深度數據包檢測( DPI )是網絡安全的一項關鍵技術,能夠在數據包在網絡中傳輸時對其進行檢測和分析。通過檢查這些數據包的內容, DPI 可以識別潛在的安全威脅,如惡意軟件、病毒和惡意流量,并防止它們滲透到網絡中。然而, DPI 的實現也帶來了對網絡性能的顯著影響。
使用 NVIDIA BlueField DPU 降低了執行深度數據包檢查的成本和性能影響。
Suricata 概述
Suricata 是一款高性能、開源的網絡分析和威脅檢測應用程序,由私人和公共組織使用,并由主要供應商嵌入以保護資產。使用 Suricata (或任何其他入侵檢測系統和入侵保護系統( IDS / IPS )解決方案)檢查高通量流量需要高 CPU 使用率。因此, CPU 可用性可能會成為一個瓶頸。
數據中心的流量檢查可以是集中式的,也可以是分布式的:
- 集中式設備:使用一個或多個功能強大的服務器來檢查進出數據中心的所有流量。
- 分布在所有節點上:數據中心中的每個節點都負責使用其自身計算能力的一小部分來檢查其入口和出口流量。
每種方法都有其優點和缺點。分布式檢查更為復雜,因為它需要部署和管理所有分布式節點。然而,它可以通過啟用東西向流量檢查和為分布式節點處理的特定流量定制檢查規則來提供更高的安全級別。
BlueField DPU 可以加速集中和分布式檢查。這降低了 Suricata 的計算資源利用率,并在釋放主機資源的同時實現了更高的網絡吞吐量。
有關如何在零信任環境中為分布式解決方案使用 BlueField DPU 的更多信息,請參閱NVIDIA Creates Zero-Trust Cybersecurity Platform.
使用 BlueField 和 NVIDIA DOCA 卸載 Suricata 旁路
2016 年發布的 Suricata v3 . 2 引入了旁路功能,使 Suricata 能夠在某些條件下停止檢查特定流量。 Suricata 支持以下類型的旁通流:
- 大象流量:達到預先配置的流量限制的流量。
- 加密流:無法檢查或只能部分檢查的流程。
- 繞過規則:與要繞過的規則集中的預配置規則匹配的流。
Suricata 使用內核數據路徑在軟件中實現旁路。吞吐量得到了提高,但仍然依賴于消耗 CPU 個周期的軟件將數據包直接路由到用戶空間,而無需經過 Suricata 引擎的檢查。
BlueField DPU 在 SmartNIC 子系統中提供了線速轉向模塊,可以使用 NVIDIA DOCA Flow API 進行配置。 DOCA Flow 是用于在硬件中構建通用數據包處理管道的 API ,使您能夠將入口流量重定向到 Arm 子系統或直接重定向到主機。它還可以被配置為將出口流量重定向到 Arm 子系統或直接重定向到外部上行鏈路端口。
使用 DOCA Flow with Suricata 配置硬件,以便在主機和外部上行鏈路之間直接重定向繞過的流。這使得線路速率業務能夠重定向到這些流,用于集中和分布式檢查。
此外, BlueField -3 DPU 包括一個具有 16 個 ARM A78 核心的 Arm 子系統。在板載 Arm 子系統上運行 Suricata 會將主機 CPU 卸載到 Arm 處理器,從而降低主機的利用率。在 Arm 核心上運行 Suricata 使您能夠使用 BlueField 3 DPU 來檢查同一主機上的 VM 到 VM 流量。
為了展示 BlueField 硬件加速旁路在 Suricata 中的價值, NVIDIA 進行了分布式檢查場景的概念驗證。 Suricata 部署在 BlueField Arm 子系統上, Suricata 引擎更新為使用 DOCA Flow API 來繞過流,而不是使用內核繞過。我們在 BlueField -3 DPU 上實現了 400G 設備雙向線路速率的旁路流,以及在 x86 主機服務器上沒有 CPU 負載的情況下檢查的幾 Gbps 流。
圖 2 描述了與 DPU 加速和潛在的分布式解決方案相比,傳統軟件解決方案(基于主機)的網絡性能提升和 x86 CPU 利用率。

*實際流量的實際吞吐量取決于流量的類型和配置文件以及檢查規則集。性能可能會相應變化。
總結
這項工作也可以用于加速其他交通檢查解決方案,Snort或 WAF ,具有與在 Suricata 加速中應用的原理相同的原理。
BlueField DPU 也可用于加速以下各項:
- 內聯 IPsec 和 TLS 加速:支持以線路速率檢查加密流量。
- 快速模式匹配加速:使用 BlueField -3 中內置的 RegEx 加速器。
- 與用戶空間數據路徑集成:實現約 10 – 20% 的性能提升。
- 接收端縮放( RSS ):為了更好地使用 Arm 子系統的 8 / 16 核心。
有關 BlueField DPU 如何加速安全應用程序的更多信息,請參閱以下資源:
- Developers Design Innovative Network Security Solutions at the NVIDIA Cybersecurity Hackathon
- Detecting Threats Faster with AI-Based Cybersecurity
- Enabling Enterprise Cybersecurity Protection with a DPU-Accelerated, Next-Generation Firewall
- Stop Modern Security Attacks in Real Time with ARIA Cybersecurity and NVIDIA
?