一、硬件信任根

硬件信任根在安全領(lǐng)域是其它安全功能的基礎(chǔ)，主要表現(xiàn)如下方面：

（1）硬件信任根（Root-Of-Trust）：硬件信任根提供更離散的密鑰生成算法，并且與主機(jī)操作系統(tǒng)相隔離，可以做到硬件防破解。硬件信任根實現(xiàn)私有密鑰存儲，可以反克隆和簽名。通過硬件信任根認(rèn)證授權(quán)實現(xiàn)訪問受控。

（2）加密解密（Encryption/Decryption）：數(shù)據(jù)加密解密算法完全卸載到硬件網(wǎng)卡，無需主機(jī)CPU資源，效率更高更可靠。可以實現(xiàn)通用加密算法和國密算法等。

（3）密鑰證書管理（KMS）：密鑰證書管理卸載到智能網(wǎng)卡，與主機(jī)系統(tǒng)相隔離；支持多種密鑰交換算法，如D-H密鑰交換等。

（4）動態(tài)數(shù)據(jù)安全（Secure Data-in-Motion）：利用硬件級加解密算法，對傳輸通道上的數(shù)據(jù)做加解密處理，如IPSec和TLS等。硬件處理可以實現(xiàn)更高吞吐量。

（5）靜態(tài)數(shù)據(jù)安全（Secure Data-at-Rest）：在存儲服務(wù)中，永久存盤的數(shù)據(jù)需要進(jìn)行加密，防止被竊取，硬件級數(shù)據(jù)加解密在存儲服務(wù)中可以提供更高效的數(shù)據(jù)讀取，并保證數(shù)據(jù)安全。

（6）流日志和流分析（Flowlog）：流分析和流日志監(jiān)控，對數(shù)據(jù)中心流量做精細(xì)監(jiān)控，有效識別，可以及時識別DDoS攻擊，并做出響應(yīng)。

二、安全服務(wù)應(yīng)用

在安全領(lǐng)域，還有很多的安全功能產(chǎn)品，如NGFW，WAF，IPS/IDS，DDoS防御設(shè)備等。隨著云和虛擬化技術(shù)的發(fā)展，越來越多的安全功能產(chǎn)品的實現(xiàn)方式轉(zhuǎn)為虛擬化方式，并通過云平臺來部署管理。這些安全功能產(chǎn)品由于部署在數(shù)據(jù)中心流量的主要路徑上，轉(zhuǎn)發(fā)性能對整體網(wǎng)絡(luò)的吞吐量和時延具有重要的影響。基于X86的軟件實現(xiàn)方式，需要大量CPU資源來處理對應(yīng)的業(yè)務(wù)邏輯，性能上的瓶頸已經(jīng)愈發(fā)明顯。通過智能網(wǎng)卡對這些安全功能產(chǎn)品做硬件加速，已經(jīng)是必然趨勢。

圖安全服務(wù)應(yīng)用硬件卸載

由于安全功能產(chǎn)品對報文處理的深度不同，有些只需要在二至四層處理，有些則需要在七層進(jìn)行處理，所以在智能網(wǎng)卡的卸載方式上，也存在不同。如NGFW和DDoS等設(shè)備，可以通過流表卸載的方式，對流量進(jìn)行攔截，來加速運行在主機(jī)系統(tǒng)中的安全服務(wù)應(yīng)用。如IPS/IDS等，需要對報文內(nèi)容做深度檢測，則可以通過in-line的方式將數(shù)據(jù)深度檢測功能卸載到智能網(wǎng)卡的CPU上，這時需要智能網(wǎng)卡的CPU具有較強(qiáng)的性能。

三、隔離網(wǎng)絡(luò)虛擬化

在傳統(tǒng)的網(wǎng)卡上做云平臺虛擬化，Hypervisor以及對應(yīng)的虛擬化網(wǎng)絡(luò)的實現(xiàn)，都是在主機(jī)操作系統(tǒng)上實現(xiàn)的。這樣如果黑客如果攻陷了Hypervisor并拿到主機(jī)操作系統(tǒng)的root權(quán)限，就可以通過篡改虛擬化網(wǎng)絡(luò)配置，來對租戶網(wǎng)絡(luò)進(jìn)行攻擊，甚至可以滲透到其它計算節(jié)點，進(jìn)行更大范圍的攻擊。

圖隔離虛擬化網(wǎng)絡(luò)

引入DPU智能網(wǎng)卡之后，將虛擬化網(wǎng)絡(luò)的控制平面完全卸載到智能網(wǎng)卡上，與主機(jī)操作系統(tǒng)相隔離。即使黑客攻陷了Hypervisor，獲取了主機(jī)操作系統(tǒng)的root權(quán)限，也無法篡改虛擬化網(wǎng)絡(luò)的配置，這樣可以將黑客的攻擊范圍限制在主機(jī)操作系統(tǒng)上，不會影響到虛擬化網(wǎng)絡(luò)以及其它主機(jī)。進(jìn)而達(dá)到了安全隔離的效果。