|
NVIDIA BlueField-2助力Palo Alto Networks的虛擬新一代防火墻實現5倍加速 根據美國聯邦調查局(FBI)的數據,2020年網絡犯罪給美國公眾造成的損失高達40億美元以上。 面對各種新型威脅,為提前做好防御,全球網絡安全領導者Palo Alto Networks開發了首款通過NVIDIA BlueField DPU(數據處理器)加速的虛擬NGFW( Next-Generation FirewWall - 新一代防火墻)。 DPU通過將流量從主機處理器卸載到獨立于服務器CPU的專用硬件上,可加速對數據包的過濾和轉發。該解決方案讓每臺服務器都能擁有Palo Alto Networks的虛擬NGFW的入侵防御和高級安全功能,且不以犧牲網絡性能為代價,還能對網絡流中的相關部分進行智能篩選,并將其余的操作卸載到DPU,實現了對以前不可能或做不到的網絡流進行檢查。 作為市場上首款使用DPU加速的產品,這款硬件加速的軟件NGFW是Palo Alto Networks公司提升軟件防火墻性能以及實現數據中心安全覆蓋范圍和效率最大化進程中的一座里程碑。 最近發布的基于DPU的Palo Alto Networks VM系列NGFW采用了零信任網絡安全原則,DPU作為智能網絡過濾器,能夠以不消耗CPU的方式,對網絡流進行解析、分類和引導,使NGFW能夠在各種典型用例中達到接近100Gb/s的吞吐量。與單純運行在CPU上的VM系列防火墻相比,其性能提高了5倍;而與傳統的硬件方案相比,可節省高達150%的資本支出。 Palo Alto Networks公司的產品高級副總裁Muninder Singh Sambi表示:“企業和電信公司都在建立類云數據中心,因此既需要云的敏捷性和自動化,同時又不能影響性能。我們與NVIDIA的合作,大幅提升了我們基于機器學習的VM系列虛擬NGFW的性能。對于在類云環境中運行的網絡安全解決方案而言,業內領先的NVIDIA BlueField DPU是您的理想選擇。” 作為市場上首款支持BlueField DPU的NGFW,VM系列產品通過將數據包過濾和轉發等功能從主機處理器卸載到BlueField DPU上進行硬件加速,可助力于應用感知的分段(Segmentation)、預防惡意軟件、檢測新型威脅及阻止數據滲漏等業務。 
智能流量卸載服務 在某些客戶環境中,大多數流量或者是無需檢查(如視頻、游戲、視頻會議等流媒體流量),或者是無法檢查(如客戶無法在防火墻上指定相應解密策略的加密流量等)。在這種情況下,智能流量卸載技術可以實現只那些能夠受益于持續安全檢查的網絡流來確保防火墻資源的優化利用。 高達80%的網絡流量,包括數據中心中的多媒體和加密數據,都無需或無法由防火墻進行檢查。如何來區分這些流量,NVIDIA和Palo Alto Networks的聯合解決方案包括了 ITO(智能流量卸載)服務,該技術可以對網絡流量進行檢查,以區分每個會話(Session)是否受益于安全檢查。 ITO(智能流量卸載)服務通過檢查流量中的每個會話(Session),以確定該會話是否能受益于安全檢查。如果防火墻確定該會話無法受益于安全檢查,則ITO會指示BlueField-2 DPU將該會話中的所有后續數據包直接轉發到目的地,而不必再發送到防火墻(見下表)。 只有檢查能夠受益于安全檢查的網絡流,才會把其余安全操作卸載到DPU,既減少了防火墻和主機CPU上的總負載,又提升了性能和安全性。 ITO(智能流量卸載)使企業、電信和云運營商能夠在零信任環境下,通過在每臺主機上運行NGFW來保護最終用戶,助力其加快數字化轉型,同時免受各種網絡威脅。
Palo Alto Networks的ITO服務通過NVIDIA BlueFIeld DPU,智能卸載無需進一步安全檢查的流量 擴展NVIDIA DOCA SDK開發者生態系統 Palo Alto Networks在BlueField DPU上的NGFW的早期開發使用了gRPC中的開源遠程程序來調用框架(云原生計算基金會的一個項目)和NVIDIA 的ASAP2(一款開源硬件加速框架)。 現在BlueField和ASAP2 的gRPC接口現已并入NVIDIA DOCA SDK,這一芯片架構上的數據中心基礎架構開發平臺為開發者提供了一個開源平臺,使開發者能夠構建在BlueField DPU上運行的軟件定義和硬件加速的網絡、存儲、安全與管理應用程序。 NVIDIA致力于建立一個大型開發者社區,為基于NVIDIA GPU和BlueField DPU的數據中心基礎設施應用和服務帶來徹底的改觀,DOCA正是其中的一部分。 |
