据美国联邦调查局(FBI)数据显示,2020年,网络犯罪给美国公众造成的损失超过40亿美元。 面对各种新的威胁,为了提前做好防御准备,全球网络安全领导者PaloAltoNetworks开发了第一个由NVIDIABlueFieldDPU(数据处理器)加速的虚拟NGFW(Next-GenerationFirewWall))。 DPU通过将流量从主机处理器卸载到独立于服务器CPU的专用硬件来加速数据包过滤和转发。该解决方案使每台服务器都能够在不牺牲网络性能的情况下拥有PaloAltoNetworks虚拟NGFW的入侵防御和高级安全功能,智能过滤网络流量的相关部分,并将过滤其余部分的操作卸载到DPU,从而实现对网络流量的检查以前不可能或不可能的网络流量。 作为市场上第一个使用DPU加速的产品,这款硬件加速软件NGFW是PaloAltoNetworks提高软件防火墙性能和最大化数据中心安全覆盖范围和效率的里程碑。 最近发布的基于DPU的PaloAltoNetworksVM系列NGFW采用零信任网络安全原则。能够在各种典型用例中达到接近100Gb/s的吞吐量。与纯CPU运行的VM系列防火墙相比,性能提升5倍;与传统硬件方案相比,可节省高达150%的资本支出。 PaloAltoNetworks产品高级副总裁MuniderSinghSambi表示:“企业和电信公司正在构建类似云的数据中心,因此他们需要云的敏捷性和自动化,同时又不影响性能。我们与NVIDIA的合作大大提升了我们基于机器学习的VM系列虚拟NGFW的性能,对于运行在类云环境中的网络安全解决方案,行业领先的NVIDIABlueFieldDPU是您的理想选择。” 作为市场上第一个支持BlueFieldDPU的NGFW,VM系列产品可以通过将数据包过滤和转发等功能从主机处理器卸载到BlueFieldDPU进行硬件加速,从而帮助实现应用感知分段。),防止恶意软件,检测新型威胁,防止数据泄露等流媒体流量),或无法检查(如客户无法在防火墙上指定相应解密策略的加密流量等)。在这种情况下,智能流量卸载技术只能实现那些可以受益于持续安全检查的网络流量。确保防火墙资源的最佳利用。 多达80%的网络流量,包括数据中心的多媒体和加密数据,不需要或不能被防火墙检查。如何区分这些流量,NVIDIA和PaloAltoNetworks的联合解决方案解决方案包括ITO(IntelligentTrafficOffloading)服务,可以检测网络流量,区分每个会话(Session)是否受益于安全检测。 ITO(IntelligentTrafficOffloading)TrafficOffloading)服务检查每个会话(Session)以确定会话是否可以从安全检查中获益。如果防火墙确定会话无法从安全检查中受益,ITO将指示BlueField-2DPU将会话中的所有后续数据包直接转发到目的地,而不是发送到防火墙(见下表)。 只检查可以受益于安全检查的网络流量,将其余的安全操作卸载到DPU,这不仅减少了防火墙和主机CPU的总负载,而且提高了性能和安全性。 ITO(IntelligentTrafficOffload)使企业、电信和云运营商能够通过在零信任环境中在每台主机上运行NGFW来保护最终用户并加速其数字化转型,同时免受各种网络威胁。PaloAltoNetworks的ITO服务通过NVIDIABlueFieldDPU智能卸载不需要进一步安全检查的流量。 扩展了NVIDIADOCASDK开发者生态 PaloAltoNetworks的NGFWonBlueFieldDPU框架的早期开发使用了gRPC(CloudNativeComputingFoundation的一个项目)中的开源远程程序调用框架和NVIDIA的ASAP2(一个开源硬件加速框架)。 现在BlueField和ASAP2的gRPC接口已经集成到NVIDIADOCASDK中,这个芯片架构上的数据中心基础设施开发平台为开发者提供了一个开源平台,使开发者能够在BlueFieldDPU上构建软件定义和硬件-加速网络、存储、安全和管理应用程序。 NVIDIA致力于建立一个大型开发者社区,该社区将彻底改变基于NVIDIAGPU和BlueFieldDPU的数据中心基础设施应用程序和服务,而DOCA是其中的一部分。 了解有关DOCA生态系统的更多信息并加入我们的开发者社区。
