0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

DPU应用场景系列(三)安全功能卸载

中科驭数(北京)科技有限公司 2022-05-31 11:39 次阅读

一、硬件信任根

硬件信任根在安全领域是其它安全功能的基础,主要表现如下方面:

(1)硬件信任根(Root-Of-Trust):硬件信任根提供更离散的密钥生成算法,并且与主机操作系统相隔离,可以做到硬件防破解。硬件信任根实现私有密钥存储,可以反克隆和签名。通过硬件信任根认证授权实现访问受控。

(2)加密解密(Encryption/Decryption):数据加密解密算法完全卸载到硬件网卡,无需主机CPU资源,效率更高更可靠。可以实现通用加密算法和国密算法等。

(3)密钥证书管理(KMS):密钥证书管理卸载到智能网卡,与主机系统相隔离;支持多种密钥交换算法,如D-H密钥交换等。

(4)动态数据安全(Secure Data-in-Motion):利用硬件级加解密算法,对传输通道上的数据做加解密处理,如IPSec和TLS等。硬件处理可以实现更高吞吐量。

(5)静态数据安全(Secure Data-at-Rest):在存储服务中,永久存盘的数据需要进行加密,防止被窃取,硬件级数据加解密在存储服务中可以提供更高效的数据读取,并保证数据安全。

(6)流日志和流分析(Flowlog):流分析和流日志监控,对数据中心流量做精细监控,有效识别,可以及时识别DDoS攻击,并做出响应。

二、安全服务应用

在安全领域,还有很多的安全功能产品,如NGFW,WAF,IPS/IDS,DDoS防御设备等。随着云和虚拟化技术的发展,越来越多的安全功能产品的实现方式转为虚拟化方式,并通过云平台来部署管理。这些安全功能产品由于部署在数据中心流量的主要路径上,转发性能对整体网络的吞吐量和时延具有重要的影响。基于X86的软件实现方式,需要大量CPU资源来处理对应的业务逻辑,性能上的瓶颈已经愈发明显。通过智能网卡对这些安全功能产品做硬件加速,已经是必然趋势。

poYBAGKVjNCAMNYFAAdVGJO8EzY530.png

图安全服务应用硬件卸载

由于安全功能产品对报文处理的深度不同,有些只需要在二至四层处理,有些则需要在七层进行处理,所以在智能网卡的卸载方式上,也存在不同。如NGFW和DDoS等设备,可以通过流表卸载的方式,对流量进行拦截,来加速运行在主机系统中的安全服务应用。如IPS/IDS等,需要对报文内容做深度检测,则可以通过in-line的方式将数据深度检测功能卸载到智能网卡的CPU上,这时需要智能网卡的CPU具有较强的性能。

三、隔离网络虚拟化

在传统的网卡上做云平台虚拟化,Hypervisor以及对应的虚拟化网络的实现,都是在主机操作系统上实现的。这样如果黑客如果攻陷了Hypervisor并拿到主机操作系统的root权限,就可以通过篡改虚拟化网络配置,来对租户网络进行攻击,甚至可以渗透到其它计算节点,进行更大范围的攻击。

pYYBAGKVjNCAJRkGAAGQ_Ri6KUk828.png

图隔离虚拟化网络

引入DPU智能网卡之后,将虚拟化网络的控制平面完全卸载到智能网卡上,与主机操作系统相隔离。即使黑客攻陷了Hypervisor,获取了主机操作系统的root权限,也无法篡改虚拟化网络的配置,这样可以将黑客的攻击范围限制在主机操作系统上,不会影响到虚拟化网络以及其它主机。进而达到了安全隔离的效果。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • DPU
    DPU
    +关注

    关注

    0

    文章

    357

    浏览量

    24169
收藏 人收藏

    评论

    相关推荐

    PCBA分析仪的技术原理和应用场景

    PCBA分析仪,通常指的是多功能PCBA测试仪,是一种综合性测试设备,能够同时进行多种测试,如功能测试、ICT(在线测试)、AOI(自动光学检测)、X射线检测等。以下是对其技术原理和应用场景的详细
    发表于 12-04 14:31

    测试接收机的技术原理和应用场景

    测试接收机是一种专门用于信号测量和分析的电子设备,具有高精度、高灵敏度、高稳定性等特点。以下将详细阐述测试接收机的技术原理和应用场景。一、技术原理测试接收机的工作原理是将待测设备产生的信号通过
    发表于 12-03 14:23

    系统放大器的技术原理和应用场景

    系统放大器是一种重要的电子设备,其技术原理和应用场景都具有一定的专业性和广泛性。以下是对系统放大器的技术原理和应用场景的详细介绍:一、技术原理系统放大器的工作原理基于电子器件的非线性特性,通过控制
    发表于 11-18 14:46

