根據美國聯邦調查局 (FBI),2020年發生的網路犯罪造成美國高達超過 40 億美元的損失。為因應各種新型的網路安全威脅,全球網路安全領導者 Palo Alto Networks 開發了首款透過 NVIDIA BlueField 資料處理器 (DPU) 加速的新一代虛擬防火牆 (NGFW)。
DPU 透過將流量從主機處理器卸載到獨立於伺服器 CPU 的專用硬體上,可加速對封包的過濾和轉發。該解決方案讓每一台伺服器在不犧牲網路效能的情況下,都能擁有 Palo Alto Networks 新一代虛擬防火牆的入侵防禦和進階網路安全功能,同時還能對網路流量的相關部分進行智慧篩選,並將其餘的流量卸載到 DPU,實現以往無法達成的流量檢查。
作為市場上第一個使用 DPU 加速的解決方案,此款硬體加速的 NGFW 軟體是 Palo Alto Networks 提升軟體防火牆效能、最大化資料中心安全覆蓋範圍和應用效率的里程碑。
由 DPU 加速的 Palo Alto Networks VM 系列 NGFW 已在近期發布,採用零信任網路安全原則,由 DPU 擔任智慧網路篩選器,能夠以不佔用 CPU 的方式,對網路流量進行解析、分類和導流,使 NGFW 能夠在典型的應用中達到近每秒 100Gb 的傳輸量,效能為單用 CPU 的 VM 系列防火牆的五倍,而與傳統的硬體方案相比,可節省高達 150% 的資本支出。
Palo Alto Networks 產品資深副總裁 Muninder Singh Sambi 表示:「企業和電信公司都在建立類雲端資料中心,因此既需要雲端的敏捷性和自動化,同時又不能影響效能。我們與 NVIDIA 的合作致力提升我們基於機器學習的 VM 系列虛擬 NGFW 的效能。引領業界的 NVIDIA BlueField DPU 是在類雲端的環境中執行網絡安全解決方案的理想選擇。」
作為市場上第一個支援 BlueField 的 NGFW,VM 系列透過以 BlueField DPU 卸載主機處理器,進而加速封包過濾和轉發等功能,有助於應用感知切分 (application-aware segmentation)、預防惡意軟體、檢測新型網路威脅及防止資料外洩等任務。
智慧流量卸載服務
在某些客戶環境中,大多數流量沒有檢查的需求 (如影片、遊戲、視訊會議等串流媒體流量),或是無法進行檢查,例如客戶無法在防火牆上分配相應解密方針的加密流量。在這些情況下,智慧流量卸載 (Intelligent Traffic Offload;ITO) 技術可以確保防火牆資源能被最佳化,並只用於檢查那些可受益於日常安全檢查的流量。
包含資料中心內的媒體和加密資料在內,高達 80% 的網路流量都不需要或由無法由防火牆進行檢查。為了因應這個情況,NVIDIA 和 Palo Alto Networks 的聯合解決方案囊括了 ITO 服務,可以對網路流量進行檢查,以確認每一個 session 是否受益於這些安全檢查。
ITO 服務會檢查流量中每一個 session,如果防火牆確定該 session 無法實現安全檢查,ITO 會指示 BlueField-2 DPU 將該 session 中的所有相關封包直接轉發到目的地,而不發送到防火牆 (請參考下圖)。僅檢視可以從安全檢查中受益的流量並將其餘流量卸載到 DPU,透過這樣的方式才能在不犧牲安全性的情況下,降低防火牆和主機 CPU 上的總體負載並提升效能。
ITO 使企業、電信和雲端營運商能透過可在零信任環境下於每一台主機上運行的 NGFW 保護終端用戶、幫助加速數位轉型的同時免於各種網路安全威脅。
擴展 NVIDIA DOCA SDK 開發者生態系
Palo Alto Networks 在 BlueField DPU 上著手進行 NGFW 的早期開發,他們使用 gRPC 開源遠端程式呼叫框架 (remote procedure call framework;雲端原生運算基金會的一個專案) 和一款開源硬體加速框架 NVIDIA ASAP2。
BlueField 和 ASAP2 的 gRPC 介面已併入 NVIDIA DOCA SDK,這個資料中心基礎架構單晶片架構可提供開發人員一個開放的平台,以打造在 BlueField DPU 上運行的軟體定義、硬體加速的網路、儲存、安全和管理應用程式。
NVIDIA 致力於建立一個大型開發者社群,以 NVIDIA GPU 和 BlueField DPU 為資料中心基礎架構應用和服務帶來徹底的變革,而 DOCA 正是其中的一部份。
進一步了解 DOCA ecosystem 並加入我們的開發者社群。