NVIDIA BlueField-2 DPU为数据中心提供高级安全功能

数据处理单元，或 DPU，是一个全面和创新的安全产品的新基础。超规模巨头和电信提供商已经采用了这一战略来构建和保护高效的云数据中心，现在企业客户可以使用它。这一战略彻底改变了将风险降至最低并在数据中心内实施安全策略的方法。

DPU 是一种集成片上系统（ SOC ），它将高性能 CPU 、网络接口和数据中心功能加速器组合到单个 ASIC 中。 DPU 利用可编程硬件以线路速率卸载和加速内联安全服务。

BlueField DPU

NVIDIA ® BlueField® -2 DPU 提供了抵御攻击的第一道防线。通过隔离、安全的启动过程和安全的固件更新，可以防止试图渗透到数据中心的内部攻击。旨在加速整个数据中心的安全，DPU 能够过滤数据包，以支持下一代防火墙和入侵检测/预防系统。 DPU 可以检测、阻止和保护敏感资产和数据免受威胁。

该设计提供内置的功能隔离，以保护单个工作负载，并在服务器级别提供灵活的控制和可见性，从而降低风险并提高效率。隔离使软件代理和应用程序能够在 DPU 上安全运行，而不考虑系统的其他部分。

DPU 与主机隔离，并利用独特的硬件功能，可以通过减少攻击面和增强单个工作负载隔离来实现提供更好的安全性，从而提供额外的保护以降低风险并简化安全管理策略。

此外， DPU 可以卸载和加速加密操作，并在静止或运动时提供数据加密。释放主机 CPU 以运行关键应用程序，并将其与应用程序域隔离，从而使加密密钥不受可能受到危害的主机的保护。

防火墙安全的角色变化

云计算模型的采用需要能够提供最大性能和灵活性的智能安全解决方案。在混合云和虚拟计算时代，安全功能已经发生了变化。它们被部署在每个主机中，以提供严格的策略实施，以及对可能的攻击的可见性。

以前，主机内的保护需要运行一个软件安全解决方案或 VM 设备，该解决方案或设备运行缓慢且消耗 CPU 资源。随着新技术和带宽需求的增加，基于主机的保护现在需要以线路速率提供硬件性能。

BlueField-2 DPU 可以用作这样一种设备，用于过滤计算机之间的通信。 NVIDIA DPU 采用功能强大的可编程硬件和软件网络组件，具有一组可配置的规则来检查以线路速率通过连接的所有通信量。与外围安全解决方案结合使用时， DPU 可以扩展安全性，以包括基于主机的保护。

DPU 可以用作一个平台，位于每个主机的入口和出口点，在计算边缘最需要它的地方添加一个新的层。它们一起可以更好地防止对公司资产和资源的恶意威胁。

基于软件的防火墙也给 CPU 增加了额外负担，减少了应用程序处理的可用计算资源，减少了可以在单个主机上运行的 VM 、应用程序和服务的数量。 BlueField-2 DPU 安全平台具有软件安全堆栈，可从主机卸载安全服务，从而为在主机资源上运行的应用程序释放 CPU 周期。

微分段

随着计算和网络虚拟化技术的使用，安全性的复杂性增加。微分段是虚拟化环境中的一种网络安全技术，它在工作负载级别将数据中心逻辑上划分为不同的安全分段。在这个低层次上，可以定义安全控制，并为每个独特的细分市场提供安全服务。 BlueField-2 提供了一个平台，用于托管微分段和网络连接跟踪服务，用于数据中心内流量的基于流量的网络分析和应用程序级安全。

DPU 可以运行安全软件堆栈，不会对服务器造成影响或妨碍应用程序性能。此硬件加速解决方案包括线速安全策略和实施功能，并与应用程序工作负载本身完全隔离。

已有十年历史的周边安全防御方法已经达到了性能限制和操作复杂性的临界点。企业需要一种新的整体安全方法来实现强大的保护。企业数据中心正在发展，并在超规模和公共云提供商的引领下，采用 CDI ，还应采用类似的网络安全策略。 BlueField-2 可以针对当前和未来的威胁为所有类型的工作负载提供保护，并为新的混合云时代提供最高的安全性、完整性和可靠性。

随着网络安全形势日益复杂，安全专家继续将 NVIDIA BlueField-2作为提供高级安全功能的平台。

关于作者

Ariel Kit 是 NVIDIA 网络产品营销总监。 Ariel 负责管理 NVIDIA BlueField DPU 软件组合和网络安全的战略和交付。 Ariel 在网络安全和嵌入式片上系统领域拥有 6 年以上的产品开发经验，并拥有 12 年以上的研发管理经验。他有学士学位。通信系统工程和工商管理硕士。

审核编辑：郭婷