Skip to main content

教育

網路安全措施享有新一代效能,而且無須付出代價

網絡安全解決方案

大家都知道,相較於舊式網路,5G 網路的處理量更高、容量更大,而且延遲更低。然而,這些效益有其代價,對於企業和雲端服務供應商(CSP)而言,代價就是採用監測與保護 5G 資料流量能力更強的網路,升級現有的整合性威脅管理(UTM)防火牆、IPSec 以及其他安全基礎架構。

人人都想要更多頻寬,但頻寬更高意味著,資料流量更大,必須保護的流量更多。為了保持競爭力,企業和 CSP 希望以相同的成本為客戶提供更高的效能,也就是說,他們期望網路安全專家能以跟現有解決方案相同的價位,提高效能更高的安全措施。安全措施供應商別無選擇,只能向安全設備供應商轉達這些需求,期望他們以前代價格提供新一代效能。

為因應這個性價比困境,CASwell 這類安全設備供應商正開發採用第 3 代 Intel® Xeon® 可擴充處理器的解決方案,因為這款處理器提供可擴充的 100 Gbps 乙太網路效能,並且符合新一代網路對於線路速率安全性的需求。

利用可重設的 Xeon® 設備達成線路速率

所謂的線路速率安全措施意味著,安全措施基礎架構能夠在完全沒有延遲或緩衝的情況下,即時檢查串流資料流量是否存在安全威脅。相較於利用較低的頻寬,利用速度可達 20 Gbps 的 5G 速度達成線路速率封包檢查的過程更為複雜。部分難題包括,支援所有不同類型的資料與封包,不讓任何資訊在傳輸過程中遺失,以及將基礎硬體平台最佳化,在不受執行中軟體或應用程式影響的情況下,達到最高的處理量。

由於必須滿足這些需求,因此安全設備設計多半都是「半客製化」,也就是說,每位客戶都可進行某種程度的微調。當然,依照特定客戶或應用程式需求微調硬體平台所需的 ODM 服務所費不貲,而目標卻是以前代成本提供新一代效能。

從頭設計可重新設定的模組系統,是實現這個目標的其中一個方法。舉例來說,CASwell 已經開發出搭載兩個第 3 代 Intel Xeon 處理器的 CAR-5060 機架式設備,而且 16 個 RDIMM 有高達 512 GB 的 DDR4-3200 ECC 記憶體(圖 1)。CAR-5060 內建的第 3 代 Xeon 各包含高達 36 顆核心與 72 條執行緒,負責處理封包和過濾資料,而輔助之 Intel® C627 Chipset 內建的 Intel® QuickAssist Technology (Intel® QAT) 則會卸載密碼編譯工作負載,相較於前代 Xeon,處理器效能提高達 1.5 倍。

CASwell CAR-5060 機架式應用的影像,它搭載兩個第 3 代 Intel® Xeon® 可擴充處理器
圖 1. CASwell CAR-5060 的模組架構可讓網路安全供應商用各種擴充卡設定平台,滿足特定使用案例需求。(資料來源:CASwell, Inc.

然而,除了 Xeon 處理器,CAR-5060 架構還包含八條 PCIe Gen 4 x8 通道,以及一條 PCIe Gen 4 x16 通道,可支援不同的儲存模組組合、GPU/FPGA 加速卡,以及/或者多達八張 CASwell 網路介面卡(NIC),而且每張介面卡各有多達八個高速乙太網路連接埠。

換句話說,網路安全供應商可以用多達 64 個 10 GbE 頻道設定可擴充的 2U 系統,締造 640 Gbps 的總平台頻寬,同時依舊可享有商用現貨(COTS)定價。

CASwell 產品管理部門 AVP Yannic Chou 表示:「CAR-5060 與前代的關鍵差異在於,這個型號的硬體可擴充,而且提供的處理量更高。網路服務供應商可以根據用途選擇頻寬。「此外,他們還有其他選項可以選擇,例如 AI 運算功能與儲存空間,因為這些系統有時用於雲端儲存。另外,他們還可選擇備援電源模組這項常見的功能。」

利用 DPDK 超越線路速率

儘管 CAR-5060 這類平台的靈活性、可擴充性與成本效益驚人,但若要讓任何安全設備發揮得淋漓盡致,依舊需要調校應用程式。因此,對於希望建置及實作新一代防火牆、UTM、IPSec 或其他類似安全功能的網路安全供應商來說,下一步就是採用 Intel® Data Plane Development Kit (Intel® DPDK)。

Intel DPDK 這套網路與資料平面庫套組,可從作業系統卸載封包處理工作。DPDK 在 Intel Xeon 執行時,能夠讓封包處理速度加快高達 10 倍,而且對於希望盡量提高效能及改善上市時間的人來說,DPDK 儼然已經成為開發套件最實際常見的一部分。

此外還有 Intel® Boot Guard。這個 Xeon 處理器內的硬體機制可防止基本輸入/輸出系統在開機時遭到未經授權修改,從基礎開始確保網路設備的完整性。部署速度則是這個產業的另一個優先考量,因此利用 DPDK 與 Boot Guard 這類工具簡化最佳化和安全措施設計的能力,有助於 OEM 設定 CAR-5060 等平台、將應用程式移植至平台,並且以相當流暢的方式上線運作。

可擴充的網路安全解決方案:新一代效能、前代成本

實際上,網路服務供應商每三至五年左右就必須升級安全平台,屆時很多供應商會設法進一步最佳化軟體堆疊,讓硬體設備的效能餘量發揮得淋漓盡致。既然通常無法確切掌握日後需要哪種效能或功能,因此 CSP 和企業 IT 組織一向將這種升級方式視為防範性價比過時的最佳策略。如果升級失敗,就必須添購新設備。

CAR-5060 具有擴充插槽,而且與各種網路介面模組和介面卡相容,因此升級過程比過去簡單直接。每隔三至五年,客戶直接從前面板就能換上頻寬更高的新 NIC 或加速卡,甚至連機箱都不必打開。

這正是網路安全供應商面對性價比困境的因應之道。

 

本文由 insight.tech 編輯副總監 Christina Cardoza 編輯。

作者簡介

Brandon is a long-time contributor to insight.tech going back to its days as Embedded Innovator, with more than a decade of high-tech journalism and media experience in previous roles as Editor-in-Chief of electronics engineering publication Embedded Computing Design, co-host of the Embedded Insiders podcast, and co-chair of live and virtual events such as Industrial IoT University at Sensors Expo and the IoT Device Security Conference. Brandon currently serves as marketing officer for electronic hardware standards organization, PICMG, where he helps evangelize the use of open standards-based technology. Brandon’s coverage focuses on artificial intelligence and machine learning, the Internet of Things, cybersecurity, embedded processors, edge computing, prototyping kits, and safety-critical systems, but extends to any topic of interest to the electronic design community. Drop him a line at techielew@gmail.com, DM him on Twitter @techielew, or connect with him on LinkedIn.

Profile Photo of Brandon Lewis