NVIDIA và Palo Alto Networks đẩy mạnh an ninh mạng với sức mạnh từ DPU

Theo FBI, tội phạm mạng khiến công chúng Mỹ thiệt hại hơn 4 tỷ USD trong suốt năm 2020.

Để đón đầu các mối đe dọa mới, Palo Alto Networks, công ty hàng đầu về an ninh mạng toàn cầu, đã phát triển hệ thống tường lửa ảo thế hệ kế tiếp (NGFW) đầu tiên được thiết kế để tăng tốc bởi đơn vị xử lý dữ liệu BlueField của NVIDIA (DPU).

Các DPU tăng tốc lọc gói và chuyển tiếp bằng cách giảm tải traffic từ bộ vi xử lý host đến phần cứng chuyên dụng, tức là thành phần tách biệt với CPU máy chủ. Giải pháp cung cấp khả năng ngăn chặn xâm nhập và bảo mật nâng cao NGFW ảo của Palo Alto Networks cho mọi máy chủ mà không làm giảm hiệu suất mạng. Nó cũng cho phép các luồng mạng mà trước đây không thể hoặc không thực tế được kiểm tra bằng cách sàng lọc một cách thông minh các phần liên quan của luồng traffic và chuyển phần còn lại cho DPU.

Giải pháp hạ tầng Deep Learning, Trí tuệ Nhân tạo - AI

Phần mềm tăng tốc phần cứng NGFW này là một cột mốc quan trọng trong việc thúc đẩy hiệu suất cho tường lửa của phần mềm và tối đa hóa phạm vi bảo mật, cũng như hiệu quả của trung tâm dữ liệu bằng cách đưa ra thị trường đầu tiên giải pháp tăng tốc bởi một DPU.

Máy chủ Palo Alto Networks VM-Series NGFW hỗ trợ DPU được công bố gần đây sử dụng các nguyên tắc bảo mật mạng “zero trust”. DPU hoạt động như một bộ lọc mạng thông minh để phân tích, phân loại và điều khiển các luồng lưu lượng với mức ReCPU overhead bằng không, cho phép NGFW hỗ trợ thông lượng gần 100Gb/s cho các ứng dụng thông thường. Đây là mức hiệu suất tăng gấp 5 lần so với việc chạy tường lửa VM-Series chỉ trên một CPU – và tiết kiệm tới 150% CAPEX so với phần cứng cũ.

“Khi các doanh nghiệp và công ty viễn thông xây dựng các trung tâm dữ liệu tương tự như đám mây, họ cần sự linh hoạt và tự động hóa của đám mây mà không ảnh hưởng đến hiệu suất. Cùng với NVIDIA, chúng tôi đang tăng cường các NGFW chạy bằng ML ảo VM-Series của mình”, Muninder Singh Sambi, Phó chủ tịch cấp cao về Sản phẩm tại Palo Alto Networks cho biết. “Giải pháp NVIDIA BlueField DPU lý tưởng cho các giải pháp an ninh mạng hoạt động trong môi trường có dạng thức như đám mây.”

Là nền tảng NGFW hỗ trợ BlueField DPU đầu tiên được đưa ra thị trường, VM-Series cho phép phân đoạn ứng dụng nhận biết, ngăn chặn phần mềm độc hại, phát hiện các mối đe dọa mới và ngăn chặn sự xâm nhập dữ liệu với BlueField DPU giảm tải bộ vi xử lý host để tăng tốc chức năng lọc và chuyển tiếp gói.

Intelligent Traffic Offload – Dịch vụ giảm tải lưu lượng thông minh

Trong một số môi trường khách hàng nhất định, phần lớn lưu lượng truy cập hoặc không cần kiểm tra (ví dụ: lưu lượng truyền trực tuyến như video, trò chơi và hội nghị truyền hình) hoặc không thể được kiểm tra, chẳng hạn như traffic đã được mã hóa mà khách hàng không thể chỉ định decryption policy tương ứng trên tường lửa. Trong những môi trường như vậy, Intelligent Traffic Offload sẽ đảm bảo rằng tài nguyên tường lửa được sử dụng tối ưu để chỉ kiểm tra những luồng có lợi từ việc kiểm tra bảo mật liên tục.

Có đến 80% lưu lượng mạng, bao gồm media và dữ liệu được mã hóa trong trung tâm dữ liệu, không cần – hoặc không thể – kiểm tra bằng tường lửa. Để giải quyết vấn đề này, giải pháp chung của NVIDIA và Palo Alto Networks là đưa ra dịch vụ giảm tải lưu lượng thông minh (ITO), kiểm tra lưu lượng mạng để xác định xem mỗi phiên có được hưởng lợi từ việc kiểm tra bảo mật hay không.

Dịch vụ ITO kiểm tra mọi phiên của lưu lượng truy cập để xác định xem phiên đó có được hưởng lợi từ việc kiểm tra bảo mật hay không. Nếu tường lửa xác định rằng phiên sẽ không được hưởng lợi từ việc kiểm tra bảo mật, ITO sẽ hướng dẫn BlueField-2 DPU chuyển tiếp tất cả các gói tiếp theo trong phiên đó trực tiếp đến đích của chúng mà không cần gửi chúng đến tường lửa. (Xem biểu đồ bên dưới).

Bằng cách chỉ kiểm tra các luồng có thể được hưởng lợi từ việc kiểm tra bảo mật và giảm tải phần còn lại xuống DPU, tải tổng thể trên tường lửa và CPU chủ sẽ giảm xuống và hiệu suất tăng lên mà không ảnh hưởng đến bảo mật.

Các ITO truyền sức mạnh cho doanh nghiệp, công ty viễn thông và nhà khai thác dịc vụ điện toán đám mây để bảo vệ người dùng cuối với một NGFW có thể chạy trên tất cả các máy chủ trong một môi trường “zero trust”, giúp đẩy nhanh quá trình chuyển đổi số của họ, trong khi vẫn giữ an toàn từ vô số các cuộc tấn công mạng.

Tích hợp của Palo Alto Networks với NVIDIA BlueFIeld DPU cho phép dịch vụ ITO giảm tải một cách thông minh các lưu lượng truy cập mà không được hưởng lợi từ việc kiểm tra bảo mật sâu hơn.

Mở rộng hệ sinh thái dành cho nhà phát triển xung quanh NVIDIA DOCA SDK

Palo Alto Networks đã bắt đầu phát triển NGFW trên BlueField DPU bằng cách sử dụng gRPC – remote procedure call framework (một dự án của Cloud Native Computing Foundation ) và NVIDIA ASAP2, một framework tăng tốc phần cứng điều khiển mã nguồn mở.

Giao diện gRPC với BlueField và ASAP2 hiện được hợp nhất thành NVIDIA DOCA SDK, kiến ​​trúc cơ sở hạ tầng trung tâm dữ liệu trên chip cung cấp cho các nhà phát triển một nền tảng mở để xây dựng các ứng dụng mạng, lưu trữ, bảo mật và quản lý được xác định bằng phần mềm và tăng tốc phần cứng chạy trên các DPU BlueField.

DOCA là một phần trong cam kết của NVIDIA trong việc xây dựng một cộng đồng nhà phát triển rộng lớn nhằm cách mạng hóa các ứng dụng và dịch vụ hạ tầng trung tâm dữ liệu được cung cấp bởi GPU NVIDIA và BlueField DPU.

Tìm hiểu thêm về hệ sinh thái DOCA và tham gia cộng đồng nhà phát triển của NVIDIA.

Nguồn NVIDIA

____
Bài viết liên quan

Góp ý / Liên hệ tác giả