De acordo com o FBI, em 2020, os crimes cibernéticos custaram ao povo americano mais de US$4 bilhões em sinistros avisados.
Para evitar as ameaças emergentes, a Palo Alto Networks, líder mundial em segurança cibernética, desenvolveu o primeiro firewall virtual de última geração (NGFW – Next-Generation Firewall) projetado para ser acelerado pela unidade de processamento de dados (DPU – Data Processing Unit) BlueField da NVIDIA.
A DPU transfere o tráfego do processador do host para o hardware dedicado separado da CPU do servidor, acelerando a filtragem e o encaminhamento de pacotes. A solução oferece a prevenção de invasões e os recursos avançados de segurança dos NGFWs virtuais da Palo Alto Networks para todos os servidores sem prejudicar o desempenho da rede. Ela também permite que alguns fluxos de rede, antes impossíveis ou impraticáveis, façam o rastreamento inteligente das partes relevantes do fluxo e transfiram o resto para a DPU.
Esse NGFW de software acelerado por hardware é um marco na melhoria do desempenho do firewall de software e na maximização da cobertura e da eficiência da segurança do data center por ser o primeiro firewall acelerado por uma DPU.
Anunciado recentemente, o NGFW Série VM da Palo Alto Networks, acelerado por DPU, usa princípios de segurança da rede de confiança zero. A DPU funciona como um filtro inteligente da rede que analisa, classifica e direciona os fluxos de tráfego com sobrecarga zero de ReCPU, o que permite que o NGFW ofereça uma taxa de transferência de cerca de 100Gb/s para os casos de uso típicos. Em comparação com a execução do firewall da Série VM somente em uma CPU, o desempenho com a DPU é 5 vezes melhor e, em comparação com o hardware legado, há uma redução de até 150% nos custos de capital.
“Para construir data centers semelhantes ao cloud, as organizações e empresas de telecomunicações precisam ter a agilidade e a automação do cloud, mas sem prejudicar o desempenho. Em parceria com a NVIDIA, aprimoramos nossos NGFWs virtuais com a tecnologia de ML da Série VM. A DPU NVIDIA BlueField líder do setor é ideal para soluções de segurança cibernética que funcionam em ambientes semelhantes ao cloud”, disse Muninder Singh Sambi, Vice-Presidente Sênior de Produtos, Palo Alto Networks.
A Série VM é a primeira NGFW habilitada para a BlueField do mercado e permite a segmentação com o reconhecimento de aplicações, evita malwares, detecta novas ameaças e impede a exfiltração de dados com a DPU BlueField, que transfere o tráfego do processador do host para acelerar a funcionalidade de filtragem e encaminhamento de pacotes.
Serviço Intelligent Traffic Offload
Em alguns ambientes dos clientes, a maior parte do tráfego ou não precisa de inspeção (por exemplo, tráfego de streaming, como vídeos, games e videochamadas), ou não pode ser inspecionada, como o tráfego criptografado ao qual o cliente não consegue atribuir uma política de descriptografia correspondente no firewall. Nesses ambientes, o Intelligent Traffic Offload garante que os recursos do firewall sejam usados da melhor forma a fim de inspecionar somente os fluxos para os quais a inspeção contínua de segurança é útil.
Até 80% do tráfego da rede, inclusive mídia e dados criptografados em um data center, não precisa ou não pode ser inspecionado por um firewall. Para lidar com esse problema, a solução conjunta da NVIDIA e da Palo Alto Networks oferece o serviço Intelligent Traffic Offload (ITO).
Esse serviço analisa as sessões do tráfego para saber se a inspeção de segurança é útil para elas. Se o firewall verificar que esse não é o caso, o ITO informa à DPU BlueField-2 que ela deve encaminhar todos os pacotes seguintes da sessão diretamente para o destino sem enviá-los para o firewall. (Veja a imagem abaixo.)
Com a inspeção apenas dos fluxos para os quais a inspeção de segurança pode ser útil e a transferência do restante para a DPU, a carga geral no firewall e na CPU do host é reduzida e o desempenho aumenta sem afetar a segurança.
O ITO permite que os operadores de empresas, empresas de telecomunicações e cloud protejam os usuários finais com um NGFW que pode ser executado em todos os hosts de um ambiente de confiança zero, o que ajuda a acelerar a transformação digital e evita diversas ameaças cibernéticas.
Ampliando o Ecossistema de Desenvolvedores que Usam o SDK NVIDIA DOCA
A Palo Alto Networks começou a desenvolver o NGFW na DPU BlueField usando o framework de código aberto para chamada de procedimento remoto gRPC, um projeto da Cloud Native Computing Foundation, e a NVIDIA ASAP2, um framework de código aberto para aceleração por hardware.
Agora, a integração do gRPC à BlueField e à ASAP2 está incorporada no SDK NVIDIA DOCA, a arquitetura de infraestrutura de data center em chip que oferece aos desenvolvedores uma plataforma aberta para criar aplicações de rede, armazenamento, segurança e gerenciamento definidas por software e aceleradas por hardware em execução nas DPUs BlueField.
O DOCA faz parte do compromisso da NVIDIA em criar uma ampla comunidade de desenvolvedores que revoluciona aplicações e serviços de infraestrutura de data center com a tecnologia das GPUs NVIDIA e das DPUs BlueField.
Saiba mais sobre o ecossistema do DOCA e participe da nossa comunidade de desenvolvedores.