使用 DPU 加速的下一代防火墙实现企业网络安全保护

helloworld_79254014
• 阅读 160

网络攻击正变得越来越复杂,并带来了日益严峻的挑战。远程员工连接的增加推动了边缘和核心安全隧道流量的增长,政府机构和医疗保健网络流量加密要求的扩大,以及视频流量的增加,加剧了这一挑战。

此外,由于 5G 速度的引入和数十亿连接设备的增加,移动和物联网流量正在增加。

这些趋势正在创造新的安全挑战,需要网络安全的新方向来维持足够的保护。IT 部门和防火墙必须检查成倍增加的数据,并深入查看流量内部,以应对新的威胁。他们必须能够检查在同一主机上运行的虚拟机和容器之间的流量,这些流量是传统防火墙设备无法看到的。

运营商必须部署足够多的防火墙来处理总流量吞吐量,但在不牺牲性能的情况下这样做的成本可能极其高昂。这是因为通用处理器(服务器 CPU)未针对数据包检查进行优化,无法处理更高的网络速度。这会导致性能欠佳、可扩展性差,并增加了昂贵的 CPU 内核的消耗。

下一代防火墙(NGFW)等安全应用程序正努力跟上更高的流量负载。虽然软件定义的 NGFW 提供了在现代数据中心的任何位置部署防火墙的灵活性和敏捷性,但在性能、效率和经济性方面对其进行扩展对当今的企业来说是一个挑战。

下一代防火墙

为了应对这些挑战,NVIDIA 与 Palo Alto Networks 合作,通过 NVIDIA BlueField DPU(数据处理器)加快其 VM 系列下一代防火墙。DPU 通过将流量从主机处理器卸载到 BlueField DPU 上的专用加速器和 ARM 内核来加速数据包过滤和转发。

该解决方案将 Palo Alto Networks 的虚拟 NGFW 的入侵防御和高级安全功能提供给每台服务器,而不会牺牲网络性能或消耗业务应用程序所需的 CPU 周期。这种硬件加速、软件定义的 NGFW 是提高防火墙性能、最大化数据中心安全覆盖率和效率的里程碑。

DPU 作为智能网络过滤器来运行,以零 CPU 开销实现基于预定义策略解析和引导流量,使 NGFW 能够在典型用例中支持接近 100Gb/s 的吞吐量。与仅在 CPU 上运行 VM 系列防火墙相比,这是 5 倍的性能提升,与传统硬件相比,资本支出节省高达 150%。

智能流量卸载服务

Palo Alto Networks - NVIDIA 联合解决方案创建了智能流量卸载(ITO)服务,克服了性能、可扩展性和效率方面的挑战。VM 系列 NGFW 与 NVIDIA BlueField DPU 的集成为 NGFW 解决方案提供了强大动力,从而提升了成本经济性,同时提高了威胁检测和缓解能力。 使用 DPU 加速的下一代防火墙实现企业网络安全保护 在某些客户环境中,多达 80% 的网络流量不需要或无法通过防火墙进行检查,例如加密流量或来自视频、游戏和会议的流式流量。NVIDIA 和 Palo Alto Networks 的联合解决方案通过 ITO 服务解决了这个问题,该服务检查网络流量以确定每个会话是否会受益于深度安全检查。

ITO 通过检查所有控制数据包来优化防火墙资源,但只检查需要深入安全检测的有效负载流。假设防火墙确定会话不会从安全检测中受益。在这种情况下,防火墙检测流的初始数据包,然后 ITO 指示 DPU 将该会话中的所有后续数据包直接转发到其目的地,而无需通过防火墙发送(图 2)。 使用 DPU 加速的下一代防火墙实现企业网络安全保护 通过只检查可以从安全检测中受益的流并将其余的流卸载到 DPU ,可以减少防火墙和主机 CPU 上的总体负载,并在不牺牲安全性的情况下提高性能。

ITO 使企业能够使用 NGFW 保护最终用户,NGFW 可以在零信任环境下在每台主机上运行,帮助加快其数字化转型,同时使他们免受各种网络威胁。

首款上市的 NGFW

为了比新兴的威胁快一步,Palo Alto Networks 联合开发了第一款由 BlueField DPU 加速的虚拟 NGFW 。VM 系列防火墙通过将应用程序感知分段、防止恶意软件、检测新威胁和阻止数据泄露任务从主机处理器卸载到 BlueField DPU 以更高的速度和更少的 CPU 消耗来实现所有这些任务。

DPU 作为智能网络过滤器来运行,以零 CPU 开销解析、分类和引导流量,使 NGFW 能够在典型用例中支持每台服务器接近 100Gb/s 的吞吐量。最近发布的 DPU 赋能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任网络安全原则。

