对于新一代安全设备,可编程能力有多重要?

现在,数字化与自动化正成为全球趋势。在疫情的影响下,百行百业的服务更是纷纷转向线上,加之居家办公的迅速施行,人们的工作与生活愈发依赖网络连接。

然而,随着用户数量与连接设备持续增加、功能与需求更加多元化,系统架构日益复杂,系统功能范围也不断延展,由此导致大量的潜在风险。种种情况之下,宕机事件屡见不鲜,“崩了”频频出现在热搜中。

赛灵思白皮书 WP526《可编程能力在新一代安全设备中的重要性》,探讨了多种防火墙架构,以及将赛灵思自适应器件的灵活性、可配置性及其 IP 和工具产品相结合,从而显著体提升安全处理性能。

安全设备持续演进

新一代网络安全实现正持续演进,并经历从后备实现到内联实现的架构转变。随着 5G 部署的开始和连接设备数量的成倍增加,组织机构亟需重新审视和修改用于安全实现的架构。5G 吞吐量和时延要求正在改变接入网络,与此同时还需要额外的安全性。这种演变正推动网络安全的以下变化:

1. 更高的 L2(MACSec)和 L3 安全吞吐量;
2. 在边缘/接入端需要基于策略的分析;
3. 基于应用的安全性要求更高的吞吐量和连接性;
4. 使用 AI 和机器学习进行预测分析和恶意软件识别;
5. 新的密码算法的实现推动后量子加密(PQC)发展;

伴随上述需求,SD-WAN、5G-UPF 等网络技术越来越多地被采用,这就需要实现网络切片(network slicing)、更多的 VPN 通道和更深层的数据包分类。在当前一代的网络安全实现中,大部分应用安全是使用运行在 CPU 中的软件来处理的。虽然 CPU 性能在内核数量和处理能力方面有所提升,但日益增长的吞吐量要求依然无法依靠纯软件实现来解决。

基于策略的应用安全性要求不断变化,因此,大部分可用的现成解决方案只能处理一组固定的流量标头和加密协议。由于软件和固定的基于 ASIC 的实现存在这些限制,可编程且灵活应变的硬件便为实现基于策略的应用安全性提供了完美解决方案,并解决了其他基于可编程 NPU 架构的时延挑战。

灵活应变的 SoC 具备完善的硬化网络接口、加密 IP 以及可编程逻辑和内存,可通过 TLS 和正则表达式搜索引擎等有状态应用处理来实现数百万条策略规则。

自适应器件是理想选择

在新一代安全设备中采用赛灵思器件,不仅可以解决吞吐量和时延问题,其他优势还包括助力新技术的实现,如:机器学习模型、安全访问服务边缘(SASE)和后量子加密。

赛灵思器件可以为面向这些技术的硬件加速提供理想平台,因为仅用软件实现方案无法满足性能需求。赛灵思正在针对现有的和新一代网络安全解决方案不断开发和升级 IP、工具、软件以及参考设计。

除此之外,赛灵思器件还可以提供具备流分类软搜索 IP 的业界一流存储器架构,使其成为网络安全和防火墙应用的最佳选择。

将 FPGA 用作网络安全的流量处理器

进出安全设备(防火墙)的流量进行多级别加密。L2 加密/解密(MACSec)是在链路层(L2)网络节点(交换机与路由器)进行处理。超出 L2(MAC 层)的处理通常包括更深层的解析、L3 隧道解密(IPSec)以及加密 SSL 流量与 TCP/UDP 流量的处理。数据包处理涉及传入数据包的解析与分类以及高吞吐量(25–400Gb/s)的庞大流量(1–20M)的处理。

由于需要大量计算资源(核心),NPU 可以用于相对更高速率的数据包处理,但是无法实现低时延、高性能可扩展流量处理,因为流量处理采用 MIPS/RISC 核心,而根据其可用性来调度此类核心难度很大。采用基于 FPGA 的安全设备可以有效消除基于 CPU 和 NPU 的架构所带来的上述限制。

FPGA 中的应用级安全处理

FPGA 是新一代防火墙内联安全处理的理想选择,这是因为采用 FPGA 可以成功满足对更高性能、灵活性和低时延操作的需求。此外,FPGA 还可以实现应用级安全功能,从而进一步节省计算资源并提高性能。

FPGA 中有关应用安全处理的常见示例包括:

  • TTCP 卸载引擎
  • 正则表达式匹配
  • 非对称加密(PKI)处理
  • TLS 处理
  • 采用 FPGA 的新一代安全技术

    众多现有的非对称算法容易受到量子计算机的破坏。对量子计算安全加密算法的研究和实现已经起步,而已经有学术论文介绍了如何采用 FPGA 实现此类算法。RSA-2K、RSA-4K、ECC-256、DH 和 ECCDH 等非对称安全算法受到量子计算技术的影响最大。目前正在探讨新的非对称算法实现方案和 NIST 标准化。

    目前提议的后量子加密包括针对以下方面的环上误差学习(R- LWE)法:

  • 公共密钥加密(PKC)
  • 数字签名
  • 密钥创建
  • 提议的公共密钥加密的实现方案包括某些众所周知的数学运算(TRNG、高斯噪声采样器、多项式加法、二进制多项式定标器除法、乘法等)。用于众多此类算法的 FPGA IP 已经面世或者可以采用 FPGA 构建块高效实现,如:现有的和新一代赛灵思器件中的 DSP 与 AI 引擎(AIE)。

    本白皮书描述了使用可编程架构实现 L2-L7 安全性,该架构可部署用于边缘/接入网络和企业网络中的下一代防火墙(NGFW)的安全加速。

    查看完整版白皮书《可编程能力在新一代安全设备中的重要性》,请点击下载:https://app.ma.scrmtech.com/resources/ResourcePc/ResourcePcInfo?pf_uid=1...

    最新文章

    最新文章