NVIDIA BlueField-2助力Palo Alto Networks的虛擬新一代防火墻實(shí)現(xiàn)5倍加速 根據(jù)美國聯(lián)邦調(diào)查局(FBI)的數(shù)據(jù),2020年網(wǎng)絡(luò)犯罪給美國公眾造成的損失高達(dá)40億美元以上。 面對各種新型威脅,為提前做好防御,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Palo Alto Networks開發(fā)了首款通過NVIDIA BlueField DPU(數(shù)據(jù)處理器)加速的虛擬NGFW( Next-Generation FirewWall - 新一代防火墻)。 DPU通過將流量從主機(jī)處理器卸載到獨(dú)立于服務(wù)器CPU的專用硬件上,可加速對數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)。該解決方案讓每臺(tái)服務(wù)器都能擁有Palo Alto Networks的虛擬NGFW的入侵防御和高級(jí)安全功能,且不以犧牲網(wǎng)絡(luò)性能為代價(jià),還能對網(wǎng)絡(luò)流中的相關(guān)部分進(jìn)行智能篩選,并將其余的操作卸載到DPU,實(shí)現(xiàn)了對以前不可能或做不到的網(wǎng)絡(luò)流進(jìn)行檢查。 作為市場上首款使用DPU加速的產(chǎn)品,這款硬件加速的軟件NGFW是Palo Alto Networks公司提升軟件防火墻性能以及實(shí)現(xiàn)數(shù)據(jù)中心安全覆蓋范圍和效率最大化進(jìn)程中的一座里程碑。 最近發(fā)布的基于DPU的Palo Alto Networks VM系列NGFW采用了零信任網(wǎng)絡(luò)安全原則,DPU作為智能網(wǎng)絡(luò)過濾器,能夠以不消耗CPU的方式,對網(wǎng)絡(luò)流進(jìn)行解析、分類和引導(dǎo),使NGFW能夠在各種典型用例中達(dá)到接近100Gb/s的吞吐量。與單純運(yùn)行在CPU上的VM系列防火墻相比,其性能提高了5倍;而與傳統(tǒng)的硬件方案相比,可節(jié)省高達(dá)150%的資本支出。 Palo Alto Networks公司的產(chǎn)品高級(jí)副總裁Muninder Singh Sambi表示:“企業(yè)和電信公司都在建立類云數(shù)據(jù)中心,因此既需要云的敏捷性和自動(dòng)化,同時(shí)又不能影響性能。我們與NVIDIA的合作,大幅提升了我們基于機(jī)器學(xué)習(xí)的VM系列虛擬NGFW的性能。對于在類云環(huán)境中運(yùn)行的網(wǎng)絡(luò)安全解決方案而言,業(yè)內(nèi)領(lǐng)先的NVIDIA BlueField DPU是您的理想選擇。” 作為市場上首款支持BlueField DPU的NGFW,VM系列產(chǎn)品通過將數(shù)據(jù)包過濾和轉(zhuǎn)發(fā)等功能從主機(jī)處理器卸載到BlueField DPU上進(jìn)行硬件加速,可助力于應(yīng)用感知的分段(Segmentation)、預(yù)防惡意軟件、檢測新型威脅及阻止數(shù)據(jù)滲漏等業(yè)務(wù)。 ![]() 智能流量卸載服務(wù) 在某些客戶環(huán)境中,大多數(shù)流量或者是無需檢查(如視頻、游戲、視頻會(huì)議等流媒體流量),或者是無法檢查(如客戶無法在防火墻上指定相應(yīng)解密策略的加密流量等)。在這種情況下,智能流量卸載技術(shù)可以實(shí)現(xiàn)只那些能夠受益于持續(xù)安全檢查的網(wǎng)絡(luò)流來確保防火墻資源的優(yōu)化利用。 高達(dá)80%的網(wǎng)絡(luò)流量,包括數(shù)據(jù)中心中的多媒體和加密數(shù)據(jù),都無需或無法由防火墻進(jìn)行檢查。如何來區(qū)分這些流量,NVIDIA和Palo Alto Networks的聯(lián)合解決方案包括了 ITO(智能流量卸載)服務(wù),該技術(shù)可以對網(wǎng)絡(luò)流量進(jìn)行檢查,以區(qū)分每個(gè)會(huì)話(Session)是否受益于安全檢查。 ITO(智能流量卸載)服務(wù)通過檢查流量中的每個(gè)會(huì)話(Session),以確定該會(huì)話是否能受益于安全檢查。如果防火墻確定該會(huì)話無法受益于安全檢查,則ITO會(huì)指示BlueField-2 DPU將該會(huì)話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到目的地,而不必再發(fā)送到防火墻(見下表)。 只有檢查能夠受益于安全檢查的網(wǎng)絡(luò)流,才會(huì)把其余安全操作卸載到DPU,既減少了防火墻和主機(jī)CPU上的總負(fù)載,又提升了性能和安全性。 ITO(智能流量卸載)使企業(yè)、電信和云運(yùn)營商能夠在零信任環(huán)境下,通過在每臺(tái)主機(jī)上運(yùn)行NGFW來保護(hù)最終用戶,助力其加快數(shù)字化轉(zhuǎn)型,同時(shí)免受各種網(wǎng)絡(luò)威脅。 ![]() Palo Alto Networks的ITO服務(wù)通過NVIDIA BlueFIeld DPU,智能卸載無需進(jìn)一步安全檢查的流量 擴(kuò)展NVIDIA DOCA SDK開發(fā)者生態(tài)系統(tǒng) Palo Alto Networks在BlueField DPU上的NGFW的早期開發(fā)使用了gRPC中的開源遠(yuǎn)程程序來調(diào)用框架(云原生計(jì)算基金會(huì)的一個(gè)項(xiàng)目)和NVIDIA 的ASAP2(一款開源硬件加速框架)。 現(xiàn)在BlueField和ASAP2 的gRPC接口現(xiàn)已并入NVIDIA DOCA SDK,這一芯片架構(gòu)上的數(shù)據(jù)中心基礎(chǔ)架構(gòu)開發(fā)平臺(tái)為開發(fā)者提供了一個(gè)開源平臺(tái),使開發(fā)者能夠構(gòu)建在BlueField DPU上運(yùn)行的軟件定義和硬件加速的網(wǎng)絡(luò)、存儲(chǔ)、安全與管理應(yīng)用程序。 NVIDIA致力于建立一個(gè)大型開發(fā)者社區(qū),為基于NVIDIA GPU和BlueField DPU的數(shù)據(jù)中心基礎(chǔ)設(shè)施應(yīng)用和服務(wù)帶來徹底的改觀,DOCA正是其中的一部分。 |