隨著針對高速網絡的攻擊成倍增加，從邊緣到云端，以網絡攻擊和數據泄露形式出現的安全挑戰空前嚴峻。不僅大量數據面臨著安全風險，包括重要物理基礎設施在內的物理資源同樣也面臨著風險。加密和身份驗證是抵御上述攻擊的有效措施。英特爾 Agilex 7 FPGA 家族的多個成員（AGF 023/AGF 019 和 AGI 041/AGI 040/AGI 035/AGI 023/ AGI 019）采用高性能加密模塊與 MACsec 軟核 IP 配對，有助于降低風險，控制網絡攻擊的影響。

網絡攻擊和數據泄露：癥結所在

據面向首席安全官的在線出版物 CSO 近期估計，在 21 世紀 15 起最大的數據泄露事件中，僅前兩起事件就有大約 35 億人的個人數據被盜1 。數據泄露涉及的對象不乏 Adobe、 eBay、Equifax、LinkedIn、萬豪國際、麥當勞和大眾汽車這些全球性大企業和大品牌的數據庫。即使是列入 CSO 榜單的最小事件也牽涉到 1.34 億人的個人數據被盜。

面臨網絡攻擊威脅的不僅僅是數據，實物資產同樣未能幸免。舉個例子，因 IT 網絡遭遇勒索軟件攻擊，科洛尼爾管道運輸公司 (Colonial Pipeline) 被迫切斷其 IT 和 OT （Operational Technology，運營技術）網絡之間的連接，以防止事態擴大。此舉導致該公司在 2021 年 5 月不得不將其 5,500 英里的運輸管道關閉了數日。科洛尼爾的運輸管道承擔著向美國東部供應大量燃料的重要作用，管道的關閉引發市民恐慌性搶購汽油，一度導致汽油短缺。

毫不夸張地說，網絡攻擊已經發展到了“流行病”的程度。數據加密和身份驗證可以顯著降低這些網絡攻擊的風險和影響。一些有助于降低風險的加密和身份驗證方法包括：

保護所有往返云端（網絡）的數據

保護所有應用之間和微服務之間發送的數據

保護所有實時數據以及存儲在云端和數據中心的備份數據庫

保護所有通過蜂窩基站和 5G 網絡基站傳輸的數據

隨著網絡數據傳輸速率不斷攀升，額外產生的加密開銷卻因導致時延增加和可用帶寬減少而讓問題變得更棘手。因此，行業迫切需要能夠盡量減少這種額外開銷的解決方案。理想情況下，身份驗證和加密功能會集成到數據中心、云網絡和存儲系統基礎設施中，這樣一來，就可以自動添加這種保護，而不是選擇性添加。

數據加密和網絡接入控制

加密是保護數據不受安全威脅的第一步。得到妥善加密的數據即便被成功竊取，只要網絡攻擊者沒有加密密鑰，這些數據對他們而言就毫無用處。美國國家標準與技術研究院 (NIST) 2001 年制定的高級加密標準 (AES) 已成為全球公認的數據加密標準。據該研究院稱，AES 目前的保護范圍覆蓋了從密級數據和銀行交易到線上 購物和社交媒體應用在內的各種場景2。

確保安全的下一步措施是禁止未經授權的實體訪問網絡和數據。媒體接入控制安全協議（MACsec，IEEE 標準 802.1AE）為以太網鏈路提供點對點安全性。MACsec 可以識別并阻止拒絕服務、入侵、中間人攻擊、偽裝攻擊、被動竊聽和回放攻擊等大多數安全威脅，能夠保護幾乎所有網絡流量的以太網鏈路，包括來自鏈路層發現協議 (LLDP)、鏈路匯聚控制協議(LACP)、動態主機配置協議 (DHCP) 和地址解析協議 (ARP) 等多個協議的幀。

