La ciberdelincuencia costó al público estadounidense más de 4 mil millones de dólares en pérdidas reportadas a lo largo de 2020, según el FBI. Para adelantarse a las amenazas emergentes, Palo Alto Networks, proveedor global de ciberseguridad, ha desarrollado el primer firewall virtual de nueva generación (NGFW) diseñado para ser acelerado por la unidad de procesamiento de datos (DPU) BlueField de NVIDIA.
La DPU acelera el filtrado y reenvío de paquetes descargando el tráfico del procesador del host a un hardware dedicado e independiente de la CPU del servidor. La solución ofrece las capacidades de prevención de intrusiones y seguridad avanzada de los NGFW virtuales de Palo Alto Networks a cada servidor sin sacrificar el rendimiento de la red. También permite inspeccionar movimientos de red que antes eran imposibles o poco prácticos, ya que filtra de forma inteligente las partes relevantes del tráfico y transfiere el resto a la DPU.
Este NGFW de software acelerado por hardware es un hito en el impulso del rendimiento de los cortafuegos de software y en la maximización de la cobertura y la eficiencia de la seguridad de los centros de datos al ser el primero del mercado en ser acelerado por una DPU.
El recientemente anunciado NGFW de la serie VM de Palo Alto Networks con DPU utiliza los principios de seguridad de red de confianza cero. La DPU funciona como un filtro de red inteligente para analizar, clasificar y dirigir los flujos de tráfico sin sobrecarga de la ReCPU, lo que permite al NGFW soportar un rendimiento cercano a los 100 Gb/s para casos de uso típicos. Esto supone un aumento del rendimiento de 5 veces en comparación con la ejecución del cortafuegos de la serie VM sólo en una CPU, y un ahorro de capex de hasta el 150% en comparación con el hardware heredado.
“A medida que las empresas y las empresas de telecomunicaciones construyen centros de datos similares a la nube, necesitan la agilidad y la automatización de la nube sin comprometer el rendimiento. Junto con NVIDIA, estamos impulsando nuestros NGFWs de la serie VM con tecnología ML virtual”, dijo Muninder Singh Sambi, vicepresidente senior de Productos en Palo Alto Networks. “La DPU NVIDIA BlueField, líder del sector, es ideal para las soluciones de ciberseguridad que operan en entornos similares a la nube”.
La serie VM, el primer NGFW con BlueField del mercado, permite la segmentación con conocimiento de las aplicaciones, previene el malware, detecta nuevas amenazas y detiene la exfiltración de datos con la DPU BlueField que descarga el procesador del host para acelerar la funcionalidad de filtrado y reenvío de paquetes.
Servicio de descarga de tráfico inteligente
En determinados entornos de clientes, la mayor parte del tráfico no necesita ser inspeccionado (por ejemplo, el tráfico de streaming como el vídeo, los juegos y las videoconferencias) o no puede ser inspeccionado, como el tráfico cifrado para el que el cliente no puede asignar la correspondiente política de descifrado en el cortafuegos. En estos entornos, Intelligent Traffic Offload garantizará que los recursos del cortafuegos se utilicen de forma óptima para inspeccionar sólo aquellos flujos que se benefician de la inspección de seguridad continua.
Hasta el 80 por ciento del tráfico de red, incluidos los medios y los datos cifrados en un centro de datos, no necesita -o no puede- ser inspeccionado por un cortafuegos. Para resolver esto, la solución conjunta de NVIDIA y Palo Alto Networks incluye el servicio Intelligent Traffic Offload (ITO), que examina el tráfico de red para determinar si cada sesión se beneficiará o no de la inspección de seguridad.
El servicio ITO examina cada sesión del tráfico para determinar si esa sesión se beneficiará o no de la inspección de seguridad. Si el cortafuegos determina que la sesión no se beneficiará de la inspección de seguridad, ITO indica a la DPU de BlueField-2 que reenvíe todos los paquetes posteriores de esa sesión directamente a su destino sin enviarlos al cortafuegos. (Véase el gráfico siguiente).
Al examinar sólo los flujos que pueden beneficiarse de la inspección de seguridad y transferir el resto a la DPU, se reduce la carga global del cortafuegos y de la CPU del host y aumenta el rendimiento sin sacrificar la seguridad.
El ITO permite a las empresas, las telco y los operadores de la nube proteger a los usuarios finales con un NGFW que puede ejecutarse en cada host en un entorno de confianza cero, lo que ayuda a acelerar su transformación digital al tiempo que los mantiene a salvo de una miríada de ciberamenazas.
La integración de Palo Alto Networks con la DPU de NVIDIA BlueFIeld permite que el servicio ITO descargue de forma inteligente el tráfico que no se beneficia de una mayor inspección de seguridad.
Ampliación del ecosistema de desarrolladores en torno al SDK de NVIDIA DOCA
Palo Alto Networks comenzó a desarrollar el NGFW en la DPU BlueField utilizando el marco de llamadas a procedimientos remotos de código abierto gRPC (un proyecto de la Cloud Native Computing Foundation) y NVIDIA ASAP2, un marco de aceleración de hardware de código abierto.
La interfaz gRPC para BlueField y ASAP2 se han integrado en el SDK de NVIDIA DOCA, la arquitectura de infraestructura en chip para centros de datos que ofrece a los desarrolladores una plataforma abierta para crear aplicaciones de red, almacenamiento, seguridad y gestión definidas por software y aceleradas por hardware que se ejecutan en las DPU BlueField.
DOCA forma parte del compromiso de NVIDIA de crear una amplia comunidad de desarrolladores que revolucione las aplicaciones y servicios de infraestructura de los centros de datos basados en las GPU NVIDIA y las DPU BlueField.
Obtenga más información sobre el ecosistema DOCA y únase a la comunidad de desarrolladores de NVIDIA.
Ilustración: Canva
