隨著網絡攻擊變得越來越復雜，企業必須不斷采用先進的解決方案來保護其關鍵資產。Cisco Secure Workload就是其中一種解決方案，它是一種全面的安全解決方案，旨在保護跨不同基礎設施、位置和外形尺寸的應用程序工作負載。

思科最近發布了Cisco Secure Workload 3.9 版，將企業的安全性和運營效率提升到了新的水平。它提供了新的功能來緩解威脅和漏洞，并為部署微分段（microsegmentation）提供了更大的靈活性。它現在還擴展到NVIDIA BlueField-3 DPU，其專用 Arm 核心可以加速硬件任務并隔離特定操作，確保高效的數據處理和強大的安全性，從而打造更精簡、更安全的基礎設施。

Cisco Secure Workload 的主要功能

Cisco Secure Workload 可為每次工作負載交互提供出色的可見性，并利用 AI 的強大功能來自動執行人類管理員無法完成的任務，從而保護應用程序工作負載。

Cisco Secure Workload 提供多種功能，包括：

微分段：此技術可隔離工作負載并限制在網絡內的橫向移動，從而防止威脅擴散并最大限度地減少攻擊面。

工作負載加密：針對靜態存儲和網絡傳輸的數據加密功能可以保護敏感信息，即使攻擊者獲得了系統訪問權限也無妨。

威脅檢測和預防：Cisco Secure Workload 采用高級威脅檢測機制來實時識別和阻止惡意活動。

自動事件響應：該解決方案可自動執行事件響應程序，使企業能夠快速遏制和補救威脅。

與 NVIDIA BlueField-3 DPU 集成

Cisco Secure Workload 與 NVIDIA BlueField DPU 集成，徹底改變了工作負載安全。BlueField DPU 是一種可編程處理器，專門用于從 CPU 卸載任務和增強數據中心安全。它們駐留在服務器硬件上，戰略性地位于網絡和虛擬機（VMs）之間的數據路徑中。

通過利用 BlueField DPU，Cisco Secure Workload 可以從虛擬機卸載安全關鍵型工作負載。這可以釋放虛擬機上寶貴的 CPU 資源，使它們能夠專注于核心應用程序處理任務，并提高整體應用程序性能。

在 NVIDIA BlueField-3 DPU 上運行的 Cisco Secure Workload 代理

NVIDIA BlueField-3 DPU 改變了數據中心服務交付的格局。它是一款 400Gb/s 的基礎設施計算平臺，可以對網絡安全、存儲和軟件定義網絡進行線速處理。該平臺集成了強大的計算能力、高速網絡和豐富的可編程性，可以為要求嚴苛的工作負載提供軟件定義、硬件加速的解決方案。

主要特性包括：

硬件加速和卸載：BlueField DPU 內置了用于加密、解密和數據壓縮等特定安全功能的專用硬件加速器。這些加速器可以從 CPU 卸載這些計算密集型任務，從而顯著提高性能。

增強的可擴展性：隨著環境中虛擬機數量的增加，傳統的基于代理的方法變得難以管理。BlueField-3具有硬件卸載功能，可在不影響性能的情況下提供更大的規模，以容納更多虛擬機。

強化的安全：BlueField-3 在網絡和虛擬機之間提供了隔離層。這種隔離通過防止惡意軟件或未經授權的訪問來直接訪問虛擬機，從而加強整體安全態勢。BlueField-3 基于硬件的安全功能還為 Cisco Secure Workload 的基于軟件的保護提供支持。這些功能包括：

o安全啟動：確保在系統啟動期間僅加載經過授權的固件，從而防止未經授權的修改。

o內存隔離：在內存中創建安全區域，將安全工作負載與其他應用程序隔離，防止惡意軟件篡改關鍵的安全進程。

o硬件信任根：為加密操作提供防篡改的基礎，加強系統的整體安全態勢。

簡化的工作負載執行：通過將安全任務卸載到 DPU，Cisco Secure Workload 3.9 可以更高效地執行安全策略。這是因為 BlueField-3 專為高性能數據處理而設計，與傳統基于虛擬機的代理相比，它能夠更高效的處理安全操作。

降低時延：將安全功能卸載到 BlueField-3 可降低與安全執行相關的延遲，從而縮短應用程序響應時間并改善用戶體驗。

簡化操作：BlueField-3 上安全策略的集中管理簡化了操作任務。管理員不再需要在每個虛擬機上管理單個代理，從而降低安全管理的整體復雜性。

BlueField 技術優勢

BlueField 在 Cisco Secure Workload 解決方案的整體效率中發揮著關鍵作用，該解決方案可以監控網絡流量，并將其發送到中央代理進行分析。代理提供可操作的情報，根據觀察到的模式建議優化的用戶行為，以防止威脅蔓延，并最大限度地減少攻擊面。

BlueField 采用 16 個 Arm A78 核心，配備 SkyMesh 完全一致的低時延互連、8MB 二級緩存和 16MB LLC 系統緩存，從而優化了高性能數據包處理應用程序和高級數據包處理。這使得 BlueField 成為卸載 CPU 計算和數據密集型任務的理想選擇，使 CPU 能夠專注于高價值的業務運營。

對于 Cisco Secure Workload，NVIDIA 加速交換和數據包處理 (ASAP2)和NVIDIA DOCA的結合提高了可擴展性和 CPU 效率。將通信和Open vSwitch（OVS）處理卸載到 BlueField DPU 可簡化并減少每個虛擬機（VM）對代理實例的需求。OVS 使虛擬機能夠相互通信并與外界通信。OVS 傳統上駐留在虛擬機管理程序（hypervisor）中，交換基于流的 12 元組匹配。

基于 OVS 軟件的解決方案需要占用大量 CPU，這會影響系統性能并妨礙充分利用可用帶寬。ASAP2 技術通過在 BlueField 中處理 OVS 數據平面來卸載 OVS，同時保持 OVS 控制平面不變。這可以顯著提高 OVS 性能，而無需相關的 CPU 負載。

其結果是大幅提高了效率、更好的 CPU 性能和可擴展性。

從安全性和可編程性的角度來看，BlueField 硬件訪問控制列表（ACL）通過將 ACL 的處理從 CPU 卸載到 DPU 來確保強大的安全性。這樣可以釋放 CPU 來執行其他任務，并提高整體系統性能。

通常情況下，CPU 負責根據一組訪問控制列表（ACL）規則檢查每個傳入和傳出的數據包，而對于高速網絡而言，這可能是一個耗時的過程。當卸載到 BlueField 時，DPU 可以接管根據 ACL 規則檢查數據包的任務，并且由于 DPU 專門為處理網絡任務而設計，因此可以更快地完成此任務。

BlueField 硬件加速還能更快、更高效地加密和解密計算節點和存儲系統之間傳輸的數據。這可確保數據機密性，而不會對網絡性能產生重大影響。

這些安全增強功能的優勢包括提高數據機密性、減少攻擊面和優化安全性能。

總結

Cisco Secure Workload 代表了在安全和運營效率方面的重大進步。通過集成 NVIDIA BlueField-3 DPU，思科創建了一種解決方案，可以在不影響性能的情況下提供強大的保護。硬件和軟件的創新結合為各種規模的企業創造更安全、更敏捷的未來鋪平了道路。

審核編輯：彭菁