安全和加密用例

隨著網絡攻擊和數據泄露的威脅不斷增加，安全加密通信的用例也日漸豐富。以下是全新英特爾 Agilex FPGA 直接支持的三個此類用例：

OvS：Open vSwitch (OvS) 是一種具備量產級質量的多層虛擬交換機，用于在數據中心的虛擬機 (VM) 之間路由網絡數據包。連接數據中心內部和多個數據中心之間各部分的龐大網絡結構越來越需要借助安全加密連接來防止網絡攻擊。在虛擬機之間路由數據包的 OvS 開源網絡堆棧可以作為軟件在 CPU 上運行，也可以在硬件中實現。最初，數據中心架構師僅在數據中心之間部署安全網關，這是因為人們認為數據中心內的網絡通信在物理上是安全的。但隨著虛擬機和微服務的出現和普及，現在所有網絡通信都可能存在安全風險，因此，整個云網絡中使用安全加密通信的情況越來越多。加密技術的廣泛使用，以及網絡線速的不斷提升，導致加密成為一個頗為棘手的通信瓶頸。而采用設計合理的 SmartNIC 和基礎 設施處理單元 (IPU) 在云和數據中心網絡基礎設施中建立硬件加密支持，可以從服務器 CPU 卸載加解密任務，進而消除這一瓶頸。

面向5G網絡的MACsec：在3GPP術語中，Evolved Node B（演進型 Node B，eNB）指 5G 網絡中的小基站。這些小基站使用 IPsec 安全協議與更廣泛的 5G 網絡進行通信。隨著基站設計向虛擬無線接入網 (vRAN) 遷移，部分基站相關的 數字處理操作會轉移到射頻頭 (RU)，RU 再通過未受保護的 CPRI 接口與其余的基站硬件進行通信。要將部分數字處理操作轉移到 RU，RU 硬件必須支持數據加解密。保護這些 RU 通信的一種方法是通過 RU 設計固有的 CPRI 接口使用 MACsec 協議。

網絡存儲：如果網絡存儲僅限于一個數據中心，那么存儲通信在物理上是安全的。然而，隨著面向網絡存儲的 NVMe over Fabrics 協議應用得越來越廣，存儲子系統可以位于世界上任何地方的任何數據中心。因此，網絡存儲通信如今需要安全的加密保護，因為與存儲子系統的通信不再局限于一個物理上安全的數據中心。添加這種加密保護時產生的開銷一定不要使時延或帶寬壓力增加太多，這樣就不會出現違反服務級別協議 (SLA) 的情況。實際上，實施加密安全措施必須做到增加的時延可忽略不計，并且不得降低網絡存儲通信的線速帶寬。

顛覆性產品：
英特爾 Agilex 7 FPGA 和 SoC

英特爾Agilex 7 FPGA 和 SoC 兼具出色的性能、每瓦性能、靈活性和敏捷性，可更好滿足日益以數據為中心的世界的需求。它們結合英特爾在多個技術優勢領域的數項創新，為邊緣、整個網絡、數據中心和云的終端產品開發帶來重要價值。

這些設備使用英特爾 嵌入式多芯片互連橋接 (EMIB) 技術和先進的 3D 封裝技術，將采用英特爾 10 納米 SuperFin 制程工藝制造的高性能 FPGA 內核芯片與針對特定功能各異的通用 Tile （小芯片）結合在一起。Tile 具備額外的 I/O 功能，包括速度很快的高帶寬內存 (HBM) DRAM 以及 PCIe 4.0、PCIe 5.0、CXL 和 116 Gbps 串行收發器端口，以連接到各種主機處理器，如全新 第四代英特爾 至強 可擴展處理器。這種用于開發 FPGA 和 SoC 的設計和生產方法，使英特爾能夠利用量身定制的靈活解決方案快速滿足廣泛的應用需求。

面向 200G 和 400G 以太網的

加解密硬核支持

英特爾正為英特爾 Agilex 7 FPGA 和 SoC 家族增添新成員，這些產品采用高性能加密模塊和 MACsec 軟核 IP，能夠同時以線速支持經過身份驗證和加密保護的兩個雙向 200G 以太網端口或兩個單向 400G 以太網端口。這些英特爾 FPGA 和 SoC 針對IPU、SmartNIC 和 5G 無線網絡設備設計進行了優化。具備加解密硬核支持的英特爾 Agilex 7 FPGA 和 SoC 家族產品為：

