深度數據包檢測（DPI）是網絡安全的一項關鍵技術，可在數據包通過網絡傳輸時對其進行檢測和分析。通過檢查這些數據包的內容，DPI 可以識別惡意軟件、病毒和惡意流量等潛在的安全威脅，并防止它們滲透到網絡中。但是，DPI 的實施也會對網絡性能產生重大影響。

使用 NVIDIA BlueField DPU 可降低執行深度數據包檢測的成本和性能影響。

Suricata 概述

Suricata 是一款高性能、開源的網絡分析和威脅檢測應用程序，供私有和共有組織使用，并供主要供應商嵌入以保護資產。使用 Suricata（或任何其他入侵檢測系統和入侵防御系統（IDS / IPS）解決方案）檢測高吞吐量流量需要高 CPU 占用率。因此，CPU 可用性可能會成為瓶頸。

數據中心的流量檢測可采用集中式的或分布式的：

• 集中式設備：使用一臺或多臺功能強大的服務器來檢測進出數據中心的所有流量。

• 分布在所有節點上：數據中心內的每個節點都負責使用其自身的一小部分計算能力來檢測其入口和出口流量。

每種方法都有其優點和缺點。分布式檢測更為復雜，因為它需要部署和管理所有分布式節點。但是，它可以通過啟用東西向流量檢測以及為分布式節點處理的特定流量定制檢測規則來提供更高的安全級別。

BlueField DPU 可以加速集中式和分布式檢測。這降低了 Suricata 的計算資源利用率，并在釋放主機資源的同時實現了更高的網絡吞吐量。

有關如何在零信任環境中將 BlueField DPU 用于分布式解決方案的更多信息，請參閱 NVIDIA 發布零信任網絡安全平臺。

使用 BlueField DPU 和 NVIDIA DOCA

卸載 Suricata 旁路

2016 年發布的 Suricata v3.2 引入了旁路功能，使 Suricata 能夠在特定條件下停止檢測特定流。Suricata 支持以下類型的旁路流：

• 大象流：達到預先配置的流量限制的流。

• 加密流：無法檢測或只能部分檢測的流。

• 旁路規則：與要旁路的規則集中的預先配置規則匹配的流。

Suricata 使用內核數據路徑在軟件中實現旁路。吞吐量得到了提高，但仍然依賴于消耗 CPU 周期的軟件將數據包直接路由到用戶空間，而無需經過 Suricata 引擎的檢測。

BlueField DPU 在其智能網卡子系統中提供了線速轉向模塊，可以使用 NVIDIA DOCA Flow API 進行配置。DOCA Flow 是用于在硬件中構建通用數據包處理管道的 API，使您能夠將入口流量重定向到 ARM 子系統或直接重定向到主機。它還可以被配置為將出口流量重定向到 ARM 子系統或直接重定向到外部級聯端口。

使用具有 Suricata 的 DOCA Flow 來配置硬件，以便在主機和外部級聯端口之間直接重定向旁路流。這使得線速流量能夠重定向到這些流，以便進行集中式和分布式檢測。

此外，BlueField-3 DPU 還包括一個具有 16 個 ARM A78 核心的 ARM 子系統。在內置 ARM 子系統上運行的 Suricata 通過卸載到 ARM 處理器來降低主機 CPU 的利用率。在 ARM 核心上運行的 Suricata 可讓您使用 BlueField-3 DPU 來檢測同一主機上 VM 到 VM 的流量。

圖 1 : BlueField DPU 使用硬件加速來創建快速路徑流

為了展示在 Suricata 中 BlueField DPU 硬件加速旁路的價值，NVIDIA 對分布式檢測場景進行了概念驗證。Suricata 部署在 BlueField ARM 子系統上，Suricata 引擎更新使用 DOCA Flow API 來處理旁路流，而不是使用內核旁路。我們在 BlueField-3 DPU 上實現了 400G 設備雙向線速的旁路流，并實現了數 Gbps 的檢測流，且在 x86 主機服務器上無 CPU 負載。

圖 2 描述了傳統軟件解決方案（基于主機）與 DPU 加速和潛在分布式解決方案相比的網絡性能提升和 x86 CPU 利用率。

圖 2 : BlueField DPU 和 DOCA Flow API 強力加速吞吐量，

同時將服務器上的 CPU 負載降低到幾乎為零*

*實際流量的實際吞吐量取決于流量的類型和配置文件以及檢測規則集。性能可能會相應變化。

總結

這項工作還可以用于加速其他流量檢測解決方案，例如：Snort 或 WAF，其原理與應用于 Suricata 加速的原理相同。

BlueField DPU 還可用于加速以下各項：

• 內聯 IPsec 和 TLS 加速：支持以線速檢測加密流量。

• 快速模式匹配加速：使用 BlueField-3 DPU 中內置的 RegEx 加速器。

• 與用戶空間數據路徑集成：實現約 10 – 20% 的性能提升。

• 接收端縮放（RSS）：為了更好地使用 ARM 子系統的 8 / 16 核心。

觀看下方視頻

了解更多關于 NVIDIA BlueField DPU 的信息！