深度數(shù)據(jù)包檢測(cè)（DPI）是網(wǎng)絡(luò)安全的一項(xiàng)關(guān)鍵技術(shù)，可在數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)傳輸時(shí)對(duì)其進(jìn)行檢測(cè)和分析。通過(guò)檢查這些數(shù)據(jù)包的內(nèi)容，DPI 可以識(shí)別惡意軟件、病毒和惡意流量等潛在的安全威脅，并防止它們滲透到網(wǎng)絡(luò)中。但是，DPI 的實(shí)施也會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生重大影響。

使用 NVIDIA BlueField DPU 可降低執(zhí)行深度數(shù)據(jù)包檢測(cè)的成本和性能影響。

Suricata 概述

Suricata 是一款高性能、開(kāi)源的網(wǎng)絡(luò)分析和威脅檢測(cè)應(yīng)用程序，供私有和共有組織使用，并供主要供應(yīng)商嵌入以保護(hù)資產(chǎn)。使用 Suricata（或任何其他入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)（IDS / IPS）解決方案）檢測(cè)高吞吐量流量需要高 CPU 占用率。因此，CPU 可用性可能會(huì)成為瓶頸。

數(shù)據(jù)中心的流量檢測(cè)可采用集中式的或分布式的：

• 集中式設(shè)備：使用一臺(tái)或多臺(tái)功能強(qiáng)大的服務(wù)器來(lái)檢測(cè)進(jìn)出數(shù)據(jù)中心的所有流量。

• 分布在所有節(jié)點(diǎn)上：數(shù)據(jù)中心內(nèi)的每個(gè)節(jié)點(diǎn)都負(fù)責(zé)使用其自身的一小部分計(jì)算能力來(lái)檢測(cè)其入口和出口流量。

每種方法都有其優(yōu)點(diǎn)和缺點(diǎn)。分布式檢測(cè)更為復(fù)雜，因?yàn)樗枰渴鸷凸芾硭蟹植际焦?jié)點(diǎn)。但是，它可以通過(guò)啟用東西向流量檢測(cè)以及為分布式節(jié)點(diǎn)處理的特定流量定制檢測(cè)規(guī)則來(lái)提供更高的安全級(jí)別。

BlueField DPU 可以加速集中式和分布式檢測(cè)。這降低了 Suricata 的計(jì)算資源利用率，并在釋放主機(jī)資源的同時(shí)實(shí)現(xiàn)了更高的網(wǎng)絡(luò)吞吐量。

有關(guān)如何在零信任環(huán)境中將 BlueField DPU 用于分布式解決方案的更多信息，請(qǐng)參閱 NVIDIA 發(fā)布零信任網(wǎng)絡(luò)安全平臺(tái)。

使用 BlueField DPU 和 NVIDIA DOCA

卸載 Suricata 旁路

2016 年發(fā)布的 Suricata v3.2 引入了旁路功能，使 Suricata 能夠在特定條件下停止檢測(cè)特定流。Suricata 支持以下類型的旁路流：

• 大象流：達(dá)到預(yù)先配置的流量限制的流。

• 加密流：無(wú)法檢測(cè)或只能部分檢測(cè)的流。

• 旁路規(guī)則：與要旁路的規(guī)則集中的預(yù)先配置規(guī)則匹配的流。

Suricata 使用內(nèi)核數(shù)據(jù)路徑在軟件中實(shí)現(xiàn)旁路。吞吐量得到了提高，但仍然依賴于消耗 CPU 周期的軟件將數(shù)據(jù)包直接路由到用戶空間，而無(wú)需經(jīng)過(guò) Suricata 引擎的檢測(cè)。

BlueField DPU 在其智能網(wǎng)卡子系統(tǒng)中提供了線速轉(zhuǎn)向模塊，可以使用 NVIDIA DOCA Flow API 進(jìn)行配置。DOCA Flow 是用于在硬件中構(gòu)建通用數(shù)據(jù)包處理管道的 API，使您能夠?qū)⑷肟诹髁恐囟ㄏ虻?ARM 子系統(tǒng)或直接重定向到主機(jī)。它還可以被配置為將出口流量重定向到 ARM 子系統(tǒng)或直接重定向到外部級(jí)聯(lián)端口。

