NVIDIA BlueField-3 DPU助力思科提高工作负载安全性和运营效率

随着网络攻击变得越来越复杂，企业必须不断采用先进的解决方案来保护其关键资产。Cisco Secure Workload就是其中一种解决方案，它是一种全面的安全解决方案，旨在保护跨不同基础设施、位置和外形尺寸的应用程序工作负载。

思科最近发布了Cisco Secure Workload 3.9 版，将企业的安全性和运营效率提升到了新的水平。它提供了新的功能来缓解威胁和漏洞，并为部署微分段（microsegmentation）提供了更大的灵活性。它现在还扩展到NVIDIA BlueField-3 DPU，其专用 Arm 核心可以加速硬件任务并隔离特定操作，确保高效的数据处理和强大的安全性，从而打造更精简、更安全的基础设施。

Cisco Secure Workload 的主要功能

Cisco Secure Workload 可为每次工作负载交互提供出色的可见性，并利用 AI 的强大功能来自动执行人类管理员无法完成的任务，从而保护应用程序工作负载。

Cisco Secure Workload 提供多种功能，包括：

微分段：此技术可隔离工作负载并限制在网络内的横向移动，从而防止威胁扩散并最大限度地减少攻击面。

工作负载加密：针对静态存储和网络传输的数据加密功能可以保护敏感信息，即使攻击者获得了系统访问权限也无妨。

威胁检测和预防：Cisco Secure Workload 采用高级威胁检测机制来实时识别和阻止恶意活动。

自动事件响应：该解决方案可自动执行事件响应程序，使企业能够快速遏制和补救威胁。

与 NVIDIA BlueField-3 DPU 集成

Cisco Secure Workload 与 NVIDIA BlueField DPU 集成，彻底改变了工作负载安全。BlueField DPU 是一种可编程处理器，专门用于从 CPU 卸载任务和增强数据中心安全。它们驻留在服务器硬件上，战略性地位于网络和虚拟机（VMs）之间的数据路径中。

通过利用 BlueField DPU，Cisco Secure Workload 可以从虚拟机卸载安全关键型工作负载。这可以释放虚拟机上宝贵的 CPU 资源，使它们能够专注于核心应用程序处理任务，并提高整体应用程序性能。

在 NVIDIA BlueField-3 DPU 上运行的 Cisco Secure Workload 代理

NVIDIA BlueField-3 DPU 改变了数据中心服务交付的格局。它是一款 400Gb/s 的基础设施计算平台，可以对网络安全、存储和软件定义网络进行线速处理。该平台集成了强大的计算能力、高速网络和丰富的可编程性，可以为要求严苛的工作负载提供软件定义、硬件加速的解决方案。

主要特性包括：

硬件加速和卸载：BlueField DPU 内置了用于加密、解密和数据压缩等特定安全功能的专用硬件加速器。这些加速器可以从 CPU 卸载这些计算密集型任务，从而显著提高性能。

增强的可扩展性：随着环境中虚拟机数量的增加，传统的基于代理的方法变得难以管理。BlueField-3具有硬件卸载功能，可在不影响性能的情况下提供更大的规模，以容纳更多虚拟机。

强化的安全：BlueField-3 在网络和虚拟机之间提供了隔离层。这种隔离通过防止恶意软件或未经授权的访问来直接访问虚拟机，从而加强整体安全态势。BlueField-3 基于硬件的安全功能还为 Cisco Secure Workload 的基于软件的保护提供支持。这些功能包括：

o安全启动：确保在系统启动期间仅加载经过授权的固件，从而防止未经授权的修改。

o内存隔离：在内存中创建安全区域，将安全工作负载与其他应用程序隔离，防止恶意软件篡改关键的安全进程。

o硬件信任根：为加密操作提供防篡改的基础，加强系统的整体安全态势。

简化的工作负载执行：通过将安全任务卸载到 DPU，Cisco Secure Workload 3.9 可以更高效地执行安全策略。这是因为 BlueField-3 专为高性能数据处理而设计，与传统基于虚拟机的代理相比，它能够更高效的处理安全操作。

降低时延：将安全功能卸载到 BlueField-3 可降低与安全执行相关的延迟，从而缩短应用程序响应时间并改善用户体验。

简化操作：BlueField-3 上安全策略的集中管理简化了操作任务。管理员不再需要在每个虚拟机上管理单个代理，从而降低安全管理的整体复杂性。

BlueField 技术优势

BlueField 在 Cisco Secure Workload 解决方案的整体效率中发挥着关键作用，该解决方案可以监控网络流量，并将其发送到中央代理进行分析。代理提供可操作的情报，根据观察到的模式建议优化的用户行为，以防止威胁蔓延，并最大限度地减少攻击面。

BlueField 采用 16 个 Arm A78 核心，配备 SkyMesh 完全一致的低时延互连、8MB 二级缓存和 16MB LLC 系统缓存，从而优化了高性能数据包处理应用程序和高级数据包处理。这使得 BlueField 成为卸载 CPU 计算和数据密集型任务的理想选择，使 CPU 能够专注于高价值的业务运营。

对于 Cisco Secure Workload，NVIDIA 加速交换和数据包处理 (ASAP2)和NVIDIA DOCA的结合提高了可扩展性和 CPU 效率。将通信和Open vSwitch（OVS）处理卸载到 BlueField DPU 可简化并减少每个虚拟机（VM）对代理实例的需求。OVS 使虚拟机能够相互通信并与外界通信。OVS 传统上驻留在虚拟机管理程序（hypervisor）中，交换基于流的 12 元组匹配。

基于 OVS 软件的解决方案需要占用大量 CPU，这会影响系统性能并妨碍充分利用可用带宽。ASAP2 技术通过在 BlueField 中处理 OVS 数据平面来卸载 OVS，同时保持 OVS 控制平面不变。这可以显著提高 OVS 性能，而无需相关的 CPU 负载。

其结果是大幅提高了效率、更好的 CPU 性能和可扩展性。

从安全性和可编程性的角度来看，BlueField 硬件访问控制列表（ACL）通过将 ACL 的处理从 CPU 卸载到 DPU 来确保强大的安全性。这样可以释放 CPU 来执行其他任务，并提高整体系统性能。

通常情况下，CPU 负责根据一组访问控制列表（ACL）规则检查每个传入和传出的数据包，而对于高速网络而言，这可能是一个耗时的过程。当卸载到 BlueField 时，DPU 可以接管根据 ACL 规则检查数据包的任务，并且由于 DPU 专门为处理网络任务而设计，因此可以更快地完成此任务。

BlueField 硬件加速还能更快、更高效地加密和解密计算节点和存储系统之间传输的数据。这可确保数据机密性，而不会对网络性能产生重大影响。

这些安全增强功能的优势包括提高数据机密性、减少攻击面和优化安全性能。

总结

Cisco Secure Workload 代表了在安全和运营效率方面的重大进步。通过集成 NVIDIA BlueField-3 DPU，思科创建了一种解决方案，可以在不影响性能的情况下提供强大的保护。硬件和软件的创新结合为各种规模的企业创造更安全、更敏捷的未来铺平了道路。

审核编辑：彭菁