?
網絡攻擊越來越復雜,并提出了一個日益嚴峻的挑戰。遠程勞動力連接的增加推動了邊緣和核心安全隧道流量的增長,聯邦政府和醫療保健網絡流量加密任務的擴展,以及視頻流量的增加,加劇了這一挑戰。
此外, 5G 速度的引入和數十億連接設備的增加正在增加移動和物聯網流量。
這些趨勢正在創造新的安全挑戰,需要網絡安全的新方向來維持充分的保護。 IT 部門和防火墻必須檢查成倍增加的數據,并深入查看流量,以應對新的威脅。他們必須能夠檢查在同一主機上運行的虛擬機和容器之間的流量,這些流量是傳統防火墻設備無法看到的。
運營商必須部署足夠的防火墻,能夠處理總流量,但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因為通用處理器(服務器 CPU )未針對數據包檢查進行優化,無法處理更高的網絡速度。這導致性能欠佳、可擴展性差,并增加了昂貴的 CPU 內核的消耗。
下一代防火墻( NGFW )等安全應用程序正努力跟上更高的流量負載。雖然軟件定義的 NGFW 提供了在現代數據中心的任何位置放置防火墻的靈活性和敏捷性,但在性能、效率和經濟性方面對其進行擴展對當今的企業來說是一個挑戰。
下一代防火墻
為了應對這些挑戰, NVIDIA 與 Palo Alto Networks 合作,加快其 VM 系列下一代防火墻 通過 NVIDIA BlueField 數據處理器 ( DPU )。這個 DPU 通過將流量從主機處理器卸載到 BlueField DPU 上的專用加速器和 ARM 核,加速數據包過濾和轉發。
該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵預防和高級安全功能提供給每臺服務器,而不會犧牲網絡性能或消耗業務應用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大限度地提高數據中心安全覆蓋率和效率的里程碑。
DPU 作為智能網絡過濾器,以零 CPU 開銷基于預定義策略解析和引導流量,使 NGFW 能夠在典型用例中支持接近 100Gb / s 的吞吐量。與僅在 CPU 上運行 VM 系列防火墻相比,這是性能提升的 5 倍,與傳統硬件相比,資本支出節省高達 150% 。
智能交通卸載服務
Palo Alto Networks- NVIDIA 聯合解決方案創建了智能流量卸載( ITO )服務,克服了性能、可擴展性和效率方面的挑戰。 VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成增強了 NGFW 解決方案的成本經濟性,同時提高了威脅檢測和緩解能力。
在某些客戶環境中,多達 80% 的網絡流量不需要或無法通過防火墻進行檢查,例如來自視頻、游戲和會議的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的聯合解決方案通過 ITO 服務解決了這個問題,該服務檢查網絡流量以確定每個會話是否會受益于深度安全檢查。
ITO 通過檢查所有控制數據包來優化防火墻資源,但只檢查需要深入安全檢查的有效負載流。假設防火墻確定會話不會從安全檢查中受益。在這種情況下,防火墻檢查流的初始數據包,然后 ITO 指示 DPU 將該會話中的所有后續數據包直接轉發到其目的地,而無需通過防火墻發送(圖 2 )。
通過只檢查可以從安全檢查中受益的流并將其余的流卸載到 DPU ,可以減少防火墻和主機 CPU 上的總體負載,并在不犧牲安全性的情況下提高性能。
ITO?使企業能夠使用 NGFW 保護最終用戶, NGFW 可以在零信任環境下在每臺主機上運行,幫助加快其數字轉型,同時使他們免受各種網絡威脅的威脅。
首次上市的 NGFW
為了領先于新出現的威脅, Palo Alto Networks 聯合開發了第一個虛擬 NGFW ,由 BlueField DPU 加速。 VM 系列防火墻通過將這些任務從主機處理器卸載到服務器,以更高的速度和更少的 CPU 消耗,實現了應用程序感知的分段、防止惡意軟件、檢測新威脅和停止數據外泄 BlueField DPU .
DPU 作為智能網絡過濾器,以零 CPU 開銷解析、分類和引導流量,使 NGFW 能夠在典型用例中支持每臺服務器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任網絡安全原則。
ITO 解決方案在 NVIDIA GTC 在與 Palo Alto Networks 的聯合會議期間。有關 ITO 服務在提供軟件定義、硬件加速的 NGFW 方面的作用的更多信息,請參閱 使用軟件定義的 DPU 防火墻加速企業網絡安全 GTC 會議.
?
