NVIDIA y Palo Alto Networks potencian las ciberdefensas con la aceleraci贸n de la DPU

La DPU acelera el filtrado y reenv铆o de paquetes descargando el tr谩fico del procesador del host a un hardware dedicado e independiente de la CPU del servidor.

La ciberdelincuencia cost贸 al p煤blico estadounidense m谩s de 4 mil millones de d贸lares en p茅rdidas reportadas a lo largo de 2020, seg煤n el FBI. Para adelantarse a las amenazas emergentes, Palo Alto Networks, proveedor global de ciberseguridad, ha desarrollado el primer firewall virtual de nueva generaci贸n (NGFW) dise帽ado para ser acelerado por la unidad de procesamiento de datos (DPU) BlueField de NVIDIA.

La DPU acelera el filtrado y reenv铆o de paquetes descargando el tr谩fico del procesador del host a un hardware dedicado e independiente de la CPU del servidor. La soluci贸n ofrece las capacidades de prevenci贸n de intrusiones y seguridad avanzada de los NGFW virtuales de Palo Alto Networks a cada servidor sin sacrificar el rendimiento de la red. Tambi茅n permite inspeccionar movimientos de red que antes eran imposibles o poco pr谩cticos, ya que filtra de forma inteligente las partes relevantes del tr谩fico y transfiere el resto a la DPU.

Este NGFW de software acelerado por hardware es un hito en el impulso del rendimiento de los cortafuegos de software y en la maximizaci贸n de la cobertura y la eficiencia de la seguridad de los centros de datos al ser el primero del mercado en ser acelerado por una DPU.

El recientemente anunciado NGFW de la serie VM de Palo Alto Networks con DPU utiliza los principios de seguridad de red de confianza cero. La DPU funciona como un filtro de red inteligente para analizar, clasificar y dirigir los flujos de tr谩fico sin sobrecarga de la ReCPU, lo que permite al NGFW soportar un rendimiento cercano a los 100 Gb/s para casos de uso t铆picos. Esto supone un aumento del rendimiento de 5 veces en comparaci贸n con la ejecuci贸n del cortafuegos de la serie VM s贸lo en una CPU, y un ahorro de capex de hasta el 150% en comparaci贸n con el hardware heredado.

“A medida que las empresas y las empresas de telecomunicaciones construyen centros de datos similares a la nube, necesitan la agilidad y la automatizaci贸n de la nube sin comprometer el rendimiento. Junto con NVIDIA, estamos impulsando nuestros NGFWs de la serie VM con tecnolog铆a ML virtual”, dijo Muninder Singh Sambi, vicepresidente senior de Productos en Palo Alto Networks. “La DPU NVIDIA BlueField, l铆der del sector, es ideal para las soluciones de ciberseguridad que operan en entornos similares a la nube”.

La serie VM, el primer NGFW con BlueField del mercado, permite la segmentaci贸n con conocimiento de las aplicaciones, previene el malware, detecta nuevas amenazas y detiene la exfiltraci贸n de datos con la DPU BlueField que descarga el procesador del host para acelerar la funcionalidad de filtrado y reenv铆o de paquetes.

Servicio de descarga de tr谩fico inteligente

En determinados entornos de clientes, la mayor parte del tr谩fico no necesita ser inspeccionado (por ejemplo, el tr谩fico de streaming como el v铆deo, los juegos y las videoconferencias) o no puede ser inspeccionado, como el tr谩fico cifrado para el que el cliente no puede asignar la correspondiente pol铆tica de descifrado en el cortafuegos. En estos entornos, Intelligent Traffic Offload garantizar谩 que los recursos del cortafuegos se utilicen de forma 贸ptima para inspeccionar s贸lo aquellos flujos que se benefician de la inspecci贸n de seguridad continua.

Hasta el 80 por ciento del tr谩fico de red, incluidos los medios y los datos cifrados en un centro de datos, no necesita -o no puede- ser inspeccionado por un cortafuegos. Para resolver esto, la soluci贸n conjunta de NVIDIA y Palo Alto Networks incluye el servicio Intelligent Traffic Offload (ITO), que examina el tr谩fico de red para determinar si cada sesi贸n se beneficiar谩 o no de la inspecci贸n de seguridad.

El servicio ITO examina cada sesi贸n del tr谩fico para determinar si esa sesi贸n se beneficiar谩 o no de la inspecci贸n de seguridad. Si el cortafuegos determina que la sesi贸n no se beneficiar谩 de la inspecci贸n de seguridad, ITO indica a la DPU de BlueField-2 que reenv铆e todos los paquetes posteriores de esa sesi贸n directamente a su destino sin enviarlos al cortafuegos. (V茅ase el gr谩fico siguiente).

Al examinar s贸lo los flujos que pueden beneficiarse de la inspecci贸n de seguridad y transferir el resto a la DPU, se reduce la carga global del cortafuegos y de la CPU del host y aumenta el rendimiento sin sacrificar la seguridad.

El ITO permite a las empresas, las telco y los operadores de la nube proteger a los usuarios finales con un NGFW que puede ejecutarse en cada host en un entorno de confianza cero, lo que ayuda a acelerar su transformaci贸n digital al tiempo que los mantiene a salvo de una mir铆ada de ciberamenazas.

La integraci贸n de Palo Alto Networks con la DPU de NVIDIA BlueFIeld permite que el servicio ITO descargue de forma inteligente el tr谩fico que no se beneficia de una mayor inspecci贸n de seguridad.

Ampliaci贸n del ecosistema de desarrolladores en torno al SDK de NVIDIA DOCA

Palo Alto Networks comenz贸 a desarrollar el NGFW en la DPU BlueField utilizando el marco de llamadas a procedimientos remotos de c贸digo abierto gRPC (un proyecto de la Cloud Native Computing Foundation) y NVIDIA ASAP2, un marco de aceleraci贸n de hardware de c贸digo abierto.

La interfaz gRPC para BlueField y ASAP2 se han integrado en el SDK de NVIDIA DOCA, la arquitectura de infraestructura en chip para centros de datos que ofrece a los desarrolladores una plataforma abierta para crear aplicaciones de red, almacenamiento, seguridad y gesti贸n definidas por software y aceleradas por hardware que se ejecutan en las DPU BlueField.

DOCA forma parte del compromiso de NVIDIA de crear una amplia comunidad de desarrolladores que revolucione las aplicaciones y servicios de infraestructura de los centros de datos basados en las GPU NVIDIA y las DPU BlueField.

Obtenga m谩s informaci贸n sobre el ecosistema DOCA y 煤nase a la comunidad de desarrolladores de NVIDIA.

Ilustraci贸n: Canva



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.