使用 DPU 加速的下一代防火墙实现企业网络安全保护

helloworld_79254014
• 阅读 489

网络攻击正变得越来越复杂,并带来了日益严峻的挑战。远程员工连接的增加推动了边缘和核心安全隧道流量的增长,政府机构和医疗保健网络流量加密要求的扩大,以及视频流量的增加,加剧了这一挑战。

此外,由于 5G 速度的引入和数十亿连接设备的增加,移动和物联网流量正在增加。

这些趋势正在创造新的安全挑战,需要网络安全的新方向来维持足够的保护。IT 部门和防火墙必须检查成倍增加的数据,并深入查看流量内部,以应对新的威胁。他们必须能够检查在同一主机上运行的虚拟机和容器之间的流量,这些流量是传统防火墙设备无法看到的。

运营商必须部署足够多的防火墙来处理总流量吞吐量,但在不牺牲性能的情况下这样做的成本可能极其高昂。这是因为通用处理器(服务器 CPU)未针对数据包检查进行优化,无法处理更高的网络速度。这会导致性能欠佳、可扩展性差,并增加了昂贵的 CPU 内核的消耗。

下一代防火墙(NGFW)等安全应用程序正努力跟上更高的流量负载。虽然软件定义的 NGFW 提供了在现代数据中心的任何位置部署防火墙的灵活性和敏捷性,但在性能、效率和经济性方面对其进行扩展对当今的企业来说是一个挑战。

下一代防火墙

为了应对这些挑战,NVIDIA 与 Palo Alto Networks 合作,通过 NVIDIA BlueField DPU(数据处理器)加快其 VM 系列下一代防火墙。DPU 通过将流量从主机处理器卸载到 BlueField DPU 上的专用加速器和 ARM 内核来加速数据包过滤和转发。

该解决方案将 Palo Alto Networks 的虚拟 NGFW 的入侵防御和高级安全功能提供给每台服务器,而不会牺牲网络性能或消耗业务应用程序所需的 CPU 周期。这种硬件加速、软件定义的 NGFW 是提高防火墙性能、最大化数据中心安全覆盖率和效率的里程碑。

DPU 作为智能网络过滤器来运行,以零 CPU 开销实现基于预定义策略解析和引导流量,使 NGFW 能够在典型用例中支持接近 100Gb/s 的吞吐量。与仅在 CPU 上运行 VM 系列防火墙相比,这是 5 倍的性能提升,与传统硬件相比,资本支出节省高达 150%。

智能流量卸载服务

Palo Alto Networks - NVIDIA 联合解决方案创建了智能流量卸载(ITO)服务,克服了性能、可扩展性和效率方面的挑战。VM 系列 NGFW 与 NVIDIA BlueField DPU 的集成为 NGFW 解决方案提供了强大动力,从而提升了成本经济性,同时提高了威胁检测和缓解能力。 使用 DPU 加速的下一代防火墙实现企业网络安全保护 在某些客户环境中,多达 80% 的网络流量不需要或无法通过防火墙进行检查,例如加密流量或来自视频、游戏和会议的流式流量。NVIDIA 和 Palo Alto Networks 的联合解决方案通过 ITO 服务解决了这个问题,该服务检查网络流量以确定每个会话是否会受益于深度安全检查。

ITO 通过检查所有控制数据包来优化防火墙资源,但只检查需要深入安全检测的有效负载流。假设防火墙确定会话不会从安全检测中受益。在这种情况下,防火墙检测流的初始数据包,然后 ITO 指示 DPU 将该会话中的所有后续数据包直接转发到其目的地,而无需通过防火墙发送(图 2)。 使用 DPU 加速的下一代防火墙实现企业网络安全保护 通过只检查可以从安全检测中受益的流并将其余的流卸载到 DPU ,可以减少防火墙和主机 CPU 上的总体负载,并在不牺牲安全性的情况下提高性能。

ITO 使企业能够使用 NGFW 保护最终用户,NGFW 可以在零信任环境下在每台主机上运行,帮助加快其数字化转型,同时使他们免受各种网络威胁。

首款上市的 NGFW

为了比新兴的威胁快一步,Palo Alto Networks 联合开发了第一款由 BlueField DPU 加速的虚拟 NGFW 。VM 系列防火墙通过将应用程序感知分段、防止恶意软件、检测新威胁和阻止数据泄露任务从主机处理器卸载到 BlueField DPU 以更高的速度和更少的 CPU 消耗来实现所有这些任务。

