隨著網絡攻擊變得越來越復雜,組織必須不斷采用先進的解決方案來保護其關鍵資產。其中一種解決方案是Cisco Secure Workload,這是一種全面的安全解決方案,旨在保護跨不同基礎設施、位置和外形尺寸的應用程序工作負載。
Cisco 最近發布了 Cisco Secure Workload 3.9 版,該版本將企業的安全性和運營效率提升到了新的水平。它提供了新的功能來緩解威脅和漏洞,并為部署 microsegmentation 提供了更大的靈活性。現在,它還擴展到NVIDIA BlueField-3 數據處理器,其專用 Arm 核心可以加速硬件任務并隔離特定操作,從而確保高效數據處理和強大的安全性,從而打造更精簡、更安全的基礎設施。
思科安全工作負載主要功能
思科安全工作負載可為每次工作負載交互提供出色的可見性,并利用 AI 的強大功能自動執行人類管理員無法完成的任務,從而保護應用程序工作負載。
思科安全工作負載提供多種功能,包括:
- 微分段:此技術可隔離工作負載并限制網絡內的橫向移動,從而防止威脅擴散并最大限度地減少攻擊面。
- 工作負載加密:靜態和傳輸中的數據加密可保護敏感信息,即使攻擊者獲得了系統訪問權限也無妨。
- 威脅檢測和預防:思科安全工作負載采用高級威脅檢測機制來實時識別和阻止惡意活動。
- 自動事件響應:該解決方案可自動執行事件響應程序,使組織能夠快速遏制和補救威脅。
與 NVIDIA BlueField-3 DPU 集成
Cisco Secure Workload 與 NVIDIA BlueField DPUs 集成,徹底改變了 workload security。BlueField DPUs 是一種可編程處理器,專門為卸載 CPU 中的任務和增強 data center security 而設計。它們駐留在 server hardware 上,戰略性地位于 network 和 virtual machines(VMs)之間的數據路徑中。
通過利用 BlueField DPU,Cisco 安全工作負載可以從 VM 中卸載安全關鍵型工作負載。這可以釋放 VM 上的寶貴 CPU 資源,使其能夠專注于核心應用程序處理任務,并提高整體應用程序性能。
NVIDIA BlueField-3 DPU 是數據中心服務交付領域的顛覆性產品。BlueField 是一款 400 gigabits per second (Gb/s) 基礎設施計算平臺,可以對 cybersecurity、storage 和 software-defined networking 進行線速處理。該平臺集成了強大的計算能力、高速 networking 和廣泛的可編程性,可以為要求嚴苛的工作負載提供 software-defined、hardware-accelerated 解決方案。
主要特性包括:
- Hardware Acceleration and Offloading:BlueField DPU 內置了用于 encryption、decryption 和 data compression 等特定安全功能的專用 hardware accelerators。這些 accelerators 可以從 CPU 中卸載這些 computationally intensive 任務,從而顯著提高性能。
- 增強的可擴展性:隨著環境中 VM 數量的增加,傳統的基于代理的方法變得難以管理。BlueField-3 具有硬件卸載功能,可在不影響性能的情況下提供更大的可擴展性,以容納更多 VM。
- Fortified security:BlueField-3 在網絡和 VM 之間提供了一層隔離。這種隔離通過防止 malware 或 unauthorized access attempts 直接訪問 VM,從而加強整體 security posture。BlueField-3 基于硬件的 security features 還補充了 Cisco Secure Workload 的 software-based protections。這些功能包括:
- Secure boot:確保在系統啟動期間僅加載經過授權的 firmware,從而防止 unauthorized modifications。
- 簡化的工作負載實施:通過將安全任務卸載到數據處理單元(DPU),Cisco Secure Workload 3.9 可以更高效地執行安全策略。這是因為 BlueField-3 專門為高性能數據處理而設計,與基于虛擬機(VM)的傳統代理相比,它能夠以更高的效率處理安全操作。
- 降低延遲:將安全功能卸載到 BlueField-3 可降低與安全強制實施相關的延遲,從而縮短應用程序響應時間并改善用戶體驗。
- 簡化操作:BlueField-3 上安全策略的集中管理簡化了操作任務。管理員不再需要在每個 VM 上管理單個代理,從而降低安全管理的整體復雜性。
BlueField 技術優勢
BlueField 在 Cisco Secure Workload 解決方案中發揮著關鍵作用,該解決方案可以監控網絡流量,并將其發送到中央 agent 進行分析。agent 提供可操作的情報,根據觀察到的模式建議優化的用戶行為,以防止威脅蔓延,并最大限度地減少攻擊面。
BlueField 采用 16 個 Arm A78 cores v8.2+,配備 SkyMesh 完全一致的低延遲 interconnect、8 MB L2 cache 和 16 MB LLC system cache,從而優化了高性能 packet processing 應用程序和高級 packet handling。這使得 BlueField 成為卸載 CPU 計算和數據密集型任務的理想選擇,使其能夠專注于高價值的業務運營。
對于 Cisco 安全工作負載,NVIDIA 加速交換和數據包處理 (ASAP2) 和 NVIDIA DOCA 提高了可擴展性和 CPU 效率。將通信和 Open vSwitch (OVS) 處理卸載到 BlueField 數據處理器(DPU)可簡化并減少每個虛擬機(VM)對代理實例的需求。OVS 使 VM 能夠相互通信并與外部世界通信。OVS 傳統上駐留在 hypervisor 中,交換基于流的 12 元組匹配。
基于 OVS 軟件的解決方案需要占用大量 CPU,這會影響系統性能并阻止充分利用可用帶寬。ASAP2 技術通過在 BlueField 中處理 OVS 數據平面來卸載 OVS,同時保持 OVS 控制平面不變。這可以顯著提高 OVS 性能,而無需相關的 CPU 負載。
其結果是大幅提高了效率、更好的 CPU 性能和可擴展性。
從安全性和可編程性的角度來看,BlueField 硬件訪問控制列表 (ACL) 通過將 ACL 的處理從 CPU 卸載到 DPU 來確保強大的安全性。這樣可以釋放 CPU 來執行其他任務,并提高整體系統性能。
通常情況下,中央處理器(CPU)將負責根據一組訪問控制列表(ACL)規則檢查每個傳入和傳出的數據包,而對于高速網絡而言,這可能是一個耗時的過程。當卸載到 BlueField 時,數據處理器(DPU)可以接管根據 ACL 規則檢查數據包的任務,并且由于 DPU 專門為處理網絡任務而設計,因此可以更快地完成此任務。
BlueField 硬件加速還能更快、更高效地加密和解密計算節點和存儲系統之間傳輸的數據。這可確保數據機密性,而不會對網絡性能產生重大影響。
這些安全增強功能的優勢包括改進數據機密性、減少攻擊面和優化安全性能。
總結
Cisco Secure Workload 代表了在安全和運營效率方面向前邁出的重要一步。通過集成 NVIDIA BlueField-3 數據處理器(DPU),Cisco 創建了一種解決方案,可以在不影響性能的情況下提供強大的保護。硬件和軟件創新結合為各種規模的企業創造更安全、更敏捷的未來鋪平了道路。
通過利用思科安全工作負載和 NVIDIA BlueField-3 的強大功能,組織可以實現以前無法實現的新安全級別。如需了解詳情,請訪問思科安全工作負載。
探索如何借助 NVIDIA AI 和 NVIDIA AI 技術,轉變網絡的效率和安全性,并充分發揮數據中心的潛力。NVIDIA BlueField DPU要深入了解社區,請查看NVIDIA BlueField DPU 論壇。
