驻留在 server hardware 上,战略性地位于 network 和 virtual machines(VMs)之间的数据路径中。

通过利用 BlueField DPU,Cisco 安全工作负载可以从 VM 中卸载安全关键型工作负载。这可以释放 VM 上的宝贵 CPU 资源,使其能够专注于核心应用程序处理任务,并提高整体应用程序性能。

Illustrative diagram showing the integration of NVIDIA BlueField-3 DPUs within various host environments, including Virtual Host, Bare Metal, and Containerized Host. The image highlights the functionalities of Cisco Secure Workload, such as policy discovery, policy analysis, policy enforcement, and compliance across these different platforms.
图 1.在 NVIDIA BlueField-3 DPU 上运行的 Cisco 安全工作负载代理

NVIDIA BlueField-3 DPU 是数据中心服务交付领域的颠覆性产品。BlueField 是一款 400 gigabits per second (Gb/s) 基础设施计算平台,可以对 cybersecurity、storage 和 software-defined networking 进行线速处理。该平台集成了强大的计算能力、高速 networking 和广泛的可编程性,可以为要求严苛的工作负载提供 software-defined、hardware-accelerated 解决方案。

主要特性包括:

  • Hardware Acceleration and Offloading:BlueField DPU 内置了用于 encryption、decryption 和 data compression 等特定安全功能的专用 hardware accelerators。这些 accelerators 可以从 CPU 中卸载这些 computationally intensive 任务,从而显著提高性能。
  • 增强的可扩展性:随着环境中 VM 数量的增加,传统的基于代理的方法变得难以管理。BlueField-3 具有硬件卸载功能,可在不影响性能的情况下提供更大的可扩展性,以容纳更多 VM。
  • Fortified security:BlueField-3 在网络和 VM 之间提供了一层隔离。这种隔离通过防止 malware 或 unauthorized access attempts 直接访问 VM,从而加强整体 security posture。BlueField-3 基于硬件的 security features 还补充了 Cisco Secure Workload 的 software-based protections。这些功能包括:
    • Secure boot:确保在系统启动期间仅加载经过授权的 firmware,从而防止 unauthorized modifications。
  • 简化的工作负载实施:通过将安全任务卸载到数据处理单元(DPU),Cisco Secure Workload 3.9 可以更高效地执行安全策略。这是因为 BlueField-3 专门为高性能数据处理而设计,与基于虚拟机(VM)的传统代理相比,它能够以更高的效率处理安全操作。
  • 降低延迟:将安全功能卸载到 BlueField-3 可降低与安全强制实施相关的延迟,从而缩短应用程序响应时间并改善用户体验。
  • 简化操作:BlueField-3 上安全策略的集中管理简化了操作任务。管理员不再需要在每个 VM 上管理单个代理,从而降低安全管理的整体复杂性。

BlueField 技术优势

BlueField 在 Cisco Secure Workload 解决方案中发挥着关键作用,该解决方案可以监控网络流量,并将其发送到中央 agent 进行分析。agent 提供可操作的情报,根据观察到的模式建议优化的用户行为,以防止威胁蔓延,并最大限度地减少攻击面。

BlueField 采用 16 个 Arm A78 cores v8.2+,配备 SkyMesh 完全一致的低延迟 interconnect、8 MB L2 cache 和 16 MB LLC system cache,从而优化了高性能 packet processing 应用程序和高级 packet handling。这使得 BlueField 成为卸载 CPU 计算和数据密集型任务的理想选择,使其能够专注于高价值的业务运营。

对于 Cisco 安全工作负载,NVIDIA 加速交换和数据包处理 (ASAP2)NVIDIA DOCA 提高了可扩展性和 CPU 效率。将通信和 Open vSwitch (OVS) 处理卸载到 BlueField 数据处理器(DPU)可简化并减少每个虚拟机(VM)对代理实例的需求。OVS 使 VM 能够相互通信并与外部世界通信。OVS 传统上驻留在 hypervisor 中,交换基于流的 12 元组匹配。

基于 OVS 软件的解决方案需要占用大量 CPU,这会影响系统性能并阻止充分利用可用带宽。ASAP2 技术通过在 BlueField 中处理 OVS 数据平面来卸载 OVS,同时保持 OVS 控制平面不变。这可以显著提高 OVS 性能,而无需相关的 CPU 负载。

其结果是大幅提高了效率、更好的 CPU 性能和可扩展性。

从安全性和可编程性的角度来看,BlueField 硬件访问控制列表 (ACL) 通过将 ACL 的处理从 CPU 卸载到 DPU 来确保强大的安全性。这样可以释放 CPU 来执行其他任务,并提高整体系统性能。

通常情况下,中央处理器(CPU)将负责根据一组访问控制列表(ACL)规则检查每个传入和传出的数据包,而对于高速网络而言,这可能是一个耗时的过程。当卸载到 BlueField 时,数据处理器(DPU)可以接管根据 ACL 规则检查数据包的任务,并且由于 DPU 专门为处理网络任务而设计,因此可以更快地完成此任务。

BlueField 硬件加速还能更快、更高效地加密和解密计算节点和存储系统之间传输的数据。这可确保数据机密性,而不会对网络性能产生重大影响。

这些安全增强功能的优势包括改进数据机密性、减少攻击面和优化安全性能。

总结

Cisco Secure Workload 代表了在安全和运营效率方面向前迈出的重要一步。通过集成 NVIDIA BlueField-3 数据处理器(DPU),Cisco 创建了一种解决方案,可以在不影响性能的情况下提供强大的保护。硬件和软件创新结合为各种规模的企业创造更安全、更敏捷的未来铺平了道路。

通过利用思科安全工作负载和 NVIDIA BlueField-3 的强大功能,组织可以实现以前无法实现的新安全级别。如需了解详情,请访问思科安全工作负载

探索如何借助 NVIDIA AI 和 NVIDIA AI 技术,转变网络的效率和安全性,并充分发挥数据中心的潜力。NVIDIA BlueField DPU要深入了解社区,请查看NVIDIA BlueField DPU 论坛

标签