隨著網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，企業(yè)必須不斷采用先進(jìn)的解決方案來保護(hù)其關(guān)鍵資產(chǎn)。Cisco Secure Workload就是其中一種解決方案，它是一種全面的安全解決方案，旨在保護(hù)跨不同基礎(chǔ)設(shè)施、位置和外形尺寸的應(yīng)用程序工作負(fù)載。

思科最近發(fā)布了Cisco Secure Workload 3.9 版，將企業(yè)的安全性和運營效率提升到了新的水平。它提供了新的功能來緩解威脅和漏洞，并為部署微分段（microsegmentation）提供了更大的靈活性。它現(xiàn)在還擴(kuò)展到NVIDIA BlueField-3 DPU，其專用 Arm 核心可以加速硬件任務(wù)并隔離特定操作，確保高效的數(shù)據(jù)處理和強大的安全性，從而打造更精簡、更安全的基礎(chǔ)設(shè)施。

Cisco Secure Workload 的主要功能

Cisco Secure Workload 可為每次工作負(fù)載交互提供出色的可見性，并利用 AI 的強大功能來自動執(zhí)行人類管理員無法完成的任務(wù)，從而保護(hù)應(yīng)用程序工作負(fù)載。

Cisco Secure Workload 提供多種功能，包括：

微分段：此技術(shù)可隔離工作負(fù)載并限制在網(wǎng)絡(luò)內(nèi)的橫向移動，從而防止威脅擴(kuò)散并最大限度地減少攻擊面。

工作負(fù)載加密：針對靜態(tài)存儲和網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密功能可以保護(hù)敏感信息，即使攻擊者獲得了系統(tǒng)訪問權(quán)限也無妨。

威脅檢測和預(yù)防：Cisco Secure Workload 采用高級威脅檢測機制來實時識別和阻止惡意活動。

自動事件響應(yīng)：該解決方案可自動執(zhí)行事件響應(yīng)程序，使企業(yè)能夠快速遏制和補救威脅。

與 NVIDIA BlueField-3 DPU 集成

Cisco Secure Workload 與 NVIDIA BlueField DPU 集成，徹底改變了工作負(fù)載安全。BlueField DPU 是一種可編程處理器，專門用于從 CPU 卸載任務(wù)和增強數(shù)據(jù)中心安全。它們駐留在服務(wù)器硬件上，戰(zhàn)略性地位于網(wǎng)絡(luò)和虛擬機（VMs）之間的數(shù)據(jù)路徑中。

通過利用 BlueField DPU，Cisco Secure Workload 可以從虛擬機卸載安全關(guān)鍵型工作負(fù)載。這可以釋放虛擬機上寶貴的 CPU 資源，使它們能夠?qū)Ｗ⒂诤诵膽?yīng)用程序處理任務(wù)，并提高整體應(yīng)用程序性能。

在 NVIDIA BlueField-3 DPU 上運行的 Cisco Secure Workload 代理

NVIDIA BlueField-3 DPU 改變了數(shù)據(jù)中心服務(wù)交付的格局。它是一款 400Gb/s 的基礎(chǔ)設(shè)施計算平臺，可以對網(wǎng)絡(luò)安全、存儲和軟件定義網(wǎng)絡(luò)進(jìn)行線速處理。該平臺集成了強大的計算能力、高速網(wǎng)絡(luò)和豐富的可編程性，可以為要求嚴(yán)苛的工作負(fù)載提供軟件定義、硬件加速的解決方案。

主要特性包括：

硬件加速和卸載：BlueField DPU 內(nèi)置了用于加密、解密和數(shù)據(jù)壓縮等特定安全功能的專用硬件加速器。這些加速器可以從 CPU 卸載這些計算密集型任務(wù)，從而顯著提高性能。

增強的可擴(kuò)展性：隨著環(huán)境中虛擬機數(shù)量的增加，傳統(tǒng)的基于代理的方法變得難以管理。BlueField-3具有硬件卸載功能，可在不影響性能的情況下提供更大的規(guī)模，以容納更多虛擬機。

強化的安全：BlueField-3 在網(wǎng)絡(luò)和虛擬機之間提供了隔離層。這種隔離通過防止惡意軟件或未經(jīng)授權(quán)的訪問來直接訪問虛擬機，從而加強整體安全態(tài)勢。BlueField-3 基于硬件的安全功能還為 Cisco Secure Workload 的基于軟件的保護(hù)提供支持。這些功能包括：

o安全啟動：確保在系統(tǒng)啟動期間僅加載經(jīng)過授權(quán)的固件，從而防止未經(jīng)授權(quán)的修改。

o內(nèi)存隔離：在內(nèi)存中創(chuàng)建安全區(qū)域，將安全工作負(fù)載與其他應(yīng)用程序隔離，防止惡意軟件篡改關(guān)鍵的安全進(jìn)程。

o硬件信任根：為加密操作提供防篡改的基礎(chǔ)，加強系統(tǒng)的整體安全態(tài)勢。

簡化的工作負(fù)載執(zhí)行：通過將安全任務(wù)卸載到 DPU，Cisco Secure Workload 3.9 可以更高效地執(zhí)行安全策略。這是因為 BlueField-3 專為高性能數(shù)據(jù)處理而設(shè)計，與傳統(tǒng)基于虛擬機的代理相比，它能夠更高效的處理安全操作。