英特爾 Agilex FPGA F 系列 AGF 019 和 AGF 023 設備， 它們具備面向數據中心、網絡和邊緣計算應用優化的高級 數字信號處理 (DSP) 功能

英特爾 Agilex FPGA I 系列 AGI 019 和 AGI 023 設備， 它們已面向需要 PCIe 5.0 處理器接口和 116 Gbps 收發器的 帶寬密集型應用進行了優化

英特爾 Agilex FPGA I 系列 AGI 041 設備，支持 400 GbE 和 116 Gbps 收發器，并面向需要增強功能的多主機 PCIe 5.0 以及 CXL 的 400G IPU 和帶寬密集型應用進行了優化

英特爾 Agilex FPGA I 系列 AGI 035 和 AGI 040 設備， 它們已面向需要大量網絡 I/O 的應用進行了優化

表 1 所示為具有高性能硬核加密模塊的英特爾 Agilex 7 FPGA 和 SoC 家族產品。有關這些產品更詳細的信息，請見英特爾Agilex 7 FPGA 和 SoC FPGA3 網頁。

全新英特爾 Agilex FPGA 和 SoC 的先進加密功能對于開發采用 100 GbE、200 GbE 和 400 GbE 端口的高性能 IPU 和 SmartNIC 以及安全的 5G 無線網絡設備至關重要。這些設備的內存資源已針對目標應用進行了調優，這有助于降低功耗，與具有類似邏輯元件密度的其他英特爾 Agilex 設備相比，能以更小的封裝形式提供。值得一提的是，FPGA 的可重新配置性使這些應用的開發者能夠更新自身的產品，以利用硬件加速措施應對新的安全威脅，即使這些應用已經部署到現場，也可以做到。

表 1. 具有硬核加密模塊的英特爾Agilex 7 FPGA 和 SoC設備概述請見英特爾 Agilex 7 FPGA 和 SoC 設備概述網頁4

例如，英特爾 基礎設施處理單元（Intel Infrastructure Processing Unit，英特爾 IPU）平臺 F2000X-PL 利用 英特爾 Agilex FPGA AGF 023 實現基于 FPGA 的高 性能云基礎設施加速平臺，該平臺具有 2 個 100 GbE 網絡接口和硬件加密模塊，能以線速實現安全防護。它能夠 支持云基礎設施工作負載，例如 Open vSwitch、NVMe Over Fabrics (NVMe-oF) 和 RDMA over Converged Ethernet v2 (RoCEv2)。更多信息請見英特爾基礎設施處理單元平臺 F2000X-PL 5網頁。

有助于優化 TCO 的

英特爾 eASIC 設備

英特爾 Agilex FPGA 的可編程邏輯結構還能讓開發人員對快速變化的標準和不斷演進的協議及時作出響應，包括系統部署到現場后的更新。

除此之外，英特爾還提供英特爾 eASIC 設備。英特爾 eASIC 設備屬于結構化 ASIC，這是一種介于 FPGA 和標準單元 ASIC 二者之間的中間技術。與 FPGA 相比， 這些設備的單位成本和功耗更低；與標準單元 ASIC 相比，它們的上市時間 (TTM) 更快、一次性成本投入 (NRE) 更低。一旦基于英特爾 Agilex 7 FPGA 的設計得到驗證，該設計就可以被固化然后置入成本和功耗更低的英特爾 eASIC 設備（圖 2）。

具體來說，對于 IPU 和 SmartNIC 應用，英特爾 eASIC N5X080 設備具備以下特性：

877萬個 eCell/邏輯元件、按照客戶要求定制的封裝

8MB Mega SRAM、高達 229 Mb 的 bRAM 10K 嵌入式 內存，加上高達 20 Mb 的寄存器文件內存

支持 64 路 SerDes (NRZ) 收發器，速率范圍是 250 Mbps 至 32.44 Gbps

8路支持高達 53 Gbps 傳輸速率的 SerDes (PAM4) 收發器

8個硬核 PCIe 5.0 控制器，支持 x8 和 x4 配置

2個可連接至 8 個 53G SerDes 收發器的硬核 200G 以太網 MAC*

注*：硬核控制器采用旁路模式支持其他 SerDes 通道協議。

審核編輯：湯梓紅