使用 NVIDIA BlueField DPU 加速 Suricata IDS / IPS

深度数据包检测（DPI）是网络安全的一项关键技术，可在数据包通过网络传输时对其进行检测和分析。通过检查这些数据包的内容，DPI 可以识别恶意软件、病毒和恶意流量等潜在的安全威胁，并防止它们渗透到网络中。但是，DPI 的实施也会对网络性能产生重大影响。

使用 NVIDIA BlueField DPU 可降低执行深度数据包检测的成本和性能影响。

Suricata 概述

Suricata 是一款高性能、开源的网络分析和威胁检测应用程序，供私有和共有组织使用，并供主要供应商嵌入以保护资产。使用 Suricata（或任何其他入侵检测系统和入侵防御系统（IDS / IPS）解决方案）检测高吞吐量流量需要高 CPU 占用率。因此，CPU 可用性可能会成为瓶颈。

数据中心的流量检测可采用集中式的或分布式的：

• 集中式设备：使用一台或多台功能强大的服务器来检测进出数据中心的所有流量。

• 分布在所有节点上：数据中心内的每个节点都负责使用其自身的一小部分计算能力来检测其入口和出口流量。

每种方法都有其优点和缺点。分布式检测更为复杂，因为它需要部署和管理所有分布式节点。但是，它可以通过启用东西向流量检测以及为分布式节点处理的特定流量定制检测规则来提供更高的安全级别。

BlueField DPU 可以加速集中式和分布式检测。这降低了 Suricata 的计算资源利用率，并在释放主机资源的同时实现了更高的网络吞吐量。

有关如何在零信任环境中将 BlueField DPU 用于分布式解决方案的更多信息，请参阅 NVIDIA 发布零信任网络安全平台。

使用 BlueField DPU 和 NVIDIA DOCA

卸载 Suricata 旁路

2016 年发布的 Suricata v3.2 引入了旁路功能，使 Suricata 能够在特定条件下停止检测特定流。Suricata 支持以下类型的旁路流：

• 大象流：达到预先配置的流量限制的流。

• 加密流：无法检测或只能部分检测的流。

• 旁路规则：与要旁路的规则集中的预先配置规则匹配的流。

Suricata 使用内核数据路径在软件中实现旁路。吞吐量得到了提高，但仍然依赖于消耗 CPU 周期的软件将数据包直接路由到用户空间，而无需经过 Suricata 引擎的检测。

BlueField DPU 在其智能网卡子系统中提供了线速转向模块，可以使用 NVIDIA DOCA Flow API 进行配置。DOCA Flow 是用于在硬件中构建通用数据包处理管道的 API，使您能够将入口流量重定向到 ARM 子系统或直接重定向到主机。它还可以被配置为将出口流量重定向到 ARM 子系统或直接重定向到外部级联端口。

使用具有 Suricata 的 DOCA Flow 来配置硬件，以便在主机和外部级联端口之间直接重定向旁路流。这使得线速流量能够重定向到这些流，以便进行集中式和分布式检测。

此外，BlueField-3 DPU 还包括一个具有 16 个 ARM A78 核心的 ARM 子系统。在内置 ARM 子系统上运行的 Suricata 通过卸载到 ARM 处理器来降低主机 CPU 的利用率。在 ARM 核心上运行的 Suricata 可让您使用 BlueField-3 DPU 来检测同一主机上 VM 到 VM 的流量。

图 1 : BlueField DPU 使用硬件加速来创建快速路径流

为了展示在 Suricata 中 BlueField DPU 硬件加速旁路的价值，NVIDIA 对分布式检测场景进行了概念验证。Suricata 部署在 BlueField ARM 子系统上，Suricata 引擎更新使用 DOCA Flow API 来处理旁路流，而不是使用内核旁路。我们在 BlueField-3 DPU 上实现了 400G 设备双向线速的旁路流，并实现了数 Gbps 的检测流，且在 x86 主机服务器上无 CPU 负载。

图 2 描述了传统软件解决方案（基于主机）与 DPU 加速和潜在分布式解决方案相比的网络性能提升和 x86 CPU 利用率。

图 2 : BlueField DPU 和 DOCA Flow API 强力加速吞吐量，

同时将服务器上的 CPU 负载降低到几乎为零*

*实际流量的实际吞吐量取决于流量的类型和配置文件以及检测规则集。性能可能会相应变化。

总结

这项工作还可以用于加速其他流量检测解决方案，例如：Snort 或 WAF，其原理与应用于 Suricata 加速的原理相同。

BlueField DPU 还可用于加速以下各项：

• 内联 IPsec 和 TLS 加速：支持以线速检测加密流量。

• 快速模式匹配加速：使用 BlueField-3 DPU 中内置的 RegEx 加速器。

• 与用户空间数据路径集成：实现约 10 – 20% 的性能提升。

• 接收端缩放（RSS）：为了更好地使用 ARM 子系统的 8 / 16 核心。

观看下方视频

了解更多关于 NVIDIA BlueField DPU 的信息！

扫描下方二维码，或点击“阅读原文”查看更多有关 NVIDIA BlueField DPU 的信息。

?

NVIDIA BlueField DPU 往期内容 全球十只团队齐聚 NVIDIA 黑客松竞赛，探索网络安全的全新解决方案
使用基于 AI 的网络安全更快地检测威胁
使用 DPU 加速的下一代防火墙实现企业网络安全保护
借助 ARIA Cybersecurity 和 NVIDIA 实时阻止现代安全攻击