方案背景
安全往往是部署云上业务时首先需要考虑的问题。目前,云上业务安全防护方案可以简单划分为两类:融云的 NFV方案、旁挂安全资源池方案。这两类方案都部署在虚拟机中,依赖于以 CPU 为中心的架构。随着后摩尔时代的来临,CPU 的发展已经跟不上网络速率的高速增长,传统的以 CPU 为中心的计算架构已经成为业务高速发展的瓶颈,因此研究以 DPU 为中心的计算架构成为行业的共识。中科驭数 DPU 安全解决方案基于 DPU 安全卡实现,可以很好地提升性能、降低成本、保障安全。
行业痛点
CPU算力急需释放
融云安全 NFV 方案中,服务器 CPU 承担了部分安全的功能,导致用户可用的计算资源减少 20%以上。随着网络带宽的增加,迫切需要解决 CPU 算力严重不足的问题;
安全业务性能低
主机 CPU 处理安全类任务效率偏低,导致业务延时大,吞吐能力弱,进而限制了云计算整体算力的性能表现;
成本高
旁挂安全资源池方案需要额外部署云平台服务器,由此导致的硬件开销会提高数据中心的整体安全成本;
整体功耗和TCO高
处理安全任务的CPU长期处于高负荷状态,整体功耗和TCO偏高,急需降本增效;
解决方案描述
中科驭数自主研发的 DPU 安全加速卡,支持下一代防火墙的核心功能(加解密、VPN、DPI、ACL、IPS 等),具有安全卸载、安全加速、安全隔离三大特性;释放 CPU 算力的同时,可以为云上业务提供高性能低成本的安全防护。
方案特点
内生安全
安全DPU芯片/卡满足内生安全的要求,本身遵循安全设计开发流程,同时携带有物理隔离的可信根,可为自身与HOST的可信启动提供支持。
高性能深度包检测
专用硬件正则表达式匹配。 丰富的应用识别规则库。 高性能的深度包检测引擎。
高性能加解密
硬件处理加密解密任务更高效。 支持国密算法。 支持IPSec、mTLS等。
高性能访问控制
支持高容量硬流表,支持合法流量的高速转发。 支持高容量的黑名单,支持非法流量的高速处置。
开放生态和二次开发能力
完整的开放生态平台HADOS™,提供充分稳定的软件生态资源。 详细的开发接口,让开发集成更简单。 丰富的生态伙伴资源,更多合作与创新。
易运维、TCO成本低
搭载自研DeepInsight™硬件日志监控技术,实时监测硬件系统问题。 丰富的遥测数据上报能力,降低运维开发成本。 低功耗设计,软硬件协同优化,不需要额外的硬件资源预算,充分降低整体功耗和TCO。
方案价值
安全DPU卡支持随路访问控制/威胁检测/流量阻断/加解密,无需“代理”和“引流”,不需要额外的安全硬件预算,不占用CPU资源,让CPU算力更聚焦业务应用。该方案业务流程简单,性能大幅提高,客户使用体验明显提升,能够为整个云环境降本增效、节能减排。