扫描下方海报二维码,即可免费注册 GTC 大会,切莫错过在 2022 年 9 月 19 日至 22 日的 GTC 大会上与 AI 开发者和创新者交流的机会。

使用 DPU 加速的下一代防火墙实现企业网络安全保护

点赞
收藏
评论区
推荐文章
李志宽 李志宽
1年前
学完渗透赌博网站!从零基础到实战的Web渗透学习路线+手册
前言大家好我是周杰伦!大家都知道IT是一个非常复杂和混沌的领域,充斥着各种已经半死不活的过时技术和数量更多的新系统、新软件和新协议。保护现在的企业网络不能仅仅依靠补丁管理、防火墙和用户培训,而更需要周期性地对网络中的安全防御机制进行真实环境下的验证与评估,以确定哪些是有效的哪些是缺失的,而这就是渗透测试所要完成的目标。渗透测试是一项非常具有挑战性的工作。
晴雯 晴雯
5个月前
Mac新版 终端SSH工具SecureCRT
在今天的互联网时代,网络安全已经成为了每个人的重要问题。无论是企业还是个人用户,都需要保障自己的网络安全。是一款专业的远程管理软件,能够为你的网络安全提供有效的保护。首先,SecureCRTforMac提供了严格的认证和加密功能。它支持多种常见的认证协议,
Wesley13 Wesley13
1年前
CDN+MEC风口来袭,落寞的老牌厂商能否乘风而起?
编者按:CDN行业经历腥风血雨的价格战后,市场格局重新洗牌,在价格战中被大肆围剿传统CDN厂商又该何去何从?MEC会是他们在CDN赛道下半场的取胜之钥吗?随着万物互联,移动直播、短视频、AR及AI等新型互联网服务的兴起,流量迎来海量增长,对现有网络的承载能力带来了严峻的挑战,在5G和物联网时代,CDN作为“互联网网速加速器”也迎来了新的发展
Stella981 Stella981
1年前
Khan安全
随着科技时代的发展,物联网(IOT)成为数字化转型时代热门的技术之一。据数据统计,到2020年,全球连接的设备将超过260亿,而2016年仅为60亿,但是在这庞大的iot设备背后却存在着巨大的网络安全问题,有数十亿用户使用存在安全漏洞的设备,试想一下,当攻击者入侵智能电视、自动取款机时,会对消费者和企业产生什么样的负面影响;甚至当攻击者入侵自
Wesley13 Wesley13
1年前
DNA级别的安全:一机一密认证在百度安全OTA中的应用
随着智能硬件的加速普及,日益丰富和复杂的产品功能诉求为OTA固件升级带来前所未有的强需求,智能硬件厂商需要定期或不定期为硬件设备提供固件更新以增加新的功能、完善现有功能或是修复新出现的安全问题,这对OTA固件升级的流量通道、稳定性、安全性提出了新的要求.!1.png(https://anquan.baidu.com/upload/ue/image/2
Stella981 Stella981
1年前
Google、IBM和Lyft开源的微服务管理框架Istio安装与试用
Istio是Google、IBM和Lyft联合开源的微服务ServiceMesh框架,旨在解决大量微服务的发现、连接、管理、监控以及安全等问题。Istio的主要特性包括:HTTP、gRPC和TCP网络流量的自动负载均衡丰富的路由规则,细粒度的网络流量行为控制流量加密、服务间认证,以及强身份声明全范围(Fleet
京东云开发者 京东云开发者
3星期前
Web应用防火墙--规则防护 | 京东云技术团队
Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理,将正常安全的流量回源到业务服务器,保护网站核心业务和数据安全。
企业上云安全感多“亿”点!
数字时代下,上云成为企业投身产业数字化、实现转型的必然选择。但随着网络环境的复杂化,企业在享受云上便利的同时,也面临着安全挑战。层出不穷的应用程序和产品服务,引发了网络容量和复杂度的指数级倍增,云服务商需要提供更加灵活可靠的网络安全能力,来满足企业多元化的云上安全需求。信息安全保障体系的建设是一项系统工程,防火墙的部署往往是优先项。防火墙是内部网络和外部网络
IPIDEA IPIDEA
11个月前
代理IP如何保护企业网络安全?
随着互联网发展越渐成熟,越来越多的企业走向数据化,企业网络安全随之也成为了一个越来越被关注的问题。现在时常受到互联网攻击的企业数量也在不断增加,企业一般是被黑客通过IP地址踪迹进行网络攻击的,倘若黑客得手,会给企业带来数据泄露和信誉受损的恶劣影响。因此
晴雯 晴雯
5个月前
优化配置Little Snitch for Mac的规则和设置
LittleSnitchforMac是一款专业的macOS防火墙软件,它可以帮助你控制应用程序是否访问网络或者磁盘,并对系统不可信的进程和信息进行监控。如果你想保护你的Mac的网络安全,那么你需要了解如何配置和优化LittleSnitchforMac的规则