隨著網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，組織必須不斷采用先進(jìn)的解決方案來保護(hù)其關(guān)鍵資產(chǎn)。其中一種解決方案是Cisco Secure Workload，這是一種全面的安全解決方案，旨在保護(hù)跨不同基礎(chǔ)設(shè)施、位置和外形尺寸的應(yīng)用程序工作負(fù)載。

      Cisco 最近發(fā)布了 Cisco Secure Workload 3.9 版，該版本將企業(yè)的安全性和運(yùn)營效率提升到了新的水平。它提供了新的功能來緩解威脅和漏洞，并為部署 microsegmentation 提供了更大的靈活性。現(xiàn)在，它還擴(kuò)展到NVIDIA BlueField-3 數(shù)據(jù)處理器，其專用 Arm 核心可以加速硬件任務(wù)并隔離特定操作，從而確保高效數(shù)據(jù)處理和強(qiáng)大的安全性，從而打造更精簡、更安全的基礎(chǔ)設(shè)施。

思科安全工作負(fù)載主要功能

思科安全工作負(fù)載可為每次工作負(fù)載交互提供出色的可見性，并利用 AI 的強(qiáng)大功能自動執(zhí)行人類管理員無法完成的任務(wù)，從而保護(hù)應(yīng)用程序工作負(fù)載。

思科安全工作負(fù)載提供多種功能，包括：

· 微分段：此技術(shù)可隔離工作負(fù)載并限制網(wǎng)絡(luò)內(nèi)的橫向移動，從而防止威脅擴(kuò)散并最大限度地減少攻擊面。

· 工作負(fù)載加密：靜態(tài)和傳輸中的數(shù)據(jù)加密可保護(hù)敏感信息，即使攻擊者獲得了系統(tǒng)訪問權(quán)限也無妨。

· 威脅檢測和預(yù)防：思科安全工作負(fù)載采用高級威脅檢測機(jī)制來實(shí)時識別和阻止惡意活動。

· 自動事件響應(yīng)：該解決方案可自動執(zhí)行事件響應(yīng)程序，使組織能夠快速遏制和補(bǔ)救威脅。

與 NVIDIA BlueField-3 DPU 集成

      Cisco Secure Workload 與 NVIDIA BlueField DPUs 集成，徹底改變了 workload security。BlueField DPUs 是一種可編程處理器，專門為卸載 CPU 中的任務(wù)和增強(qiáng) data center security 而設(shè)計(jì)。它們駐留在 server hardware 上，戰(zhàn)略性地位于 network 和 virtual machines（VMs）之間的數(shù)據(jù)路徑中。

     通過利用 BlueField DPU，Cisco 安全工作負(fù)載可以從 VM 中卸載安全關(guān)鍵型工作負(fù)載。這可以釋放 VM 上的寶貴 CPU 資源，使其能夠?qū)Ｗ⒂诤诵膽?yīng)用程序處理任務(wù)，并提高整體應(yīng)用程序性能。

      NVIDIA BlueField-3 DPU 是數(shù)據(jù)中心服務(wù)交付領(lǐng)域的顛覆性產(chǎn)品。BlueField 是一款 400 gigabits per second (Gb/s) 基礎(chǔ)設(shè)施計(jì)算平臺，可以對 cybersecurity、storage 和 software-defined networking 進(jìn)行線速處理。該平臺集成了強(qiáng)大的計(jì)算能力、高速 networking 和廣泛的可編程性，可以為要求嚴(yán)苛的工作負(fù)載提供 software-defined、hardware-accelerated 解決方案。

主要特性包括：

· Hardware Acceleration and Offloading：BlueField DPU 內(nèi)置了用于 encryption、decryption 和 data compression 等特定安全功能的專用 hardware accelerators。這些 accelerators 可以從 CPU 中卸載這些 computationally intensive 任務(wù)，從而顯著提高性能。

· 增強(qiáng)的可擴(kuò)展性：隨著環(huán)境中 VM 數(shù)量的增加，傳統(tǒng)的基于代理的方法變得難以管理。BlueField-3 具有硬件卸載功能，可在不影響性能的情況下提供更大的可擴(kuò)展性，以容納更多 VM。

· Fortified security：BlueField-3 在網(wǎng)絡(luò)和 VM 之間提供了一層隔離。這種隔離通過防止 malware 或 unauthorized access attempts 直接訪問 VM，從而加強(qiáng)整體 security posture。BlueField-3 基于硬件的 security features 還補(bǔ)充了 Cisco Secure Workload 的 software-based protections。這些功能包括：

o Secure boot：確保在系統(tǒng)啟動期間僅加載經(jīng)過授權(quán)的 firmware，從而防止 unauthorized modifications。

