网络

NVIDIA 和Palo Alto Networks通过DPU加速,提供前所未有的防火墙性能以保障5G云原生安全

不同于前几代无线网络,5G具有许多新的功能,如更低的延迟、更高的可靠性和吞吐量、通过云原生架构实现的灵活服务部署、以及更高的设备密度等。5G的采用及其功能的扩展推动了移动网络宽带达到100Gbps,甚至更高。

随着5G的出现以及云计算的部署日益频繁,网络安全需要从新的方向增强以提供足够的保护。如今的网络攻击方式日益复杂,并且攻击面也日益扩大,加之比本地部署更易受攻击的现代云环境,想要妥当地落实保护也并非易事。在5G时代,我们需要一种新的安全策略来提供充分的保护。

1 充分保障5G网络安全所面临的挑战与日俱增

新一代5G防火墙

Palo Alto Networks和NVIDIA联合创建了一种可扩展的自适应安全解决方案,该方案将Palo Alto新一代防火墙与NVIDIA BlueField-2数据处理器(DPU)相结合,提高了虚拟化软件定义网络的高性能安全标准。NVIDIA BlueField-2 DPU提供一套丰富的网络流量卸载引擎,可满足5G和云等高要求市场中不断发展的安全需求。Palo Alto Networks发挥其在保护企业和移动网络方面的专长,并将其应用于5G。两家公司凭借这些专长,部署了包括虚拟防火墙在内的5G原生安全倡议。该虚拟防火墙致力于满足5G云原生环境的严格安全需求,通过规模化、操作简易性和自动化,为客户提供无与伦比的安全保护。

图2 Palo Alto Networks新一代防火墙提供原生5G安全

对于希望在5G和云环境中对安全基础设施进行现代化升级的数据中心而言,NVIDIA 和Palo Alto Networks软件定义的硬件加速安全架构可提高基础设施的效率,以更灵活的粒度实现整体解决方案堆栈中零信任安全,并使安全和管理操作更高效。

3 BlueField-2 DPU智能流量卸载

这一动态解决方案内置智能流量卸载,因此能够针对实时威胁进行适配,而无需改变网络基础设施。NVIDIA ASAP2 VNF流量卸载技术可对基于AppID的长流识别进行过滤或转发。此外,该AppID还被用于检查前几个数据包,以检测其是否包含威胁或是否能够卸载流量。如果数据包不适合流量卸载,将被发送至防火墙进行检查。如果防火墙确定该会话并无威胁,则其将被发送至PAN gRPCd进程。该进程会调用DPU守护程序,将该会话添加至DPU会话流表中,以便将来进行卸载。DPU将处理流量中的所有后续数据包,且不消耗任何服务器CPU周期用于防火墙处理进程。该解决方案提供高达100Gb/s的吞吐量,其中80%的流量被卸载至DPU,并确保在不运用CPU的情况下获得最高性能。因此,与基于主机的传统防火墙安全方案相比,其吞吐量增加了5

2021年GTC大会上,NVIDIA和Palo Alto Networks联合展示了用于实现5G原生安全的智能流量卸载用例。欢迎观看视频回放,了解如何使用DPU实现新一代防火墙的近线率,构建高效的5G原生安全方案。也欢迎观看演示,了解Palo Alto Networks和NVIDIA联合网络安全方案的灵活性、可编程性和敏捷性。该方案将于2021年5月在全球上市。了解更多信息,请联系NVIDIA或Palo Alto Networks销售代表。

点击此处观看GTC分会场视频回放。

 

标签