Firewall virtual da Palo Alto usa DPU Nvidia para acelerar a segurança

Para se manter à frente das ameaças emergentes, a Palo Alto Networks, provedora global de segurança cibernética, desenvolveu o primeiro firewall virtual de próxima geração (NGFW) projetado para ser acelerado pela Unidade de Processamento de Dados (DPU) BlueField, da Nvidia. “A DPU acelera a filtragem e o encaminhamento de pacotes, descarregando o tráfego do processador host para um hardware dedicado separado da CPU do servidor. A solução oferece prevenção de intrusão e recursos avançados de segurança dos NGFWs virtuais da Palo Alto Networks para todos os servidores sem sacrificar o desempenho da rede”, disse Ash Bhalgat, diretor de Desenvolvimento de Mercado para Nuvem, Telco e Cibersegurança da Nvidia. “Também permite fluxos de rede que antes eram impossíveis ou impraticáveis ​​de inspecionar, rastreando de forma inteligente as partes relevantes do fluxo e descarregando o restante para o DPU”, comentou.

Em sua opinião, este software NGFW acelerado por hardware é um marco no aumento do desempenho do firewall de software e maximização da cobertura e eficiência da segurança do Data Center por ser o primeiro no mercado a ser acelerado por uma DPU.

O recém-anunciado NGFW da série VM da Palo Alto Networks habilitado para DPU usa princípios de segurança de rede de Confiança Zero (Zero Trust). A DPU opera como um filtro de rede inteligente para analisar, classificar e direcionar os fluxos de tráfego com sobrecarga de ReCPU zero, o que permite que o NGFW suporte uma taxa de transferência próxima de 100 Gb/s para casos de uso típicos. Isso representa um aumento de 5x no desempenho em comparação com a execução do firewall VM-Series apenas em uma CPU – e até 150% de economia de capex em comparação com o hardware legado.

“À medida que as empresas e Telcos constroem Data Centers semelhantes à Nuvem, elas precisam da agilidade e automação da Nuvem sem comprometer o desempenho. Junto com a Nvidia, estamos comprimindo nossos NGFWs virtuais baseados em ML da série VM”, disse Muninder Singh Sambi, vice-presidente sênior de Produtos da Palo Alto Networks. “A Nvidia BlueField DPU é ideal para soluções de segurança cibernética operando em ambientes semelhantes à Nuvem”, grantiu.

O primeiro NGFW habilitado para BlueField no mercado, o VM-Series, permite a segmentação com reconhecimento de aplicativo, evita malware, detecta novas ameaças e interrompe a exfiltração de dados com o BlueField DPU descarregando o processador do host para acelerar a funcionalidade de filtragem e encaminhamento de pacotes. Em certos ambientes do cliente, a maior parte do tráfego não precisa de inspeção (por exemplo, tráfego de streaming, como vídeo, jogos e videoconferência) ou não pode ser inspecionado, como tráfego criptografado para o qual o cliente não consegue atribuir a descriptografia correspondente na política de firewall. Em tais ambientes, o Intelligent Traffic Offload garantirá que os recursos do firewall sejam utilizados de maneira ideal para inspecionar apenas os fluxos que se beneficiam da inspeção de segurança contínua.

Até 80% do tráfego de rede, incluindo mídia e dados criptografados em um Data Center, não precisa ser – ou não pode ser – inspecionado por um firewall. Para resolver isso, a solução conjunta da Nvidia e da Palo Alto Networks inclui o serviço Intelligent Traffic Offload (ITO), que examina o tráfego da rede para determinar se cada sessão se beneficiará ou não da inspeção de segurança. Se o firewall determinar que a sessão não se beneficiará da inspeção de segurança, o ITO instrui o BlueField-2 DPU a encaminhar todos os pacotes subsequentes dessa sessão diretamente para seu destino, sem enviá-los ao firewall. Ao examinar apenas os fluxos que podem se beneficiar da inspeção de segurança e descarregar o resto para o DPU, a carga geral no firewall e na CPU do host é reduzida e o desempenho aumenta sem sacrificar a segurança.

O ITO capacita empresas, operadoras de telecomunicações e Nuvem a proteger os usuários finais com um NGFW que pode ser executado em todos os hosts em um ambiente de Confiança Zero, ajudando a agilizar sua transformação digital enquanto os mantém protegidos contra uma infinidade de ameaças cibernéticas.

A Palo Alto Networks iniciou o desenvolvimento do NGFW no BlueField DPU usando a estrutura de chamada de procedimento remoto de código aberto gRPC (um projeto da Cloud Native Computing Foundation ) e Nvidia ASAP2, uma estrutura de aceleração de hardware de código aberto.

A interface gRPC para BlueField e ASAP2 agora está integrada ao Nvidia DOCA SDK, a arquitetura de infraestrutura em um chip do Data Center que oferece aos desenvolvedores uma plataforma aberta para a criação de aplicativos de rede, armazenamento, segurança e gerenciamento acelerados por hardware definidos por software em execução em DPUs BlueField.

Serviço
www.nvidia.com
www.paloaltonetworks.com