DPU相关调研（2）SDN、P4 and ZeroTrust

SDN、P4 and ZeroTrust

这篇文章描述了在软件定义网络中通过网络可编程技术的发展来实现零信任架构的目标

让我们来研究一下实现零信任体系结构的一个关键技术组件的演变——数据中心的可编程、边缘加速、SmartNIC技术。

OpenFlow, the first SDN standard

安全定义的路由（SDR）的概念。SDR将网络分析和SDN结合起来保护网络。SDR解决方案使用Snort来监视网络流量并生成对日志文件的警报。应用程序监视日志文件并使用OpenFlow以拒绝和镜像可疑流量以进行事务监视和存档以进行监管合规性和故障排除。

SDR都是使用OpenFlow和白盒开关的可编程网络。P4的概念，即编程协议无关的数据包处理器，是在这个时间段作为OpenFlow的一个演变而引入的。P4的目标是通过为匹配报头和解析数据包提供编程抽象来证明OpenFlow的未来性。

SDR和zerotrust在概念上都遵循OODA循环，observe-orient-decide-art（观察，确定，决定，行动），在数据中心实现零信任监听东西流量的过程涉及分析应用特征，过滤信息，决定应用策略的位置，然后通过启用策略采取行动。

实现了一个白名单策略方法（零信任），但在复杂规则集上应用关于网络设备的策略可以排气三元内容可寻址内存（TCAM）。TCAM是存储存储列表（ACL）的硬件中的专用内存。TCAM大小限制了规则数（访问列表）。

The rush to containers and cloud

云化过程，越来越多的工作负载迁入到云中，AWS改进了其虚拟化基础设施，将硬件与轻量级虚拟机监控程序相结合，该虚拟机监控程序将加密和策略决策卸载到PCIe卡。2017年推出，到2019年在所有AWS实例上运行。

但是并不是所有的工作负载都运行在云上，P4编程语言和支持硬件为解析数据包和比OpenFlow规范的标题字段提供更大程度的灵活性。OpenFlow围绕匹配行动管道的概念设计。分组标题中的字段匹配，操作包括丢弃，修改或转发输出一个或多个端口。P4提供了在P4交换机上直接编写软件的能力，而不是填充“dumb”OpenFlow交换机的流动的OpenFlow控制器。

P4架构的一个关键组件使VNF（虚拟网络功能）能够卸载并执行像防火墙和负载均衡器等公共网络功能。由于Pensando DSC使用P4处理器构建，因此这些功能在DSC上实现，而不是在计算资源上的软件中实现。

在零信任模型中，凭借使用ACI或NSX应用粒度白名单策略的挑战，规则集消耗了有限的硬件和软件资源。通过将此功能卸载到DSC，我们消除了hair-pinning和TCAM耗尽或在主机上消耗CPU周期和内存。DSC可以支持100百万个IPv4 / IPv6无状态ACL条目。

Cisco Tetration和Illumino Adaptive Security Platform都通过在主机操作系统（OS）上使用代理来实现零信任模型的策略。许多组织不愿意在主机上安装代理以进行数据收集和强制执行。安装代理增加了另一个级别的配置管理复杂性和安全性。在操作系统中强制执行策略可能会增加解决连接问题的复杂性。

作为无代理的方案，提供一个传感器安装在主机上，进行端口镜像，然后利用可编程性进行分析。这就是DPU，Bluefiled。也叫分布式服务卡

在本文中，我们研究了OpenFlow的采用和其继承者P4如何为在数据中心实现零信任架构的旅程做出了贡献。整个6年的时间跨度，该行业开发并采用了新的配置管理工具，以及对SDN的不同方法。已经引入和部署了数据收集和分析平台。