不同于前幾代無線網(wǎng)絡，5G具有許多新的功能，如更低的延遲、更高的可靠性和吞吐量、通過云原生架構實現(xiàn)的靈活服務部署、以及更高的設備密度等。5G的采用及其功能的擴展推動了移動網(wǎng)絡寬帶達到100Gbps，甚至更高。

隨著5G的出現(xiàn)以及云計算的部署日益頻繁，網(wǎng)絡安全需要從新的方向增強以提供足夠的保護。如今的網(wǎng)絡攻擊方式日益復雜，并且攻擊面也日益擴大，加之比本地部署更易受攻擊的現(xiàn)代云環(huán)境，想要妥當?shù)芈鋵嵄Ｗo也并非易事。在5G時代，我們需要一種新的安全策略來提供充分的保護。

圖1 充分保障5G網(wǎng)絡安全所面臨的挑戰(zhàn)與日俱增

新一代5G防火墻

Palo Alto Networks和NVIDIA聯(lián)合創(chuàng)建了一種可擴展的自適應安全解決方案，該方案將Palo Alto新一代防火墻與NVIDIA BlueField-2數(shù)據(jù)處理器（DPU）相結合，提高了虛擬化軟件定義網(wǎng)絡的高性能安全標準。NVIDIA BlueField-2 DPU提供一套豐富的網(wǎng)絡流量卸載引擎，可滿足5G和云等高要求市場中不斷發(fā)展的安全需求。Palo Alto Networks發(fā)揮其在保護企業(yè)和移動網(wǎng)絡方面的專長，并將其應用于5G。兩家公司憑借這些專長，部署了包括虛擬防火墻在內(nèi)的5G原生安全倡議。該虛擬防火墻致力于滿足5G云原生環(huán)境的嚴格安全需求，通過規(guī)模化、操作簡易性和自動化，為客戶提供無與倫比的安全保護。

圖2 Palo Alto Networks新一代防火墻提供原生5G安全

對于希望在5G和云環(huán)境中對安全基礎設施進行現(xiàn)代化升級的數(shù)據(jù)中心而言，NVIDIA 和Palo Alto Networks軟件定義的硬件加速安全架構可提高基礎設施的效率，以更靈活的粒度實現(xiàn)整體解決方案堆棧中零信任安全，并使安全和管理操作更高效。

圖3 BlueField-2 DPU智能流量卸載

這一動態(tài)解決方案內(nèi)置智能流量卸載，因此能夠針對實時威脅進行適配，而無需改變網(wǎng)絡基礎設施。NVIDIA ASAP2 VNF流量卸載技術可對基于AppID的長流識別進行過濾或轉發(fā)。此外，該AppID還被用于檢查前幾個數(shù)據(jù)包，以檢測其是否包含威脅或是否能夠卸載流量。如果數(shù)據(jù)包不適合流量卸載，將被發(fā)送至防火墻進行檢查。如果防火墻確定該會話并無威脅，則其將被發(fā)送至PAN gRPCd進程。該進程會調(diào)用DPU守護程序，將該會話添加至DPU會話流表中，以便將來進行卸載。DPU將處理流量中的所有后續(xù)數(shù)據(jù)包，且不消耗任何服務器CPU周期用于防火墻處理進程。該解決方案提供高達100Gb/s的吞吐量，其中80%的流量被卸載至DPU，并確保在不運用CPU的情況下獲得最高性能。因此，與基于主機的傳統(tǒng)防火墻安全方案相比，其吞吐量增加了5倍。

關于作者

Ash Bhalgat 是 NVIDIA 網(wǎng)絡業(yè)務部門的云和電信市場開發(fā)高級總監(jiān)。他領導云和電信解決方案、技術營銷和合作伙伴生態(tài)系統(tǒng)業(yè)務開發(fā)，以推動網(wǎng)絡投資組合收入和市場份額增長。

審核編輯：郭婷