· 簡化的工作負(fù)載實(shí)施：通過將安全任務(wù)卸載到數(shù)據(jù)處理單元（DPU），Cisco Secure Workload 3.9 可以更高效地執(zhí)行安全策略。這是因?yàn)?BlueField-3 專門為高性能數(shù)據(jù)處理而設(shè)計(jì)，與基于虛擬機(jī)（VM）的傳統(tǒng)代理相比，它能夠以更高的效率處理安全操作。

· 降低延遲：將安全功能卸載到 BlueField-3 可降低與安全強(qiáng)制實(shí)施相關(guān)的延遲，從而縮短應(yīng)用程序響應(yīng)時間并改善用戶體驗(yàn)。

· 簡化操作：BlueField-3 上安全策略的集中管理簡化了操作任務(wù)。管理員不再需要在每個 VM 上管理單個代理，從而降低安全管理的整體復(fù)雜性。

BlueField 技術(shù)優(yōu)勢

      BlueField 在 Cisco Secure Workload 解決方案中發(fā)揮著關(guān)鍵作用，該解決方案可以監(jiān)控網(wǎng)絡(luò)流量，并將其發(fā)送到中央 agent 進(jìn)行分析。agent 提供可操作的情報(bào)，根據(jù)觀察到的模式建議優(yōu)化的用戶行為，以防止威脅蔓延，并最大限度地減少攻擊面。

     BlueField 采用 16 個 Arm A78 cores v8.2+，配備 SkyMesh 完全一致的低延遲 interconnect、8 MB L2 cache 和 16 MB LLC system cache，從而優(yōu)化了高性能 packet processing 應(yīng)用程序和高級 packet handling。這使得 BlueField 成為卸載 CPU 計(jì)算和數(shù)據(jù)密集型任務(wù)的理想選擇，使其能夠?qū)Ｗ⒂诟邇r值的業(yè)務(wù)運(yùn)營。

       對于 Cisco 安全工作負(fù)載，NVIDIA 加速交換和數(shù)據(jù)包處理 (ASAP2) 和 NVIDIA DOCA 提高了可擴(kuò)展性和 CPU 效率。將通信和 Open vSwitch (OVS) 處理卸載到 BlueField 數(shù)據(jù)處理器（DPU）可簡化并減少每個虛擬機(jī)（VM）對代理實(shí)例的需求。OVS 使 VM 能夠相互通信并與外部世界通信。OVS 傳統(tǒng)上駐留在 hypervisor 中，交換基于流的 12 元組匹配。

      基于 OVS 軟件的解決方案需要占用大量 CPU，這會影響系統(tǒng)性能并阻止充分利用可用帶寬。ASAP2 技術(shù)通過在 BlueField 中處理 OVS 數(shù)據(jù)平面來卸載 OVS，同時保持 OVS 控制平面不變。這可以顯著提高 OVS 性能，而無需相關(guān)的 CPU 負(fù)載。

     其結(jié)果是大幅提高了效率、更好的 CPU 性能和可擴(kuò)展性。

      從安全性和可編程性的角度來看，BlueField 硬件訪問控制列表 (ACL) 通過將 ACL 的處理從 CPU 卸載到 DPU 來確保強(qiáng)大的安全性。這樣可以釋放 CPU 來執(zhí)行其他任務(wù)，并提高整體系統(tǒng)性能。

     通常情況下，中央處理器（CPU）將負(fù)責(zé)根據(jù)一組訪問控制列表（ACL）規(guī)則檢查每個傳入和傳出的數(shù)據(jù)包，而對于高速網(wǎng)絡(luò)而言，這可能是一個耗時的過程。當(dāng)卸載到 BlueField 時，數(shù)據(jù)處理器（DPU）可以接管根據(jù) ACL 規(guī)則檢查數(shù)據(jù)包的任務(wù)，并且由于 DPU 專門為處理網(wǎng)絡(luò)任務(wù)而設(shè)計(jì)，因此可以更快地完成此任務(wù)。

     BlueField 硬件加速還能更快、更高效地加密和解密計(jì)算節(jié)點(diǎn)和存儲系統(tǒng)之間傳輸?shù)臄?shù)據(jù)。這可確保數(shù)據(jù)機(jī)密性，而不會對網(wǎng)絡(luò)性能產(chǎn)生重大影響。

     這些安全增強(qiáng)功能的優(yōu)勢包括改進(jìn)數(shù)據(jù)機(jī)密性、減少攻擊面和優(yōu)化安全性能。

結(jié)語

     Cisco Secure Workload 代表了在安全和運(yùn)營效率方面向前邁出的重要一步。通過集成 NVIDIA BlueField-3 數(shù)據(jù)處理器（DPU），Cisco 創(chuàng)建了一種解決方案，可以在不影響性能的情況下提供強(qiáng)大的保護(hù)。硬件和軟件創(chuàng)新結(jié)合為各種規(guī)模的企業(yè)創(chuàng)造更安全、更敏捷的未來鋪平了道路。