網(wǎng)絡(luò)攻擊正變得越來越復(fù)雜，并帶來了日益嚴(yán)峻的挑戰(zhàn)。遠(yuǎn)程員工連接的增加推動(dòng)了邊緣和核心安全隧道流量的增長(zhǎng)，政府機(jī)構(gòu)和醫(yī)療保健網(wǎng)絡(luò)流量加密要求的擴(kuò)大，以及視頻流量的增加，加劇了這一挑戰(zhàn)。

此外，由于 5G 速度的引入和數(shù)十億連接設(shè)備的增加，移動(dòng)和物聯(lián)網(wǎng)流量正在增加。

這些趨勢(shì)正在創(chuàng)造新的安全挑戰(zhàn)，需要網(wǎng)絡(luò)安全的新方向來維持足夠的保護(hù)。IT 部門和防火墻必須檢查成倍增加的數(shù)據(jù)，并深入查看流量?jī)?nèi)部，以應(yīng)對(duì)新的威脅。他們必須能夠檢查在同一主機(jī)上運(yùn)行的虛擬機(jī)和容器之間的流量，這些流量是傳統(tǒng)防火墻設(shè)備無法看到的。

運(yùn)營(yíng)商必須部署足夠多的防火墻來處理總流量吞吐量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因?yàn)橥ㄓ?a target="_blank">處理器（服務(wù)器 CPU）未針對(duì)數(shù)據(jù)包檢查進(jìn)行優(yōu)化，無法處理更高的網(wǎng)絡(luò)速度。這會(huì)導(dǎo)致性能欠佳、可擴(kuò)展性差，并增加了昂貴的 CPU 內(nèi)核的消耗。

下一代防火墻（NGFW）等安全應(yīng)用程序正努力跟上更高的流量負(fù)載。雖然軟件定義的 NGFW 提供了在現(xiàn)代數(shù)據(jù)中心的任何位置部署防火墻的靈活性和敏捷性，但在性能、效率和經(jīng)濟(jì)性方面對(duì)其進(jìn)行擴(kuò)展對(duì)當(dāng)今的企業(yè)來說是一個(gè)挑戰(zhàn)。

下一代防火墻

為了應(yīng)對(duì)這些挑戰(zhàn)，NVIDIA 與 Palo Alto Networks 合作，通過 NVIDIA BlueField DPU（數(shù)據(jù)處理器）加快其 VM 系列下一代防火墻。DPU 通過將流量從主機(jī)處理器卸載到 BlueField DPU 上的專用加速器和 ARM 內(nèi)核來加速數(shù)據(jù)包過濾和轉(zhuǎn)發(fā)。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵防御和高級(jí)安全功能提供給每臺(tái)服務(wù)器，而不會(huì)犧牲網(wǎng)絡(luò)性能或消耗業(yè)務(wù)應(yīng)用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大化數(shù)據(jù)中心安全覆蓋率和效率的里程碑。

DPU 作為智能網(wǎng)絡(luò)過濾器來運(yùn)行，以零 CPU 開銷實(shí)現(xiàn)基于預(yù)定義策略解析和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持接近 100Gb/s 的吞吐量。與僅在 CPU 上運(yùn)行 VM 系列防火墻相比，這是 5 倍的性能提升，與傳統(tǒng)硬件相比，資本支出節(jié)省高達(dá) 150%。

智能流量卸載服務(wù)

Palo Alto Networks - NVIDIA 聯(lián)合解決方案創(chuàng)建了智能流量卸載（ITO）服務(wù)，克服了性能、可擴(kuò)展性和效率方面的挑戰(zhàn)。VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成為 NGFW 解決方案提供了強(qiáng)大動(dòng)力，從而提升了成本經(jīng)濟(jì)性，同時(shí)提高了威脅檢測(cè)和緩解能力。

在某些客戶環(huán)境中，多達(dá) 80% 的網(wǎng)絡(luò)流量不需要或無法通過防火墻進(jìn)行檢查，例如加密流量或來自視頻、游戲和會(huì)議的流式流量。NVIDIA 和 Palo Alto Networks 的聯(lián)合解決方案通過 ITO 服務(wù)解決了這個(gè)問題，該服務(wù)檢查網(wǎng)絡(luò)流量以確定每個(gè)會(huì)話是否會(huì)受益于深度安全檢查。

ITO 通過檢查所有控制數(shù)據(jù)包來優(yōu)化防火墻資源，但只檢查需要深入安全檢測(cè)的有效負(fù)載流。假設(shè)防火墻確定會(huì)話不會(huì)從安全檢測(cè)中受益。在這種情況下，防火墻檢測(cè)流的初始數(shù)據(jù)包，然后 ITO 指示 DPU 將該會(huì)話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到其目的地，而無需通過防火墻發(fā)送（圖 2）。

通過只檢查可以從安全檢測(cè)中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機(jī) CPU 上的總體負(fù)載，并在不犧牲安全性的情況下提高性能。

ITO 使企業(yè)能夠使用 NGFW 保護(hù)最終用戶，NGFW 可以在零信任環(huán)境下在每臺(tái)主機(jī)上運(yùn)行，幫助加快其數(shù)字化轉(zhuǎn)型，同時(shí)使他們免受各種網(wǎng)絡(luò)威脅。

首款上市的 NGFW

為了比新興的威脅快一步，Palo Alto Networks 聯(lián)合開發(fā)了第一款由 BlueField DPU 加速的虛擬 NGFW 。VM 系列防火墻通過將應(yīng)用程序感知分段、防止惡意軟件、檢測(cè)新威脅和阻止數(shù)據(jù)泄露任務(wù)從主機(jī)處理器卸載到 BlueField DPU 以更高的速度和更少的 CPU 消耗來實(shí)現(xiàn)所有這些任務(wù)。

DPU 作為智能網(wǎng)絡(luò)過濾器來運(yùn)行，以零 CPU 開銷解析、分類和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持每臺(tái)服務(wù)器接近 100Gb/s 的吞吐量。最近發(fā)布的 DPU 賦能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任網(wǎng)絡(luò)安全原則。

審核編輯：湯梓紅