降低時延：將安全功能卸載到 BlueField-3 可降低與安全執(zhí)行相關(guān)的延遲，從而縮短應(yīng)用程序響應(yīng)時間并改善用戶體驗。

簡化操作：BlueField-3 上安全策略的集中管理簡化了操作任務(wù)。管理員不再需要在每個虛擬機上管理單個代理，從而降低安全管理的整體復(fù)雜性。

BlueField 技術(shù)優(yōu)勢

BlueField 在 Cisco Secure Workload 解決方案的整體效率中發(fā)揮著關(guān)鍵作用，該解決方案可以監(jiān)控網(wǎng)絡(luò)流量，并將其發(fā)送到中央代理進(jìn)行分析。代理提供可操作的情報，根據(jù)觀察到的模式建議優(yōu)化的用戶行為，以防止威脅蔓延，并最大限度地減少攻擊面。

BlueField 采用 16 個 Arm A78 核心，配備 SkyMesh 完全一致的低時延互連、8MB 二級緩存和 16MB LLC 系統(tǒng)緩存，從而優(yōu)化了高性能數(shù)據(jù)包處理應(yīng)用程序和高級數(shù)據(jù)包處理。這使得 BlueField 成為卸載 CPU 計算和數(shù)據(jù)密集型任務(wù)的理想選擇，使 CPU 能夠?qū)Ｗ⒂诟邇r值的業(yè)務(wù)運營。

對于 Cisco Secure Workload，NVIDIA 加速交換和數(shù)據(jù)包處理 (ASAP2)和NVIDIA DOCA的結(jié)合提高了可擴(kuò)展性和 CPU 效率。將通信和Open vSwitch（OVS）處理卸載到 BlueField DPU 可簡化并減少每個虛擬機（VM）對代理實例的需求。OVS 使虛擬機能夠相互通信并與外界通信。OVS 傳統(tǒng)上駐留在虛擬機管理程序（hypervisor）中，交換基于流的 12 元組匹配。

基于 OVS 軟件的解決方案需要占用大量 CPU，這會影響系統(tǒng)性能并妨礙充分利用可用帶寬。ASAP2 技術(shù)通過在 BlueField 中處理 OVS 數(shù)據(jù)平面來卸載 OVS，同時保持 OVS 控制平面不變。這可以顯著提高 OVS 性能，而無需相關(guān)的 CPU 負(fù)載。

其結(jié)果是大幅提高了效率、更好的 CPU 性能和可擴(kuò)展性。

從安全性和可編程性的角度來看，BlueField 硬件訪問控制列表（ACL）通過將 ACL 的處理從 CPU 卸載到 DPU 來確保強大的安全性。這樣可以釋放 CPU 來執(zhí)行其他任務(wù)，并提高整體系統(tǒng)性能。

通常情況下，CPU 負(fù)責(zé)根據(jù)一組訪問控制列表（ACL）規(guī)則檢查每個傳入和傳出的數(shù)據(jù)包，而對于高速網(wǎng)絡(luò)而言，這可能是一個耗時的過程。當(dāng)卸載到 BlueField 時，DPU 可以接管根據(jù) ACL 規(guī)則檢查數(shù)據(jù)包的任務(wù)，并且由于 DPU 專門為處理網(wǎng)絡(luò)任務(wù)而設(shè)計，因此可以更快地完成此任務(wù)。

BlueField 硬件加速還能更快、更高效地加密和解密計算節(jié)點和存儲系統(tǒng)之間傳輸?shù)臄?shù)據(jù)。這可確保數(shù)據(jù)機密性，而不會對網(wǎng)絡(luò)性能產(chǎn)生重大影響。

這些安全增強功能的優(yōu)勢包括提高數(shù)據(jù)機密性、減少攻擊面和優(yōu)化安全性能。

總結(jié)

Cisco Secure Workload 代表了在安全和運營效率方面的重大進(jìn)步。通過集成 NVIDIA BlueField-3 DPU，思科創(chuàng)建了一種解決方案，可以在不影響性能的情況下提供強大的保護(hù)。硬件和軟件的創(chuàng)新結(jié)合為各種規(guī)模的企業(yè)創(chuàng)造更安全、更敏捷的未來鋪平了道路。

審核編輯：彭菁