使用具有 Suricata 的 DOCA Flow 來(lái)配置硬件，以便在主機(jī)和外部級(jí)聯(lián)端口之間直接重定向旁路流。這使得線速流量能夠重定向到這些流，以便進(jìn)行集中式和分布式檢測(cè)。

此外，BlueField-3 DPU 還包括一個(gè)具有 16 個(gè) ARM A78 核心的 ARM 子系統(tǒng)。在內(nèi)置 ARM 子系統(tǒng)上運(yùn)行的 Suricata 通過(guò)卸載到 ARM 處理器來(lái)降低主機(jī) CPU 的利用率。在 ARM 核心上運(yùn)行的 Suricata 可讓您使用 BlueField-3 DPU 來(lái)檢測(cè)同一主機(jī)上 VM 到 VM 的流量。

圖 1 : BlueField DPU 使用硬件加速來(lái)創(chuàng)建快速路徑流

為了展示在 Suricata 中 BlueField DPU 硬件加速旁路的價(jià)值，NVIDIA 對(duì)分布式檢測(cè)場(chǎng)景進(jìn)行了概念驗(yàn)證。Suricata 部署在 BlueField ARM 子系統(tǒng)上，Suricata 引擎更新使用 DOCA Flow API 來(lái)處理旁路流，而不是使用內(nèi)核旁路。我們?cè)?BlueField-3 DPU 上實(shí)現(xiàn)了 400G 設(shè)備雙向線速的旁路流，并實(shí)現(xiàn)了數(shù) Gbps 的檢測(cè)流，且在 x86 主機(jī)服務(wù)器上無(wú) CPU 負(fù)載。

圖 2 描述了傳統(tǒng)軟件解決方案（基于主機(jī)）與 DPU 加速和潛在分布式解決方案相比的網(wǎng)絡(luò)性能提升和 x86 CPU 利用率。

圖 2 : BlueField DPU 和 DOCA Flow API 強(qiáng)力加速吞吐量，

同時(shí)將服務(wù)器上的 CPU 負(fù)載降低到幾乎為零*

*實(shí)際流量的實(shí)際吞吐量取決于流量的類型和配置文件以及檢測(cè)規(guī)則集。性能可能會(huì)相應(yīng)變化。

總結(jié)

這項(xiàng)工作還可以用于加速其他流量檢測(cè)解決方案，例如：Snort 或 WAF，其原理與應(yīng)用于 Suricata 加速的原理相同。

BlueField DPU 還可用于加速以下各項(xiàng)：

• 內(nèi)聯(lián) IPsec 和 TLS 加速：支持以線速檢測(cè)加密流量。

• 快速模式匹配加速：使用 BlueField-3 DPU 中內(nèi)置的 RegEx 加速器。

• 與用戶空間數(shù)據(jù)路徑集成：實(shí)現(xiàn)約 10 – 20% 的性能提升。

• 接收端縮放（RSS）：為了更好地使用 ARM 子系統(tǒng)的 8 / 16 核心。

觀看下方視頻

了解更多關(guān)于 NVIDIA BlueField DPU 的信息！

掃描下方二維碼，或點(diǎn)擊“閱讀原文”查看更多有關(guān) NVIDIA BlueField DPU 的信息。

?

NVIDIA BlueField DPU 往期內(nèi)容 全球十只團(tuán)隊(duì)齊聚 NVIDIA 黑客松競(jìng)賽，探索網(wǎng)絡(luò)安全的全新解決方案
使用基于 AI 的網(wǎng)絡(luò)安全更快地檢測(cè)威脅
使用 DPU 加速的下一代防火墻實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全保護(hù)
借助 ARIA Cybersecurity 和 NVIDIA 實(shí)時(shí)阻止現(xiàn)代安全攻擊