    汽车雷达回波发生器的技术原理和应用场景

    汽车雷达回波发生器是一种新型的雷达测试设备,以下是对其技术原理和应用场景的详细介绍:技术原理汽车雷达设备在发送电磁波信号时,若遇到目标物体,该物体会反射出回波信号,随后被雷达接收机捕获。这些回波信号
    发表于 11-15 14:06

    边缘计算网关的作用是什么,有什么功能和使用场景

    、边缘计算、协议转换、地址转换等功能,从而实现不同网络、设备及系统之间的通信 。 安科瑞Anet系列网关功能众多,下面我们来看一下他的功能和使用场景
    的头像 发表于 11-08 16:32 326次阅读
    边缘计算网关的作用是什么,有什么<b class='flag-5'>功能</b>和使<b class='flag-5'>用场景</b>

    实时示波器的技术原理和应用场景

    有频谱分析功能,可以将时域信号转换为频域信号,从而显示信号的频谱特性。综上所述,实时示波器凭借其独特的技术原理和广泛的应用场景,在电子工程和通信技术领域发挥着不可替代的作用。
    发表于 10-23 14:22

    源测量单元设备的技术原理和应用场景

    源测量单元(SMU)设备是一种集成了精密电源(PPS)和高性能数字万用表(DMM)功能的测试设备。以下是对其技术原理和应用场景的详细解析:一、技术原理 集成功能: SMU在单个仪器中集成了电源
    发表于 10-22 11:10

    太阳膜测试仪的技术原理和应用场景

    性能及其在不同应用场景下的表现。这有助于推动太阳膜技术的发展和创新。 综上所述,太阳膜测试仪通过其独特的技术原理和广泛的应用场景,在多个行业中发挥着重要的作用。随着技术的不断进步和应用领域的不断拓展,太阳膜测试仪的性能和功能也将
    发表于 09-29 14:18

    超声波测厚仪的技术原理和应用场景

    测厚仪还可应用于陶瓷加工、玻璃制造、管道防腐等领域,其广泛的应用范围体现了其在工业生产、质量控制和安全检测等方面的重要性。综上所述,超声波测厚仪以其独特的技术原理和广泛的应用场景,成为了工业检测领域中不可或缺的重要工具。
    发表于 09-27 15:06

    智能IC卡测试设备的技术原理和应用场景

    ,如数据存储能力、数据处理能力、安全性能等。 应用场景智能IC卡测试设备在多个领域都有广泛的应用场景,主要包括以下几个方面: 卡片制造行业: 在卡片生产过程中,需要对IC卡进行严格的测试,以确保其
    发表于 09-26 14:27

    NFC协议分析仪的技术原理和应用场景

    和处理。 应用场景NFC协议分析仪在多个领域都有重要的应用场景,主要包括但不限于以下几个方面: 移动支付:在移动支付领域,NFC协议分析仪可以用于分析移动支付过程中涉及的通信协议和安全性。通过模拟支付
    发表于 09-25 14:45

    IaaS+on+DPU(IoD)+下一代高性能算力底座技术白皮书

    数据中心的第颗“主力芯片”,主要通过其专用处理器优化数据中心的网络、存储、安全等处理性能,助力服务器运行效率显著提升,有效降低成本。因此,在新型数据中心建设时,围绕 DPU 构建数据中心网络的基础设施
    发表于 07-24 15:32

    NanoEdge AI的技术原理、应用场景及优势

    能耗并提高数据安全性。本文将对 NanoEdge AI 的技术原理、应用场景以及优势进行综述。 1、技术原理 NanoEdge AI 的核心技术包括边缘计算、神经网络压缩和低功耗硬件设计。边缘计算
    发表于 03-12 08:09

    兴汉携手芯启源发布一款为网络防火墙量身定制的DPU安全卸载模块

    北京兴汉网际股份有限公司(NEXSEC)与芯启源电子科技有限公司(Corigine)携手,经过一整年的潜心研发与努力,正式发布了LAG 4A20—— 一款为网络防火墙量身定制的DPU安全卸载模块。
    的头像 发表于 03-01 15:24 888次阅读
    兴汉携手芯启源发布一款为网络防火墙量身定制的<b class='flag-5'>DPU</b><b class='flag-5'>安全</b><b class='flag-5'>卸载</b>模块

    AG32VF-MIPI应用场景

    的基础上,集成了MIPI接口协议,提供了丰富的功能和特性,能够满足不同应用场景的需求,为用户提供更加全面、便捷、高效的数据传输方案。 基本参数: MIPI up to 1.5Gbps LVDS up
    发表于 01-22 08:56