Datacenters worden steeds slimmer, maar ook kwetsbaarder. Nu AI-workloads en multicloud-architecturen razendsnel groeien, komt een nieuwe beweging op gang: beveiliging wordt niet langer uitsluitend in software geregeld, maar ingebouwd in de hardware zelf. Wat begon als optimalisatie, ontwikkelt zich tot een fundamentele hertekening van het datacenter.
In de afgelopen tien jaar is vrijwel elke beveiligingsfunctie gevirtualiseerd. Firewalls, gateways, proxies en IDS-systemen verhuisden naar softwarecontainers of cloudomgevingen. Dat bood flexibiliteit, maar vergde veel van de CPU’s in de servers. Bovendien bleef er één kwetsbaar punt over: als het besturingssysteem of de hypervisor werd gecompromitteerd, kon een aanvaller vrijwel overal bij.
De nieuwste generatie datacenter-architecturen probeert dat op te lossen door beveiliging letterlijk onder te brengen in de infrastructuurlaag zelf. In plaats van software die de host moet beschermen, draait security-logica nu op afzonderlijke chips of kaarten, los van de CPU.
De opkomst van de DPU
De bekendste exponent van deze trend is de Data Processing Unit (DPU). NVIDIA’s BlueField-platform is daarvan het bekendste voorbeeld, maar ook AMD Pensando, Intel IPU en Marvell Octeon vallen in dezelfde categorie. Hun taak is om de netwerk-, opslag- en beveiligingsfuncties over te nemen van de host-CPU en uit te voeren op een eigen, geïsoleerde omgeving.
Zo’n DPU bevat meerdere ARM-cores, geheugen, een netwerkcontroller en vaak een speciaal besturingssysteem. Daarop draaien functies als encryptie, microsegmentatie, datapad-analyse of zero-trust-beleid. Dat betekent dat verkeer wordt geverifieerd, versleuteld en gelogd nog vóórdat het de server bereikt.
Volgens leveranciers leidt dat niet alleen tot betere prestaties, maar ook tot sterkere scheiding tussen infrastructuur en applicatie. Als de host-OS wordt aangevallen, blijft de DPU-laag functioneren en kan verkeer worden geblokkeerd of herleid.
Hardware-gebaseerde isolatie
Het idee sluit aan bij eerdere ontwikkelingen, zoals de secure enclaves in moderne processors (Intel SGX, AMD SEV) of de TPM-chips die cryptografische sleutels opslaan. Waar die enclaves individuele processen beschermen, richt de DPU zich op het hele dataverkeer tussen servers en tenants.
De logica is hetzelfde: gevoelige operaties horen thuis in een gecontroleerde, hardware-matige omgeving. Zo wordt niet alleen de kans op menselijke fouten kleiner, maar ook de impact van een succesvolle aanval.
Security-defined infrastructure
Fabrikanten spreken intussen van security-defined infrastructure: een model waarin beveiliging niet langer een laag bovenop de hardware vormt, maar een integraal onderdeel van het ontwerp.
• AMD Pensando biedt netwerk- en securityoffloading met hardwarematige microsegmentatie.
• Intel IPU (Infrastructure Processing Unit) koppelt netwerkpolicy’s aan fysieke interfaces.
• NVIDIA BlueField combineert dit met AI-ondersteuning via het programmeerbare DOCA-platform.
Bovenop die hardware werken partijen als Trend Micro, Palo Alto Networks en Fortinet aan integraties die hun software dichter tegen de DPU-laag plaatsen. Hun tools kunnen zo verkeer inspecteren of segmenteren zonder de CPU te belasten.
De AI-versnelling
AI-datacenters versnellen deze ontwikkeling. In zogeheten AI factories delen duizenden GPU’s hetzelfde netwerk en dezelfde opslag. De hoeveelheid data die daarbij beweegt is enorm, en elke extra softwarelaag verhoogt de latency. Hardware-gebaseerde beveiliging maakt het mogelijk om verkeer te controleren zonder de performance van trainings- of inferentietaken te beïnvloeden.
Bovendien stellen AI-workloads nieuwe eisen aan compliance en tenant-isolatie. Wanneer meerdere teams of klanten toegang hebben tot dezelfde infrastructuur, moeten datapaden strikt gescheiden blijven. Met een DPU is zo’n scheiding afdwingbaar op chipniveau in plaats van via virtuele netwerken.
Efficiëntie als bijvangst
Naast veiligheid spelen ook praktische argumenten mee. Door infrastructuurtaken af te handelen op de DPU:
• daalt de CPU-belasting aanzienlijk;
• blijft de latency stabiel, ook bij zware encryptie;
• en kunnen beheerders policies uitvoeren zonder productiesystemen te verstoren.
Voor serviceproviders en cloudoperators betekent dat: meer workloads per rack en minder energieverbruik. De extra efficiëntie maakt hardware-beveiliging aantrekkelijk, zelfs voor partijen waar compliance niet de primaire drijfveer is.
Nieuwe verantwoordelijkheid
Toch brengt de verschuiving naar hardware-security ook nieuwe verantwoordelijkheden mee. De firmware en software-stack op DPU’s en enclaves vormen een extra aanvalsvlak.
Beheer, patching en auditing worden complexer, zeker in omgevingen waar meerdere leveranciers samenwerken. Een lek in de DOCA-laag of IPU-firmware kan even schadelijk zijn als een kwetsbaarheid in het besturingssysteem.
Beveiliging op silicon-niveau vraagt dus ook om security-kennis op silicon-niveau: firmware-analyse, hardware-attestatie en supply-chain-controle worden nieuwe competenties in het datacenter.
Vooruitblik
De trend richting hardware-gebaseerde beveiliging blijft zich uitbreiden. Waar het nu vooral wordt toegepast in grootschalige AI- en cloudomgevingen, komt dezelfde technologie in compacte vorm naar de edge en enterprise-servers. Denk aan netwerkkaarten met geïntegreerde beveiligingsmodules, of storage-controllers die zelf encryptie en policy-handhaving uitvoeren.
De onderliggende gedachte is universeel: infrastructuur en beveiliging zijn niet langer te scheiden. In een tijdperk van gedistribueerde data, AI-verkeer en zero-trust-eisen wordt de hardware zelf de eerste verdedigingslinie.
