El delito cibernético le costó al público estadounidense más de 4,000 millones de dólares en pérdidas denunciadas a lo largo del 2020, según el FBI.
Para mantenerse a la vanguardia de las amenazas emergentes, Palo Alto Networks, líder mundial en ciberseguridad, ha desarrollado el primer firewall virtual de próxima generación (NGFW) diseñado para ser acelerado por la unidad de procesamiento de datos (DPU) BlueField de NVIDIA.
La DPU acelera el filtrado y reenvío de paquetes al descargar el tráfico del procesador host al hardware dedicado que es independiente de la CPU del servidor. La solución ofrece la prevención de intrusiones y las capacidades de seguridad avanzadas de los NGFW virtuales de Palo Alto Networks a cada servidor sin sacrificar el rendimiento de la red. También permite que los flujos de red que antes eran imposibles o poco prácticos de inspeccionar mediante la detección inteligente de las partes relevantes del flujo y la descarga del resto a la DPU.
Este software de NGFW acelerado por hardware es un hito en el aumento del rendimiento del firewall de software y la maximización de la cobertura y la eficiencia de la seguridad del centro de datos al ser el primero en el mercado para ser acelerado por una DPU.
La recientemente anunciada serie VM NGFQ de Palo Alto Networks habilitada para DPU utiliza principios de seguridad de red de confianza cero. La DPU funciona como un filtro de red inteligente para analizar, clasificar y dirigir los flujos de tráfico con cero sobrecarga de ReCPU, lo que permite que el NGFW logre un rendimiento cercano a 100 Gb/s para casos de uso típicos. Esto permite un aumento del rendimiento de 5 veces en comparación con la ejecución del firewall de la serie VM solo en una CPU, y un ahorro de capital de hasta el 150 por ciento en comparación con el hardware heredado.
“A medida que las empresas y las empresas de telecomunicaciones crean centros de datos similares al cloud, necesitan la agilidad y la automatización del cloud sin comprometer el rendimiento. Junto con NVIDIA, estamos potenciando nuestros NGFW virtuales con la tecnología de ML de la serie VM», dijo Muninder Singh Sambi, vicepresidente sénior de productos de Palo Alto Networks. “La DPU NVIDIA BlueField líder en la industria es ideal para las soluciones de ciberseguridad que operan en entornos similares al cloud».
La serie VM es el primer NGFW habilitado para BlueField del mercado. Permite la segmentación consciente de las aplicaciones, previene el malware, detecta nuevas amenazas y detiene la exfiltración de datos con la DPU BlueField, ya que descarga el procesador host para acelerar el filtrado de paquetes y la funcionalidad de reenvío.
Servicio Inteligente de Descarga de Tráficos
En ciertos entornos de clientes, la mayoría del tráfico no necesita inspección (por ejemplo, tráfico de streaming como videos, juegos y videoconferencias) o no se puede inspeccionar, como el tráfico cifrado para el que el cliente no puede asignar la directiva de descifrado correspondiente en el firewall. En estos entornos, la descarga inteligente de tráfico garantizará que los recursos del firewall se utilicen de manera óptima para inspeccionar solo los flujos que se benefician de la inspección de seguridad continua.
Hasta el 80 por ciento del tráfico de red, incluidos los medios y los datos cifrados en un data center, no necesita ser inspeccionado o no puede ser inspeccionado por un firewall. Para abordar esto, la solución conjunta de NVIDIA y Palo Alto Networks incluye el servicio de descarga inteligente de tráfico (ITO), que examina el tráfico de red para determinar si cada sesión se beneficiará o no de la inspección de seguridad.
El servicio ITO examina cada sesión del tráfico para determinar si esa sesión se beneficiará o no de la inspección de seguridad. Si el firewall determina que la sesión no se beneficiará de la inspección de seguridad, ITO indica a la DPU BlueField-2 que reenvíe todos los paquetes subsiguientes en esa sesión directamente a su destino sin enviarlos al firewall. (Consulta la siguiente tabla de rendimiento).
Al examinar solo los flujos que pueden beneficiarse de la inspección de seguridad y descargar el resto a la DPU, la carga general en el firewall y la CPU del host se reduce y el rendimiento aumenta sin sacrificar la seguridad.
La ITO permite a las empresas, las compañías de telecomunicaciones y los operadores de cloud proteger a los usuarios finales con un NGFW que puede ejecutarse en cada host en un entorno de confianza cero, lo que ayuda a acelerar su transformación digital al tiempo que los mantiene a salvo de diversas ciberamenazas.
Expansión del Ecosistema de Desarrolladores en torno al SDK de NVIDIA DOCA
Palo Alto Networks comenzó el desarrollo del NGFW en la DPU BlueField utilizando el framework de llamada a procedimiento remoto de código abierto gRPC (un proyecto de Cloud Native Computing Foundation) y NVIDIA ASAP2, un framework de aceleración de hardware impulsado por código abierto.
La interfaz gRPC para BlueField y ASAP2 ahora se fusiona con el SDK de NVIDIA DOCA, la arquitectura de infraestructura de data centers en un chip que ofrece a los desarrolladores una plataforma abierta para crear aplicaciones de redes, almacenamiento, seguridad y administración definidas por software y aceleradas por hardware que se ejecutan en las DPU Bluefield.
DOCA es parte del compromiso de NVIDIA de construir una amplia comunidad de desarrolladores que revolucione las aplicaciones y servicios de infraestructura de centros de datos impulsados por las GPU de NVIDIA y las DPU BlueField.
Obtén más información sobre el ecosistema DOCA y únete a nuestra comunidad de desarrolladores.