DPU 作为智能网络过滤器来运行,以零 CPU 开销解析、分类和引导流量,使 NGFW 能够在典型用例中支持每台服务器接近 100Gb/s 的吞吐量。最近发布的 DPU 赋能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任网络安全原则。

扫描下方海报二维码,即可免费注册 GTC 大会,切莫错过在 2022 年 9 月 19 日至 22 日的 GTC 大会上与 AI 开发者和创新者交流的机会。

使用 DPU 加速的下一代防火墙实现企业网络安全保护

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
3年前
CDN+MEC风口来袭,落寞的老牌厂商能否乘风而起?
编者按:CDN行业经历腥风血雨的价格战后,市场格局重新洗牌,在价格战中被大肆围剿传统CDN厂商又该何去何从?MEC会是他们在CDN赛道下半场的取胜之钥吗?随着万物互联,移动直播、短视频、AR及AI等新型互联网服务的兴起,流量迎来海量增长,对现有网络的承载能力带来了严峻的挑战,在5G和物联网时代,CDN作为“互联网网速加速器”也迎来了新的发展
Wesley13 Wesley13
3年前
DNA级别的安全:一机一密认证在百度安全OTA中的应用
随着智能硬件的加速普及,日益丰富和复杂的产品功能诉求为OTA固件升级带来前所未有的强需求,智能硬件厂商需要定期或不定期为硬件设备提供固件更新以增加新的功能、完善现有功能或是修复新出现的安全问题,这对OTA固件升级的流量通道、稳定性、安全性提出了新的要求.!1.png(https://anquan.baidu.com/upload/ue/image/2
Stella981 Stella981
3年前
Google、IBM和Lyft开源的微服务管理框架Istio安装与试用
Istio是Google、IBM和Lyft联合开源的微服务ServiceMesh框架,旨在解决大量微服务的发现、连接、管理、监控以及安全等问题。Istio的主要特性包括:HTTP、gRPC和TCP网络流量的自动负载均衡丰富的路由规则,细粒度的网络流量行为控制流量加密、服务间认证,以及强身份声明全范围(Fleet
Goooood狗帝 Goooood狗帝
11个月前
使用App盾方案加固移动应用
现今的科技不断变化的趋势使移动设备已成为我们日常生活的重要组成部分,也是推动文化组织的重要媒介。目前,先进的处理技术、互联网连接功能和移动应用程序的能力都尚在发展中,这是企业组织转型过程中需要关注和解决的模式转变问题。虽然移动应用提供了业务的灵活性,但也带来了安全方面的挑战。移动应用的安全威胁日益普遍,移动市场上越来越多受到恶意软件影响的应用,尤其是对信用信息敏感的金融领域。以下是移动应用潜在的的漏洞和保护技术。
E小媛同学 E小媛同学
11个月前
IP代理识别API:打击网络欺诈与匿名访问的新工具
随着互联网的飞速发展,网络欺诈和匿名访问行为日益猖獗。为了应对这一挑战,IP代理识别API应运而生,成为了打击网络欺诈与匿名访问的新工具。本文将探讨IP代理识别API的工作原理、应用场景以及它如何帮助企业和个人提高网络安全。
摘星星的猫 摘星星的猫
7个月前
保护关键数据:企业利用HTTP代理进行高级加密的方法
在数字化和互联网技术迅猛发展的当代,企业面对的网络安全威胁也日益严峻。本文将探讨如何通过利用HTTP代理加密技术来加强企业的网络防御,并提高其数据保护能力。一、应对内部和外部网络安全挑战虽然传统的防火墙系统为企业提供了基本的数据流监控和管理,它们依旧无法完
企业上云安全感多“亿”点!
数字时代下,上云成为企业投身产业数字化、实现转型的必然选择。但随着网络环境的复杂化,企业在享受云上便利的同时,也面临着安全挑战。层出不穷的应用程序和产品服务,引发了网络容量和复杂度的指数级倍增,云服务商需要提供更加灵活可靠的网络安全能力,来满足企业多元化的云上安全需求。信息安全保障体系的建设是一项系统工程,防火墙的部署往往是优先项。防火墙是内部网络和外部网络
Web应用防火墙--规则防护 | 京东云技术团队
Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理,将正常安全的流量回源到业务服务器,保护网站核心业务和数据安全。