使用DPU加速的下一代防火墻實現(xiàn)企業(yè)網(wǎng)絡(luò)安全保護(hù)

網(wǎng)絡(luò)攻擊越來越復(fù)雜，并提出了一個日益嚴(yán)峻的挑戰(zhàn)。遠(yuǎn)程勞動力連接的增加推動了邊緣和核心安全隧道流量的增長，聯(lián)邦政府和醫(yī)療保健網(wǎng)絡(luò)流量加密任務(wù)的擴(kuò)展，以及視頻流量的增加，加劇了這一挑戰(zhàn)。

此外， 5G 速度的引入和數(shù)十億連接設(shè)備的增加正在增加移動和物聯(lián)網(wǎng)流量。

這些趨勢正在創(chuàng)造新的安全挑戰(zhàn)，需要網(wǎng)絡(luò)安全的新方向來維持充分的保護(hù)。 IT 部門和防火墻必須檢查成倍增加的數(shù)據(jù)，并深入查看流量，以應(yīng)對新的威脅。他們必須能夠檢查在同一主機(jī)上運(yùn)行的虛擬機(jī)和容器之間的流量，這些流量是傳統(tǒng)防火墻設(shè)備無法看到的。

運(yùn)營商必須部署足夠的防火墻，能夠處理總流量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因為通用處理器（服務(wù)器 CPU ）未針對數(shù)據(jù)包檢查進(jìn)行優(yōu)化，無法處理更高的網(wǎng)絡(luò)速度。這導(dǎo)致性能欠佳、可擴(kuò)展性差，并增加了昂貴的 CPU 內(nèi)核的消耗。

下一代防火墻（ NGFW ）等安全應(yīng)用程序正努力跟上更高的流量負(fù)載。雖然軟件定義的 NGFW 提供了在現(xiàn)代數(shù)據(jù)中心的任何位置放置防火墻的靈活性和敏捷性，但在性能、效率和經(jīng)濟(jì)性方面對其進(jìn)行擴(kuò)展對當(dāng)今的企業(yè)來說是一個挑戰(zhàn)。

下一代防火墻

為了應(yīng)對這些挑戰(zhàn)， NVIDIA 與 Palo Alto Networks 合作，加快其 VM 系列下一代防火墻 通過 NVIDIA BlueField 數(shù)據(jù)處理器 （ DPU ）。這個 DPU 通過將流量從主機(jī)處理器卸載到 BlueField DPU 上的專用加速器和 ARM 核，加速數(shù)據(jù)包過濾和轉(zhuǎn)發(fā)。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵預(yù)防和高級安全功能提供給每臺服務(wù)器，而不會犧牲網(wǎng)絡(luò)性能或消耗業(yè)務(wù)應(yīng)用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大限度地提高數(shù)據(jù)中心安全覆蓋率和效率的里程碑。

DPU 作為智能網(wǎng)絡(luò)過濾器，以零 CPU 開銷基于預(yù)定義策略解析和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持接近 100Gb / s 的吞吐量。與僅在 CPU 上運(yùn)行 VM 系列防火墻相比，這是性能提升的 5 倍，與傳統(tǒng)硬件相比，資本支出節(jié)省高達(dá) 150% 。

智能交通卸載服務(wù)

Palo Alto Networks- NVIDIA 聯(lián)合解決方案創(chuàng)建了智能流量卸載（ ITO ）服務(wù)，克服了性能、可擴(kuò)展性和效率方面的挑戰(zhàn)。 VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成增強(qiáng)了 NGFW 解決方案的成本經(jīng)濟(jì)性，同時提高了威脅檢測和緩解能力。

在某些客戶環(huán)境中，多達(dá) 80% 的網(wǎng)絡(luò)流量不需要或無法通過防火墻進(jìn)行檢查，例如來自視頻、游戲和會議的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的聯(lián)合解決方案通過 ITO 服務(wù)解決了這個問題，該服務(wù)檢查網(wǎng)絡(luò)流量以確定每個會話是否會受益于深度安全檢查。

ITO 通過檢查所有控制數(shù)據(jù)包來優(yōu)化防火墻資源，但只檢查需要深入安全檢查的有效負(fù)載流。假設(shè)防火墻確定會話不會從安全檢查中受益。在這種情況下，防火墻檢查流的初始數(shù)據(jù)包，然后 ITO 指示 DPU 將該會話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到其目的地，而無需通過防火墻發(fā)送。

通過只檢查可以從安全檢查中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機(jī) CPU 上的總體負(fù)載，并在不犧牲安全性的情況下提高性能。

ITO 使企業(yè)能夠使用 NGFW 保護(hù)最終用戶， NGFW 可以在零信任環(huán)境下在每臺主機(jī)上運(yùn)行，幫助加快其數(shù)字轉(zhuǎn)型，同時使他們免受各種網(wǎng)絡(luò)威脅的威脅。

首次上市的 NGFW

為了領(lǐng)先于新出現(xiàn)的威脅， Palo Alto Networks 聯(lián)合開發(fā)了第一個虛擬 NGFW ，由 BlueField DPU 加速。 VM 系列防火墻通過將這些任務(wù)從主機(jī)處理器卸載到服務(wù)器，以更高的速度和更少的 CPU 消耗，實現(xiàn)了應(yīng)用程序感知的分段、防止惡意軟件、檢測新威脅和停止數(shù)據(jù)外泄 BlueField DPU 。

DPU 作為智能網(wǎng)絡(luò)過濾器，以零 CPU 開銷解析、分類和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持每臺服務(wù)器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任網(wǎng)絡(luò)安全原則。

審核編輯：郭婷