Skip to main content

安全性

无需额外成本,网络安全即可获得新一代性能

网络安全解决方案

我们知道,与传统网络相比,5G 网络显著提高了吞吐量、容量并降低了延迟。但这些优势需要成本,企业和云服务提供商 (CSP) 需要用能更好地监控和保护 5G 数据流量的网络对现有统一威胁管理 (UTM)、防火墙、IPSec 和其他安全基础设施进行升级。

人们都希望获得更高的带宽,但更高的带宽意味着更多的数据流量,而且必须保障所有流量的安全。为了保持竞争优势,企业和 CSP 希望能以同样的成本为自己的客户提供更高的性能,这意味着他们希望网络安全专家能以与当前解决方案相当的价格提供性能更高的安全保护。安全提供商只能将这些要求传达给安全设备供应商,希望他们以上一代的价格提供新一代性能。

为了打破这种性价比困局,CASwell 等安全设备供应商开发了基于第三代英特尔® 至强® 可扩展处理器的解决方案,能够提供可扩展的 100 Gbps 以太网性能并满足新一代网络的线路级安全需求。

利用可重新配置的至强® 设备提高线路速率

线路级安全意味着安全基础设施可以实时检测直播数据流量是否存在安全威胁,没有任何延迟或缓冲。在可达 20 Gbps 的 5G 速度下,实现线路级数据包检测比在较低带宽下复杂得多。其中的一些挑战包括:支持各种类型的数据和数据包,使信息不会在传输过程中丢失;优化底层硬件平台,无论运行哪种软件或应用,都能最大限度地提高吞吐量。

鉴于这些要求,大多数安全设备设计都是“半定制”的,这意味着每家客户都能进行一定程度的微调。毫无疑问,根据特定客户或应用要求调整硬件平台所需的 ODM 服务并不便宜,而人们的目标是以上一代成本提供新一代性能。

实现这个目标的一种方法是从头设计可重新配置的模块化系统。例如,CASwell 开发了基于两个第三代英特尔至强处理器和高达 512 GB 的 DDR4-3200 ECC 内存(分布在多达 16 个 RDIMM 上)的 CAR-5060 机架式设备图 1)。CAR-5060 上的每个第三代至强处理器具有多达 36 核 72 线程,用于进行数据包处理和数据过滤,而配套的英特尔® C627 芯片组中内置的英特尔® 通信加速技术分载了加密工作负载。与上一代至强处理器相比,处理器性能提升高达 1.5 倍。

采用两个第三代英特尔® 至强® 可扩展处理器的 CASwell CAR-5060 机架式应用图片
图 1。CASwell CAR-5060 的模块化架构使网络安全提供商可以使用各种扩展卡配置平台,满足特定用例要求。(来源:CASwell, Inc.

除了至强处理器以外,CAR-5060 架构还包含八个 PCIe Gen 4 x8 通道和一个 PCIe Gen 4 x16 通道,支持存储模块、GPU/FPGA 加速卡和/或多达八个 CASwell 网络接口卡 (NIC)(每个卡拥有多达八个高速以太网端口)的不同组合。

换句话说,网络安全提供商可以利用多达 64 个 10 GbE 通道配置可扩展 2U 系统,获得 640 Gbps 的总平台带宽,同时仍然具备商业化产品 (COTS) 的价格优势。

CASwell 的产品管理助理副总裁 Yannic Chou 表示:“CAR-5060 与前几代的一个关键区别在于,此型号可在硬件方面进行扩展,并提供更高的吞吐量。网络服务提供商可以选择适合其应用的带宽。由于这些系统有时被用于云存储,他们也可以选择其他选项,如 AI 计算能力和存储。此外,他们还可以选择冗余电源模块,这是一个常见特点。”

利用 DPDK 提高线路速率

尽管 CAR-5060 等平台具有灵活性、可扩展性和成本效益,仍然需要对应用进行调优才能充分发挥任何安全设备的作用。因此,英特尔® 数据平面开发工具包成为想要构建并实施新一代防火墙、UTM、IPSec 或其他类似安全功能的网络安全提供商的下一步举措。

英特尔数据平面开发工具包是一款网络和数据平面库套件,将数据包处理任务从操作系统中分载出来。数据平面开发工具包在英特尔至强处理器上运行时,可将数据包处理速度加快高达 10 倍,对想要最大限度地提升性能并缩短上市时间的人来说,已经成为开发套件事实上的一部分。

此外还有英特尔® Boot Guard,它是至强处理器中的一个硬件机制,保护基本输入/输出系统在启动时免遭未经授权的修改,从而确保网络设备从始至终的完整性。在部署速度同样极其重要的行业中,通过 DPDK 和 Boot Guard 等工具简化优化和安全工程有助于原始设备制造商配置 CAR-5060 等平台,在其中移植应用,以及相对无缝地启动并运行。

可扩展网络安全解决方案:新一代性能,上一代成本

在实践中,网络服务提供商需要每三到五年升级一次安全平台,此时许多提供商将尝试进一步优化软件堆栈,充分发挥硬件设备的潜能。由于通常无法准确预测未来需要哪些类型的性能或功能,因此这是 CSP 和企业 IT 组织为避免低性价比而采取的最佳措施。当这项措施行不通时,就需要新的设备。

由于具有扩展插槽并兼容各种网络接口模块和适配器卡,升级 CAR-5060 比过去简单轻松得多。三到五年后,客户可以直接在前面板中换入新的高带宽 NIC 或加速卡,无需打开机箱。

这样,网络安全提供商就可以打破性价比困局。

 

本文由 insight.tech 的副主编 Christina Cardoza 编辑。

作者简介

Brandon is a long-time contributor to insight.tech going back to its days as Embedded Innovator, with more than a decade of high-tech journalism and media experience in previous roles as Editor-in-Chief of electronics engineering publication Embedded Computing Design, co-host of the Embedded Insiders podcast, and co-chair of live and virtual events such as Industrial IoT University at Sensors Expo and the IoT Device Security Conference. Brandon currently serves as marketing officer for electronic hardware standards organization, PICMG, where he helps evangelize the use of open standards-based technology. Brandon’s coverage focuses on artificial intelligence and machine learning, the Internet of Things, cybersecurity, embedded processors, edge computing, prototyping kits, and safety-critical systems, but extends to any topic of interest to the electronic design community. Drop him a line at techielew@gmail.com, DM him on Twitter @techielew, or connect with him on LinkedIn.

Profile Photo of Brandon Lewis