網路安全措施享有新一代效能,而且無須付出代價
大家都知道,相較於舊式網路,5G 網路的處理量更高、容量更大,而且延遲更低。然而,這些效益有其代價,對於企業和雲端服務供應商(CSP)而言,代價就是採用監測與保護 5G 資料流量能力更強的網路,升級現有的整合性威脅管理(UTM)防火牆、IPSec 以及其他安全基礎架構。
人人都想要更多頻寬,但頻寬更高意味著,資料流量更大,必須保護的流量更多。為了保持競爭力,企業和 CSP 希望以相同的成本為客戶提供更高的效能,也就是說,他們期望網路安全專家能以跟現有解決方案相同的價位,提高效能更高的安全措施。安全措施供應商別無選擇,只能向安全設備供應商轉達這些需求,期望他們以前代價格提供新一代效能。
為因應這個性價比困境,CASwell 這類安全設備供應商正開發採用第 3 代 Intel® Xeon® 可擴充處理器的解決方案,因為這款處理器提供可擴充的 100 Gbps 乙太網路效能,並且符合新一代網路對於線路速率安全性的需求。
利用可重設的 Xeon® 設備達成線路速率
所謂的線路速率安全措施意味著,安全措施基礎架構能夠在完全沒有延遲或緩衝的情況下,即時檢查串流資料流量是否存在安全威脅。相較於利用較低的頻寬,利用速度可達 20 Gbps 的 5G 速度達成線路速率封包檢查的過程更為複雜。部分難題包括,支援所有不同類型的資料與封包,不讓任何資訊在傳輸過程中遺失,以及將基礎硬體平台最佳化,在不受執行中軟體或應用程式影響的情況下,達到最高的處理量。
由於必須滿足這些需求,因此安全設備設計多半都是「半客製化」,也就是說,每位客戶都可進行某種程度的微調。當然,依照特定客戶或應用程式需求微調硬體平台所需的 ODM 服務所費不貲,而目標卻是以前代成本提供新一代效能。
從頭設計可重新設定的模組系統,是實現這個目標的其中一個方法。舉例來說,CASwell 已經開發出搭載兩個第 3 代 Intel Xeon 處理器的 CAR-5060 機架式設備,而且 16 個 RDIMM 有高達 512 GB 的 DDR4-3200 ECC 記憶體(圖 1)。CAR-5060 內建的第 3 代 Xeon 各包含高達 36 顆核心與 72 條執行緒,負責處理封包和過濾資料,而輔助之 Intel® C627 Chipset 內建的 Intel® QuickAssist Technology (Intel® QAT) 則會卸載密碼編譯工作負載,相較於前代 Xeon,處理器效能提高達 1.5 倍。
然而,除了 Xeon 處理器,CAR-5060 架構還包含八條 PCIe Gen 4 x8 通道,以及一條 PCIe Gen 4 x16 通道,可支援不同的儲存模組組合、GPU/FPGA 加速卡,以及/或者多達八張 CASwell 網路介面卡(NIC),而且每張介面卡各有多達八個高速乙太網路連接埠。
換句話說,網路安全供應商可以用多達 64 個 10 GbE 頻道設定可擴充的 2U 系統,締造 640 Gbps 的總平台頻寬,同時依舊可享有商用現貨(COTS)定價。
CASwell 產品管理部門 AVP Yannic Chou 表示:「CAR-5060 與前代的關鍵差異在於,這個型號的硬體可擴充,而且提供的處理量更高。網路服務供應商可以根據用途選擇頻寬。」「此外,他們還有其他選項可以選擇,例如 AI 運算功能與儲存空間,因為這些系統有時用於雲端儲存。另外,他們還可選擇備援電源模組這項常見的功能。」
利用 DPDK 超越線路速率
儘管 CAR-5060 這類平台的靈活性、可擴充性與成本效益驚人,但若要讓任何安全設備發揮得淋漓盡致,依舊需要調校應用程式。因此,對於希望建置及實作新一代防火牆、UTM、IPSec 或其他類似安全功能的網路安全供應商來說,下一步就是採用 Intel® Data Plane Development Kit (Intel® DPDK)。
Intel DPDK 這套網路與資料平面庫套組,可從作業系統卸載封包處理工作。DPDK 在 Intel Xeon 執行時,能夠讓封包處理速度加快高達 10 倍,而且對於希望盡量提高效能及改善上市時間的人來說,DPDK 儼然已經成為開發套件最實際常見的一部分。
此外還有 Intel® Boot Guard。這個 Xeon 處理器內的硬體機制可防止基本輸入/輸出系統在開機時遭到未經授權修改,從基礎開始確保網路設備的完整性。部署速度則是這個產業的另一個優先考量,因此利用 DPDK 與 Boot Guard 這類工具簡化最佳化和安全措施設計的能力,有助於 OEM 設定 CAR-5060 等平台、將應用程式移植至平台,並且以相當流暢的方式上線運作。
可擴充的網路安全解決方案:新一代效能、前代成本
實際上,網路服務供應商每三至五年左右就必須升級安全平台,屆時很多供應商會設法進一步最佳化軟體堆疊,讓硬體設備的效能餘量發揮得淋漓盡致。既然通常無法確切掌握日後需要哪種效能或功能,因此 CSP 和企業 IT 組織一向將這種升級方式視為防範性價比過時的最佳策略。如果升級失敗,就必須添購新設備。
CAR-5060 具有擴充插槽,而且與各種網路介面模組和介面卡相容,因此升級過程比過去簡單直接。每隔三至五年,客戶直接從前面板就能換上頻寬更高的新 NIC 或加速卡,甚至連機箱都不必打開。
這正是網路安全供應商面對性價比困境的因應之道。