NVIDIA DPU賦能Palo Alto Networks，大幅提升網(wǎng)絡(luò)安全防御能力

發(fā)布時(shí)間：2021-7-14 14:21 發(fā)布者：eechina

關(guān)鍵詞： NVIDIA , BlueField , 防火墻 , DPU

NVIDIA BlueField-2助力Palo Alto Networks的虛擬新一代防火墻實(shí)現(xiàn)5倍加速

根據(jù)美國聯(lián)邦調(diào)查局（FBI）的數(shù)據(jù)，2020年網(wǎng)絡(luò)犯罪給美國公眾造成的損失高達(dá)40億美元以上。

面對各種新型威脅，為提前做好防御，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Palo Alto Networks開發(fā)了首款通過NVIDIA BlueField DPU（數(shù)據(jù)處理器）加速的虛擬NGFW（ Next-Generation FirewWall - 新一代防火墻）。

DPU通過將流量從主機(jī)處理器卸載到獨(dú)立于服務(wù)器CPU的專用硬件上，可加速對數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)。該解決方案讓每臺(tái)服務(wù)器都能擁有Palo Alto Networks的虛擬NGFW的入侵防御和高級(jí)安全功能，且不以犧牲網(wǎng)絡(luò)性能為代價(jià)，還能對網(wǎng)絡(luò)流中的相關(guān)部分進(jìn)行智能篩選，并將其余的操作卸載到DPU，實(shí)現(xiàn)了對以前不可能或做不到的網(wǎng)絡(luò)流進(jìn)行檢查。

作為市場上首款使用DPU加速的產(chǎn)品，這款硬件加速的軟件NGFW是Palo Alto Networks公司提升軟件防火墻性能以及實(shí)現(xiàn)數(shù)據(jù)中心安全覆蓋范圍和效率最大化進(jìn)程中的一座里程碑。

最近發(fā)布的基于DPU的Palo Alto Networks VM系列NGFW采用了零信任網(wǎng)絡(luò)安全原則，DPU作為智能網(wǎng)絡(luò)過濾器，能夠以不消耗CPU的方式，對網(wǎng)絡(luò)流進(jìn)行解析、分類和引導(dǎo)，使NGFW能夠在各種典型用例中達(dá)到接近100Gb/s的吞吐量。與單純運(yùn)行在CPU上的VM系列防火墻相比，其性能提高了5倍；而與傳統(tǒng)的硬件方案相比，可節(jié)省高達(dá)150%的資本支出。

Palo Alto Networks公司的產(chǎn)品高級(jí)副總裁Muninder Singh Sambi表示：“企業(yè)和電信公司都在建立類云數(shù)據(jù)中心，因此既需要云的敏捷性和自動(dòng)化，同時(shí)又不能影響性能。我們與NVIDIA的合作，大幅提升了我們基于機(jī)器學(xué)習(xí)的VM系列虛擬NGFW的性能。對于在類云環(huán)境中運(yùn)行的網(wǎng)絡(luò)安全解決方案而言，業(yè)內(nèi)領(lǐng)先的NVIDIA BlueField DPU是您的理想選擇。”

作為市場上首款支持BlueField DPU的NGFW，VM系列產(chǎn)品通過將數(shù)據(jù)包過濾和轉(zhuǎn)發(fā)等功能從主機(jī)處理器卸載到BlueField DPU上進(jìn)行硬件加速，可助力于應(yīng)用感知的分段（Segmentation）、預(yù)防惡意軟件、檢測新型威脅及阻止數(shù)據(jù)滲漏等業(yè)務(wù)。

智能流量卸載服務(wù)

在某些客戶環(huán)境中，大多數(shù)流量或者是無需檢查（如視頻、游戲、視頻會(huì)議等流媒體流量），或者是無法檢查（如客戶無法在防火墻上指定相應(yīng)解密策略的加密流量等）。在這種情況下，智能流量卸載技術(shù)可以實(shí)現(xiàn)只那些能夠受益于持續(xù)安全檢查的網(wǎng)絡(luò)流來確保防火墻資源的優(yōu)化利用。

高達(dá)80%的網(wǎng)絡(luò)流量，包括數(shù)據(jù)中心中的多媒體和加密數(shù)據(jù)，都無需或無法由防火墻進(jìn)行檢查。如何來區(qū)分這些流量，NVIDIA和Palo Alto Networks的聯(lián)合解決方案包括了 ITO（智能流量卸載）服務(wù)，該技術(shù)可以對網(wǎng)絡(luò)流量進(jìn)行檢查，以區(qū)分每個(gè)會(huì)話（Session）是否受益于安全檢查。

ITO（智能流量卸載）服務(wù)通過檢查流量中的每個(gè)會(huì)話（Session），以確定該會(huì)話是否能受益于安全檢查。如果防火墻確定該會(huì)話無法受益于安全檢查，則ITO會(huì)指示BlueField-2 DPU將該會(huì)話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到目的地，而不必再發(fā)送到防火墻（見下表）。

只有檢查能夠受益于安全檢查的網(wǎng)絡(luò)流，才會(huì)把其余安全操作卸載到DPU，既減少了防火墻和主機(jī)CPU上的總負(fù)載，又提升了性能和安全性。

ITO（智能流量卸載）使企業(yè)、電信和云運(yùn)營商能夠在零信任環(huán)境下，通過在每臺(tái)主機(jī)上運(yùn)行NGFW來保護(hù)最終用戶，助力其加快數(shù)字化轉(zhuǎn)型，同時(shí)免受各種網(wǎng)絡(luò)威脅。

Palo Alto Networks的ITO服務(wù)通過NVIDIA BlueFIeld DPU，智能卸載無需進(jìn)一步安全檢查的流量

擴(kuò)展NVIDIA DOCA SDK開發(fā)者生態(tài)系統(tǒng)

Palo Alto Networks在BlueField DPU上的NGFW的早期開發(fā)使用了gRPC中的開源遠(yuǎn)程程序來調(diào)用框架（云原生計(jì)算基金會(huì)的一個(gè)項(xiàng)目）和NVIDIA 的ASAP2（一款開源硬件加速框架）。

現(xiàn)在BlueField和ASAP2 的gRPC接口現(xiàn)已并入NVIDIA DOCA SDK，這一芯片架構(gòu)上的數(shù)據(jù)中心基礎(chǔ)架構(gòu)開發(fā)平臺(tái)為開發(fā)者提供了一個(gè)開源平臺(tái)，使開發(fā)者能夠構(gòu)建在BlueField DPU上運(yùn)行的軟件定義和硬件加速的網(wǎng)絡(luò)、存儲(chǔ)、安全與管理應(yīng)用程序。

NVIDIA致力于建立一個(gè)大型開發(fā)者社區(qū)，為基于NVIDIA GPU和BlueField DPU的數(shù)據(jù)中心基礎(chǔ)設(shè)施應(yīng)用和服務(wù)帶來徹底的改觀，DOCA正是其中的一部分。

本文地址：http://m.qingdxww.cn/thread-770540-1-1.html 【打印本頁】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布，目的在于傳遞和分享信息，并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)；文章版權(quán)歸原作者及原出處所有，如涉及作品內(nèi)容、版權(quán)和其它問題，我們將根據(jù)著作權(quán)人的要求，第一時(shí)間更正或刪除。