网络攻击越来越复杂,并提出了一个日益严峻的挑战。远程劳动力连接的增加推动了边缘和核心安全隧道流量的增长,联邦政府和医疗保健网络流量加密任务的扩展,以及视频流量的增加,加剧了这一挑战。
此外, 5G 速度的引入和数十亿连接设备的增加正在增加移动和物联网流量。
这些趋势正在创造新的安全挑战,需要网络安全的新方向来维持充分的保护。 IT 部门和防火墙必须检查成倍增加的数据,并深入查看流量,以应对新的威胁。他们必须能够检查在同一主机上运行的虚拟机和容器之间的流量,这些流量是传统防火墙设备无法看到的。
运营商必须部署足够的防火墙,能够处理总流量,但在不牺牲性能的情况下这样做的成本可能极其高昂。这是因为通用处理器(服务器 CPU )未针对数据包检查进行优化,无法处理更高的网络速度。这导致性能欠佳、可扩展性差,并增加了昂贵的 CPU 内核的消耗。
下一代防火墙( NGFW )等安全应用程序正努力跟上更高的流量负载。虽然软件定义的 NGFW 提供了在现代数据中心的任何位置放置防火墙的灵活性和敏捷性,但在性能、效率和经济性方面对其进行扩展对当今的企业来说是一个挑战。
下一代防火墙
为了应对这些挑战, NVIDIA 与 Palo Alto Networks 合作,加快其 VM 系列下一代防火墙 通过 NVIDIA BlueField 数据处理器 ( DPU )。这个 DPU 通过将流量从主机处理器卸载到 BlueField DPU 上的专用加速器和 ARM 核,加速数据包过滤和转发。
该解决方案将 Palo Alto Networks 的虚拟 NGFW 的入侵预防和高级安全功能提供给每台服务器,而不会牺牲网络性能或消耗业务应用程序所需的 CPU 周期。这种硬件加速、软件定义的 NGFW 是提高防火墙性能、最大限度地提高数据中心安全覆盖率和效率的里程碑。
DPU 作为智能网络过滤器,以零 CPU 开销基于预定义策略解析和引导流量,使 NGFW 能够在典型用例中支持接近 100Gb / s 的吞吐量。与仅在 CPU 上运行 VM 系列防火墙相比,这是性能提升的 5 倍,与传统硬件相比,资本支出节省高达 150% 。
智能交通卸载服务
Palo Alto Networks- NVIDIA 联合解决方案创建了智能流量卸载( ITO )服务,克服了性能、可扩展性和效率方面的挑战。 VM 系列 NGFW 与 NVIDIA BlueField DPU 的集成增强了 NGFW 解决方案的成本经济性,同时提高了威胁检测和缓解能力。
在某些客户环境中,多达 80% 的网络流量不需要或无法通过防火墙进行检查,例如来自视频、游戏和会议的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的联合解决方案通过 ITO 服务解决了这个问题,该服务检查网络流量以确定每个会话是否会受益于深度安全检查。
ITO 通过检查所有控制数据包来优化防火墙资源,但只检查需要深入安全检查的有效负载流。假设防火墙确定会话不会从安全检查中受益。在这种情况下,防火墙检查流的初始数据包,然后 ITO 指示 DPU 将该会话中的所有后续数据包直接转发到其目的地,而无需通过防火墙发送(图 2 )。
通过只检查可以从安全检查中受益的流并将其余的流卸载到 DPU ,可以减少防火墙和主机 CPU 上的总体负载,并在不牺牲安全性的情况下提高性能。
ITO 使企业能够使用 NGFW 保护最终用户, NGFW 可以在零信任环境下在每台主机上运行,帮助加快其数字转型,同时使他们免受各种网络威胁的威胁。
首次上市的 NGFW
为了领先于新出现的威胁, Palo Alto Networks 联合开发了第一个虚拟 NGFW ,由 BlueField DPU 加速。 VM 系列防火墙通过将这些任务从主机处理器卸载到服务器,以更高的速度和更少的 CPU 消耗,实现了应用程序感知的分段、防止恶意软件、检测新威胁和停止数据外泄 BlueField DPU .
DPU 作为智能网络过滤器,以零 CPU 开销解析、分类和引导流量,使 NGFW 能够在典型用例中支持每台服务器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任网络安全原则。
ITO 解决方案在 NVIDIA GTC 在与 Palo Alto Networks 的联合会议期间。有关 ITO 服务在提供软件定义、硬件加速的 NGFW 方面的作用的更多信息,请参阅 使用软件定义的 DPU 防火墙加速企业网络安全 GTC 会议.