GTC 大会火热进行中!别错过 NVIDIA CEO 黄仁勋的最新发布,以及 AI 和加速计算的必听会议。
网络安全/欺诈检测

使用 DPU 加速的下一代防火墙实现企业网络安全保护

 

网络攻击越来越复杂,并提出了一个日益严峻的挑战。远程劳动力连接的增加推动了边缘和核心安全隧道流量的增长,联邦政府和医疗保健网络流量加密任务的扩展,以及视频流量的增加,加剧了这一挑战。

此外, 5G 速度的引入和数十亿连接设备的增加正在增加移动和物联网流量。

这些趋势正在创造新的安全挑战,需要网络安全的新方向来维持充分的保护。 IT 部门和防火墙必须检查成倍增加的数据,并深入查看流量,以应对新的威胁。他们必须能够检查在同一主机上运行的虚拟机和容器之间的流量,这些流量是传统防火墙设备无法看到的。

运营商必须部署足够的防火墙,能够处理总流量,但在不牺牲性能的情况下这样做的成本可能极其高昂。这是因为通用处理器(服务器 CPU )未针对数据包检查进行优化,无法处理更高的网络速度。这导致性能欠佳、可扩展性差,并增加了昂贵的 CPU 内核的消耗。

下一代防火墙( NGFW )等安全应用程序正努力跟上更高的流量负载。虽然软件定义的 NGFW 提供了在现代数据中心的任何位置放置防火墙的灵活性和敏捷性,但在性能、效率和经济性方面对其进行扩展对当今的企业来说是一个挑战。

下一代防火墙

为了应对这些挑战, NVIDIA 与 Palo Alto Networks 合作,加快其 VM 系列下一代防火墙 通过 NVIDIA BlueField 数据处理器 ( DPU )。这个 DPU 通过将流量从主机处理器卸载到 BlueField DPU 上的专用加速器和 ARM 核,加速数据包过滤和转发。

该解决方案将 Palo Alto Networks 的虚拟 NGFW 的入侵预防和高级安全功能提供给每台服务器,而不会牺牲网络性能或消耗业务应用程序所需的 CPU 周期。这种硬件加速、软件定义的 NGFW 是提高防火墙性能、最大限度地提高数据中心安全覆盖率和效率的里程碑。

DPU 作为智能网络过滤器,以零 CPU 开销基于预定义策略解析和引导流量,使 NGFW 能够在典型用例中支持接近 100Gb / s 的吞吐量。与仅在 CPU 上运行 VM 系列防火墙相比,这是性能提升的 5 倍,与传统硬件相比,资本支出节省高达 150% 。

智能交通卸载服务

Palo Alto Networks- NVIDIA 联合解决方案创建了智能流量卸载( ITO )服务,克服了性能、可扩展性和效率方面的挑战。 VM 系列 NGFW 与 NVIDIA BlueField DPU 的集成增强了 NGFW 解决方案的成本经济性,同时提高了威胁检测和缓解能力。

20% of traffic benefits from security inspection while 80% of traffic does not (video, VOIP, etc.).
图 1.ITO 将 Palo Alto Networks NGFW 与 BlueField DPU 结合使用,可以帮助面临性能、安全性和成本挑战的企业

在某些客户环境中,多达 80% 的网络流量不需要或无法通过防火墙进行检查,例如来自视频、游戏和会议的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的联合解决方案通过 ITO 服务解决了这个问题,该服务检查网络流量以确定每个会话是否会受益于深度安全检查。

ITO 通过检查所有控制数据包来优化防火墙资源,但只检查需要深入安全检查的有效负载流。假设防火墙确定会话不会从安全检查中受益。在这种情况下,防火墙检查流的初始数据包,然后 ITO 指示 DPU 将该会话中的所有后续数据包直接转发到其目的地,而无需通过防火墙发送(图 2 )。

Gain a 5X performance improvement and reduce the number of CPU cores required to support security inspection.
图 2 。 DPU NGFW 的加速提供了前所未有的性能和效率增益

通过只检查可以从安全检查中受益的流并将其余的流卸载到 DPU ,可以减少防火墙和主机 CPU 上的总体负载,并在不牺牲安全性的情况下提高性能。

ITO 使企业能够使用 NGFW 保护最终用户, NGFW 可以在零信任环境下在每台主机上运行,帮助加快其数字转型,同时使他们免受各种网络威胁的威胁。

首次上市的 NGFW

为了领先于新出现的威胁, Palo Alto Networks 联合开发了第一个虚拟 NGFW ,由 BlueField DPU 加速。 VM 系列防火墙通过将这些任务从主机处理器卸载到服务器,以更高的速度和更少的 CPU 消耗,实现了应用程序感知的分段、防止恶意软件、检测新威胁和停止数据外泄 BlueField DPU .

DPU 作为智能网络过滤器,以零 CPU 开销解析、分类和引导流量,使 NGFW 能够在典型用例中支持每台服务器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任网络安全原则。

ITO 解决方案在 NVIDIA GTC 在与 Palo Alto Networks 的联合会议期间。有关 ITO 服务在提供软件定义、硬件加速的 NGFW 方面的作用的更多信息,请参阅 使用软件定义的 DPU 防火墙加速企业网络安全 GTC 会议.

 

Tags