網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜，并提出了一個(gè)日益嚴(yán)峻的挑戰(zhàn)。遠(yuǎn)程勞動(dòng)力連接的增加推動(dòng)了邊緣和核心安全隧道流量的增長(zhǎng)，聯(lián)邦政府和醫(yī)療保健網(wǎng)絡(luò)流量加密任務(wù)的擴(kuò)展，以及視頻流量的增加，加劇了這一挑戰(zhàn)。

此外， 5G 速度的引入和數(shù)十億連接設(shè)備的增加正在增加移動(dòng)和物聯(lián)網(wǎng)流量。

這些趨勢(shì)正在創(chuàng)造新的安全挑戰(zhàn)，需要網(wǎng)絡(luò)安全的新方向來(lái)維持充分的保護(hù)。 IT 部門和防火墻必須檢查成倍增加的數(shù)據(jù)，并深入查看流量，以應(yīng)對(duì)新的威脅。他們必須能夠檢查在同一主機(jī)上運(yùn)行的虛擬機(jī)和容器之間的流量，這些流量是傳統(tǒng)防火墻設(shè)備無(wú)法看到的。

運(yùn)營(yíng)商必須部署足夠的防火墻，能夠處理總流量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因?yàn)橥ㄓ?a target="_blank">處理器（服務(wù)器 CPU ）未針對(duì)數(shù)據(jù)包檢查進(jìn)行優(yōu)化，無(wú)法處理更高的網(wǎng)絡(luò)速度。這導(dǎo)致性能欠佳、可擴(kuò)展性差，并增加了昂貴的 CPU 內(nèi)核的消耗。

下一代防火墻（ NGFW ）等安全應(yīng)用程序正努力跟上更高的流量負(fù)載。雖然軟件定義的 NGFW 提供了在現(xiàn)代數(shù)據(jù)中心的任何位置放置防火墻的靈活性和敏捷性，但在性能、效率和經(jīng)濟(jì)性方面對(duì)其進(jìn)行擴(kuò)展對(duì)當(dāng)今的企業(yè)來(lái)說(shuō)是一個(gè)挑戰(zhàn)。

下一代防火墻

為了應(yīng)對(duì)這些挑戰(zhàn)， NVIDIA 與 Palo Alto Networks 合作，加快其 VM 系列下一代防火墻 通過(guò) NVIDIA BlueField 數(shù)據(jù)處理器 （ DPU ）。這個(gè) DPU 通過(guò)將流量從主機(jī)處理器卸載到 BlueField DPU 上的專用加速器和 ARM 核，加速數(shù)據(jù)包過(guò)濾和轉(zhuǎn)發(fā)。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵預(yù)防和高級(jí)安全功能提供給每臺(tái)服務(wù)器，而不會(huì)犧牲網(wǎng)絡(luò)性能或消耗業(yè)務(wù)應(yīng)用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大限度地提高數(shù)據(jù)中心安全覆蓋率和效率的里程碑。

DPU 作為智能網(wǎng)絡(luò)過(guò)濾器，以零 CPU 開(kāi)銷基于預(yù)定義策略解析和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持接近 100Gb / s 的吞吐量。與僅在 CPU 上運(yùn)行 VM 系列防火墻相比，這是性能提升的 5 倍，與傳統(tǒng)硬件相比，資本支出節(jié)省高達(dá) 150% 。

智能交通卸載服務(wù)

Palo Alto Networks- NVIDIA 聯(lián)合解決方案創(chuàng)建了智能流量卸載（ ITO ）服務(wù)，克服了性能、可擴(kuò)展性和效率方面的挑戰(zhàn)。 VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成增強(qiáng)了 NGFW 解決方案的成本經(jīng)濟(jì)性，同時(shí)提高了威脅檢測(cè)和緩解能力。

在某些客戶環(huán)境中，多達(dá) 80% 的網(wǎng)絡(luò)流量不需要或無(wú)法通過(guò)防火墻進(jìn)行檢查，例如來(lái)自視頻、游戲和會(huì)議的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的聯(lián)合解決方案通過(guò) ITO 服務(wù)解決了這個(gè)問(wèn)題，該服務(wù)檢查網(wǎng)絡(luò)流量以確定每個(gè)會(huì)話是否會(huì)受益于深度安全檢查。

ITO 通過(guò)檢查所有控制數(shù)據(jù)包來(lái)優(yōu)化防火墻資源，但只檢查需要深入安全檢查的有效負(fù)載流。假設(shè)防火墻確定會(huì)話不會(huì)從安全檢查中受益。在這種情況下，防火墻檢查流的初始數(shù)據(jù)包，然后 ITO 指示 DPU 將該會(huì)話中的所有后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)到其目的地，而無(wú)需通過(guò)防火墻發(fā)送。

通過(guò)只檢查可以從安全檢查中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機(jī) CPU 上的總體負(fù)載，并在不犧牲安全性的情況下提高性能。

ITO 使企業(yè)能夠使用 NGFW 保護(hù)最終用戶， NGFW 可以在零信任環(huán)境下在每臺(tái)主機(jī)上運(yùn)行，幫助加快其數(shù)字轉(zhuǎn)型，同時(shí)使他們免受各種網(wǎng)絡(luò)威脅的威脅。

首次上市的 NGFW

為了領(lǐng)先于新出現(xiàn)的威脅， Palo Alto Networks 聯(lián)合開(kāi)發(fā)了第一個(gè)虛擬 NGFW ，由 BlueField DPU 加速。 VM 系列防火墻通過(guò)將這些任務(wù)從主機(jī)處理器卸載到服務(wù)器，以更高的速度和更少的 CPU 消耗，實(shí)現(xiàn)了應(yīng)用程序感知的分段、防止惡意軟件、檢測(cè)新威脅和停止數(shù)據(jù)外泄 BlueField DPU 。

DPU 作為智能網(wǎng)絡(luò)過(guò)濾器，以零 CPU 開(kāi)銷解析、分類和引導(dǎo)流量，使 NGFW 能夠在典型用例中支持每臺(tái)服務(wù)器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任網(wǎng)絡(luò)安全原則。

審核編輯：郭婷