數據處理單元，或 DPU，是一個全面和創新的安全產品的新基礎。超規模巨頭和電信提供商已經采用了這一戰略來構建和保護高效的云數據中心，現在企業客戶可以使用它。這一戰略徹底改變了將風險降至最低并在數據中心內實施安全策略的方法。

DPU 是一種集成片上系統（ SOC ），它將高性能 CPU 、網絡接口和數據中心功能加速器組合到單個 ASIC 中。 DPU 利用可編程硬件以線路速率卸載和加速內聯安全服務。

BlueField DPU

NVIDIA ? BlueField? -2 DPU 提供了抵御攻擊的第一道防線。通過隔離、安全的啟動過程和安全的固件更新，可以防止試圖滲透到數據中心的內部攻擊。旨在加速整個數據中心的安全，DPU 能夠過濾數據包，以支持下一代防火墻和入侵檢測/預防系統。 DPU 可以檢測、阻止和保護敏感資產和數據免受威脅。

該設計提供內置的功能隔離，以保護單個工作負載，并在服務器級別提供靈活的控制和可見性，從而降低風險并提高效率。隔離使軟件代理和應用程序能夠在 DPU 上安全運行，而不考慮系統的其他部分。

DPU 與主機隔離，并利用獨特的硬件功能，可以通過減少攻擊面和增強單個工作負載隔離來實現提供更好的安全性，從而提供額外的保護以降低風險并簡化安全管理策略。

此外， DPU 可以卸載和加速加密操作，并在靜止或運動時提供數據加密。釋放主機 CPU 以運行關鍵應用程序，并將其與應用程序域隔離，從而使加密密鑰不受可能受到危害的主機的保護。

防火墻安全的角色變化

云計算模型的采用需要能夠提供最大性能和靈活性的智能安全解決方案。在混合云和虛擬計算時代，安全功能已經發生了變化。它們被部署在每個主機中，以提供嚴格的策略實施，以及對可能的攻擊的可見性。

以前，主機內的保護需要運行一個軟件安全解決方案或 VM 設備，該解決方案或設備運行緩慢且消耗 CPU 資源。隨著新技術和帶寬需求的增加，基于主機的保護現在需要以線路速率提供硬件性能。

BlueField-2 DPU 可以用作這樣一種設備，用于過濾計算機之間的通信。 NVIDIA DPU 采用功能強大的可編程硬件和軟件網絡組件，具有一組可配置的規則來檢查以線路速率通過連接的所有通信量。與外圍安全解決方案結合使用時， DPU 可以擴展安全性，以包括基于主機的保護。

DPU 可以用作一個平臺，位于每個主機的入口和出口點，在計算邊緣最需要它的地方添加一個新的層。它們一起可以更好地防止對公司資產和資源的惡意威脅。

基于軟件的防火墻也給 CPU 增加了額外負擔，減少了應用程序處理的可用計算資源，減少了可以在單個主機上運行的 VM 、應用程序和服務的數量。 BlueField-2 DPU 安全平臺具有軟件安全堆棧，可從主機卸載安全服務，從而為在主機資源上運行的應用程序釋放 CPU 周期。

微分段

隨著計算和網絡虛擬化技術的使用，安全性的復雜性增加。微分段是虛擬化環境中的一種網絡安全技術，它在工作負載級別將數據中心邏輯上劃分為不同的安全分段。在這個低層次上，可以定義安全控制，并為每個獨特的細分市場提供安全服務。 BlueField-2 提供了一個平臺，用于托管微分段和網絡連接跟蹤服務，用于數據中心內流量的基于流量的網絡分析和應用程序級安全。

DPU 可以運行安全軟件堆棧，不會對服務器造成影響或妨礙應用程序性能。此硬件加速解決方案包括線速安全策略和實施功能，并與應用程序工作負載本身完全隔離。

已有十年歷史的周邊安全防御方法已經達到了性能限制和操作復雜性的臨界點。企業需要一種新的整體安全方法來實現強大的保護。企業數據中心正在發展，并在超規模和公共云提供商的引領下，采用 CDI ，還應采用類似的網絡安全策略。 BlueField-2 可以針對當前和未來的威脅為所有類型的工作負載提供保護，并為新的混合云時代提供最高的安全性、完整性和可靠性。

隨著網絡安全形勢日益復雜，安全專家繼續將 NVIDIA BlueField-2作為提供高級安全功能的平臺。

關于作者

Ariel Kit 是 NVIDIA 網絡產品營銷總監。 Ariel 負責管理 NVIDIA BlueField DPU 軟件組合和網絡安全的戰略和交付。 Ariel 在網絡安全和嵌入式片上系統領域擁有 6 年以上的產品開發經驗，并擁有 12 年以上的研發管理經驗。他有學士學位。通信系統工程和工商管理碩士。

審核編輯：郭婷