在工业控制系统、能源网络以及交通基础设施等关键领域,网络安全一直面临一个长期存在的矛盾:系统需要保持持续稳定运行,但传统安全工具往往会对性能和稳定性产生影响。尤其是在运营技术(OT)和工业控制系统(ICS)环境中,大量设备仍然运行在寿命周期极长的专用系统上,这些设备往往无法承受额外的软件负载,也无法安装常规的安全代理程序。
近期,Akamai 宣布推出一项由英伟达技术支持的安全解决方案,通过将 Akamai Guardicore Segmentation 与 NVIDIA BlueField DPU 集成,实现“无代理(Agentless)”的零信任网络分段(Zero Trust Segmentation)。这一方案的核心思路是将安全策略执行从主机系统中剥离,直接下沉到基础设施硬件层,从而在不影响业务运行的情况下保护关键系统。
工业系统安全的长期难题
在传统企业 IT 环境中,大多数网络安全产品依赖安装在主机上的软件代理来完成监测、访问控制和策略执行。但在 OT 和 ICS 环境中,这种方式往往难以落地。
例如,许多工业设备运行的是专用实时操作系统,或者是生命周期长达数十年的控制系统。额外的软件组件可能导致系统稳定性下降,甚至造成生产中断。因此,在水厂、电网、制造工厂等关键基础设施中,企业往往不得不在“系统稳定性”和“安全防护能力”之间做出取舍。
与此同时,关键基础设施正成为网络攻击的重要目标。近年来,多国政府的安全评估报告都指出,能源、交通等关键行业正在成为网络攻击的重点对象,这类攻击一旦成功可能带来大规模社会影响。
在这种背景下,如何在不改变原有系统架构的情况下实现细粒度的安全控制,成为工业网络安全领域的重要技术挑战。
从软件代理到硬件卸载
Akamai 与 NVIDIA 的联合方案采用了一种不同于传统安全架构的技术路径:将安全控制逻辑从主机 CPU 中卸载(offload)到专用的数据处理单元(DPU)。
DPU 是一类近年来在数据中心快速发展的专用处理器,能够在网络接口层执行网络、存储和安全相关的任务。与传统网卡相比,DPU 不仅具备高带宽网络处理能力,还集成了多核处理器、加速引擎以及可编程数据平面,可在服务器主机之外独立运行安全和网络功能。
在该方案中,Guardicore 的网络分段策略与流量可视化能力被部署在 BlueField DPU 上,从而使安全策略的执行完全脱离主机系统。这样一来,即使目标系统无法安装任何安全代理,网络流量仍然可以在硬件层面被实时监控和控制。
这种“带外安全”(out-of-band security)架构具有几个关键优势:
避免对主机系统产生性能负担安全策略和流量检测在 DPU 上执行,主机 CPU 资源不会被额外消耗,可以继续专注于生产业务或计算任务。
无需修改或安装软件对于无法部署代理的工业设备,安全策略可以直接在网络路径上执行。
实现硬件级隔离即使主机系统遭到攻击,安全控制逻辑仍运行在独立硬件上,降低被绕过的风险。
在性能方面,硬件卸载带来的优势尤为明显。BlueField DPU 本质上是一种可编程 SmartNIC,其网络数据路径能够直接在网卡层面处理流量,从而避免传统软件安全方案需要多次数据复制和 CPU 处理的开销。
在相关研究中,基于 BlueField-3 DPU 实现的网络负载均衡系统相比运行在主机上的 eBPF 方案可实现约 44%的延迟降低,同时在高负载条件下仍能保持稳定性能。
类似的硬件卸载架构在企业基础设施中也被证明能够显著提升效率。例如,在微软 Azure Stack HCI 的实验环境中,DPU 架构能够带来最高 12 倍的 CPU 资源效率提升以及约 60%的吞吐量提升。这些结果表明,将网络和安全功能从 CPU 迁移到专用处理单元,能够显著减少主机负载并提升整体性能。
对于运行高性能计算任务或关键生产系统的环境而言,这种性能提升具有重要意义。Akamai 企业安全高级副总裁 Ofer Wolf 表示,在水厂、制造系统或高性能计算集群中,首要任务始终是保证系统以满负荷运行。如果安全软件占用过多资源,可能导致系统崩溃或关键计算任务变慢。通过将分段和可视化能力卸载至 DPU,可以在阻断攻击的同时最大程度释放 CPU 算力。
零信任架构在基础设施层落地
零信任近年来成为企业网络安全的重要架构理念,其核心原则是“永不信任,持续验证”。在实践中,这通常通过细粒度网络分段(micro-segmentation)来实现,使不同系统之间的访问必须经过严格策略控制。
在 IT 环境中,这类策略通常由主机代理或软件网关执行。但在 OT 网络中,由于设备复杂且协议多样,部署难度较大。
Akamai Guardicore Segmentation 的核心能力之一是基于应用通信关系自动生成网络地图,并通过策略控制限制不同系统之间的访问路径。通过与 BlueField DPU 的结合,这种策略执行可以直接在基础设施层完成。
在实际运行中,该系统可以实现:
对 OT 和 ICS 网络流量的持续可视化
对异常网络连接的实时识别
对被入侵系统的即时隔离
在不中断业务的情况下执行安全策略
由于安全逻辑运行在独立硬件中,即使主机系统被攻击者入侵,也难以绕过网络层的安全控制,从而有效阻止攻击在网络中的横向移动。
随着工业系统逐渐与 IT 网络和云平台互联,关键基础设施的攻击面正在不断扩大。传统依赖软件代理的安全模式,在大量遗留设备环境中难以部署。
因此,将安全能力嵌入基础设施层的硬件架构,正成为行业的重要趋势。DPU、SmartNIC 等新型网络加速硬件,使网络分段、流量检测和安全策略执行可以直接在网络接口层完成。
在这种架构下,安全系统不再依赖主机操作系统,而是作为基础设施的一部分存在。这种模式不仅降低了部署难度,也为关键系统提供了更高等级的隔离能力。
Akamai 与 NVIDIA 的合作正体现了这一趋势:通过将零信任分段能力与 DPU 硬件架构结合,使工业控制系统能够在保持稳定运行的同时获得实时网络防护。
随着全球关键基础设施数字化程度不断提升,如何在不影响系统运行的前提下实现高强度安全保护,将成为网络安全领域持续关注的重要技术方向。
Akamai 企业安全高级副总裁 Ofer Wolf 表示:“无论是水厂还是高性能计算(HPC)集群,首要任务都是保持系统全速运转,绝不能让安全软件拖累系统性能。过去,保护这些环境困难重重,因为机器无法承受传统工具带来的资源开销,否则将面临系统崩溃或导致关键计算速度下降的风险。Akamai 携手 NVIDIA 正在改变这一现状。通过将分段与监测能力卸载至 DPU,我们不仅为企业提供了一种能够即时阻断攻击的方法,还能最大程度地释放 CPU 算力,使其专注于处理高负载计算的核心任务。”
作者简介:
马俊,Akamai 大中华区企业事业部高级售前技术经理
