Akamai与NVIDIA携手推出的无代理Zero Trust(零信任)分段解决方案,依托BlueField DPU在硬件层面的有力支撑,打破了安全与性能难以兼顾的困境,为关键基础设施安全防护提供了一条既创新又可落地的新路径。
关键基础设施安全与运行的两难选择
随着数字化转型的不断深入,关键基础设施的网络连接越来越紧密,运营技术与工业控制系统的边界逐渐被打破,这也让它们成为网络攻击的重点目标。从保障城市供水的水厂控制系统,到电网的调度系统,再到工厂车间的专用控制器、支撑高端科研的高性能计算集群,这些承载着社会核心功能的关键设备,尚存在系统老旧、架构脆弱等问题,给安全防护工作带来了不小的挑战。
传统网络安全防护的核心,一直以来都依赖代理软件,简单说就是在终端设备上部署小型软件程序,以此落实安全策略、监测网络威胁。但对于关键基础设施的核心设备而言,这种防护方式存在明显短板。很多OT/ICS系统设计年代久远,硬件配置有限,系统兼容性也不足,如果强行安装额外的代理软件,不仅会占用宝贵的系统资源,导致生产效率下降,严重时还可能引发系统宕机、运行崩溃,造成难以挽回的经济损失和社会影响。据行业权威调研数据显示,超过60%的关键基础设施运营者,因为担心影响系统正常运行,不得不放弃部分安全防护措施,让敏感设备直接暴露在网络威胁之下,陷入“防护就影响运行,不防护就面临风险”的两难境地。
网络攻击的复杂性和针对性正在不断攀升,针对关键基础设施的零日攻击、恶意软件入侵等安全事件时常发生。这类攻击一旦得手,轻则导致单个设施停止运营,重则引发整个行业的连锁反应,甚至威胁到了公共安全。
除此之外,各国监管部门对关键基础设施安全的要求越来越严格,《关键信息基础设施安全保护条例》就明确规定,运营者必须采取必要的技术措施,应对网络安全事件、防范网络攻击;而网络保险机构也将基础设施的安全防护水平纳入风险评级的核心指标,防护不到位会直接导致保险成本上升、风险评级降低。在这些压力之下,关键基础设施运营者迫切需要一种解决方案,既能满足合规要求,又不会牺牲系统性能,真正破解当前的防护难题。
无代理零信任分段的硬件级创新
面对传统安全方案的诸多不足,零信任架构凭借“永不信任、始终验证”的核心理念,逐渐成为破解关键基础设施安全难题的重要方向。
零信任的核心原则包括显式验证、最小权限访问和假设已被攻破,其中网络分段是实现零信任防护的关键手段:通过将整个网络划分为多个独立的安全区域,限制攻击的横向移动,即便某一个区域被攻破,也能将损失控制在最小范围,避免风险扩散。但遗憾的是,传统零信任分段依然离不开代理软件,无法适配关键基础设施中那些无法部署代理的老旧设备,这也成为零信任架构在该领域落地的主要障碍。
此次Akamai与NVIDIA的深度合作,精准解决了上述行业痛点,推出了由NVIDIA提供技术支持的无代理零信任分段解决方案,将Akamai Guardicore Segmentation软件与NVIDIA BlueField数据处理器深度融合、无缝对接,实现了零信任策略在硬件层面的高效执行。作为一款高性能可编程处理器,DPU的核心作用就是为CPU分担基础设施相关任务,它集成了ARM核、高速网络接口和硬件加速引擎,能够以线速高效处理网络、存储和安全相关任务。
这款解决方案的核心优势在于,无代理与硬件级防护的有机结合。通过将用户可灵活配置的安全进程,从主机系统转移到NVIDIA BlueField DPU上,不需要在关键设备上安装任何代理软件,就能实现零信任分段防护。BlueField DPU作为一款独立的插入线路式安全保护器,可直接嵌入基础设施本身,提供硬件级隔离和硬件级加速的线速防护,从而可在不中断业务正常运营的前提下,实现跨系统、跨网络、跨应用程序的深度带外监测。与传统的软件级防护相比较,硬件级的防护不仅让响应速度更快、防护更加精准,还能够彻底避免占用主机CPU资源的问题,确保关键设备始终保持全速运行,真正做到安全与性能之间互不影响。
从风险防控到网络弹性的全面提升
解决方案不仅打破了关键基础设施安全与性能难以兼顾的困境,还推动了安全防护模式从被动风险防控到主动网络弹性的升级,为关键基础设施的运营者带来了诸多实际价值。这些价值不仅体现在安全防护能力的提升上,还满足了合规达标、成本优化和业务连续性保障等各个关键环节的要求。在安全防护方面,解决方案实现了威胁的精准阻断和快速隔离,帮助企业构建起了主动防御、精准溯源、快速处置的全流程防护体系。
除了核心的零信任分段功能,方案还能实时捕捉异常网络连接、精准识别入侵迹象,在硬件层面直接过滤各类威胁、隔离被入侵的系统。这意味着,即便设施的主计算机被入侵,攻击也无法向其他关键设备扩散,能够有效控制风险蔓延,最大限度降低安全事件造成的损失。
马俊 Akamai大中华区企业事业部高级售前技术经理
Akamai大中华区企业事业部高级售前技术经理马俊表示:运营者的首要任务就是要保持系统全速运转,不能让安全软件拖了系统性能的后腿。通过将分段与监测能力转移到DPU上,我们不仅为企业提供了即时阻断攻击的方法,还能最大限度释放CPU算力,让它专注于处理高负载计算的核心任务,实现安全与效率的双赢。
结语
关键基础设施的安全防护,是一项长期而艰巨的任务。随着网络威胁的不断升级,传统安全方案已经难以满足新形势下的防护需求,解决同时兼顾安全与性能的两难困境刻不容缓。
Akamai与NVIDIA携手推出的无代理零信任分段解决方案,以硬件级技术突破为核心,以无代理设计为亮点,打破了传统防护的局限,为关键基础设施保护提供了一条可落地、高效能、高可靠的新路径。
