找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场

山石网科 A7600 智能下一代防火墙

高性能、高可靠、轻量化、更便捷

软件灵活性和硬件高效性的统一

【找准边界,吃定安全】往期回顾:

 串联边界设备协同,便捷运营思维让安全更有效

流量剧增?看山石网科如何打破传统限制

从访问控制谈起,再看零信任模型

1、ABC 时代的阿喀琉斯之踵

随着以 A(I) B(igdata) C(loud) 为代表的新业务日益普及,物联网应用日趋成熟,5G 时代日渐到来,这些都进一步激发了互联网的流量持续高速增长。此外,Google 的一篇论文也提到,数据中心的流量每 9 个月就会翻一倍,每 5 年将增长 100 倍。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第1张图片

在此背景下,IT 基础设施的硬件和软件产生以下变化:

• 大数据和机器学习等数据密集型的计算越来越多,提高了分布式计算环境下对低时延、高带宽的需求,通过传统的软硬件体系架构很难满足。

• CPU 性能瓶颈逐渐显现,摩尔定律近似失效,虽然出现多核技术,但其承载的工作负载数量和单个工作负载 CPU 资源消耗仍在增加,硬件加速势在必行。 

• 云计算是各种复杂场景的叠加,如何把其承载的多业务场景优化融汇到一套平台化方案里,既满足灵活性的要求,又满足性能加速的要求,有很大的挑战。 

• 软硬件之间的鸿沟越来越大。CPU 性能低下,定制 ASIC 难以大规模复制且周期长;软件迭代速度变快,而硬件迭代却在变慢;芯片研发工艺趋于复杂,周期长,风险高,投入高,这些问题都制约着软件的发展。

• 数据中心网络容量持续升级,服务器网卡从 25Gbps 升级到 100Gbps,网络交换机从100Gbps 升级到 200G/400Gbps。网络设备面临三高一低的需求(高性能、高可用、高并发、低时延),因此,流量处理需要硬件加速。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第2张图片

图注:带宽性能增速比 (RBP) 失调,

引自《专用数据处理器 (DPU) 技术白皮书》

 

2、软硬件融合的解决之道

为了应对上述挑战,业界提出了全新的设计理念和方法——软硬件融合。软硬件融合,本质上是快慢融合,互联网软件需要足够灵活,能够快速迭代和优化;底层硬件需要有足够的性能和运行效率。软件具有灵活性,性能虽“慢”,却“快”速迭代;硬件具有很高的执行效率,性能虽“快”,开发却“慢”。软硬件融合即是要将硬件的性能和软件的灵活性通过多种硬件平台进行有效组合,达到软件灵活性和硬件高效性的统一。

注:任务在 CPU 运行,则定义为软件运行 ; 任务在协处理器、GPU、FPGA 或 ASIC 运行,则定义为硬件加速运行。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第3张图片

图注:各种硬件平台的对比

(指令复杂度、运行频率、并行度)

软硬件融合的意义在于:

• 采用 CPU + 协处理器 + GPU + FPGA + ASIC 等超异构混合硬件平台计算处理复杂多变的业务,都是每种应用负载和流量在软硬件解耦和均衡基础上的再协同和再优化 

• 兼顾软件灵活性和硬件高性能,既要极致性能,又要灵活性,让硬件更加灵活、弹性、可扩展,弥补硬件和软件之间的鸿沟 

• 应对云计算、大数据及人工智能等复杂应用挑战 

• 降低芯片一次性成本过高和周期过长导致的设计风险

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第4张图片

图注:不同类型的处理器的特征和应用场景 

引自《专用数据处理器 (DPU) 技术白皮书》

 

3、业界前沿的应用情况

2017 年 10 月,AWS 和阿里云分别发布了 Nitro 和“神龙”架构服务器,这两个为了解决虚拟化问题而相继问世的软硬件融合和异构计算创新产品,被业界视作迄今最成功的两款 DPU(以数据为中心构建的专用处理器)。

AWS 的 Nitro 系统是基于 Arm 架构的 AL72400 芯片,做成将网络和存储 offload 的 Nitro VPC 卡和 Nitro EBS 卡,以及本地存储的 Instance Storage 卡。Nitro 架构改变了服务器硬件的主从关系,当所有的 Dom0 全部 Offload 到网卡之后,主处理逻辑全部在智能网卡,主从的关系也需要发生逆转。因此,智能网卡变成了主管理节点,而服务器上的其他部件变成了从服务节点。

现在,这个硬件可以让虚拟化引擎以最小化的体积运行,因为它不需要去处理网络和存储的数据处理任务。至此,AWS 的数据中心问题解决了,但性能只有 3M PPS,之后推出的基于 16c Arm A72 架构的 100G Nitro 网卡进一步实现了更低时延、更高可靠性以及 3 倍 PPS 性能的提升,性能的问题也基本上得到了解决。

阿里云“神龙”基于 CPU+FPGA 方案,从支持裸金属的虚拟化,做到性能超越物理机的裸金属服务器;再到第二代神龙做到了“一套软硬件,三种服务(裸金属服务器 + 虚拟机服务 + 容器)”,解决了虚拟机和裸金属分池的问题,性能层面也实现了“虚拟机性能接近裸金属”;之后的第三代、第四代做到了 24M、50M 的 PPS 能力,在解决了数据中心税的同时,实现了性能的大幅飞跃

在 7 月初刚结束的 2022 年阿里云峰会上,阿里云智能总裁张建锋对外发布了一款云数据中心专用处理器 CIPU(Cloud infrastructure Processing Units),这是为新型云数据中心设计的专用处理器,未来将替代 CPU 成为云计算的管控和加速中心。CIPU 向下接入物理的计算、存储、网络资源,快速云化并进行硬件加速;向上接入飞天云操作系统,管控阿里云全球上百万台服务器。它被业内人士认为是一款定义下一代云计算标准的开创性产品

微软的 Azure 也在考虑了可编程性、性能和效率的权衡后,使用了基于 FPGA 的自定义 Azure SmartNICs,将主机网络卸载到硬件的解决方案。

随着 AWS Nitro、阿里云神龙架构的引领,京东、腾讯、字节等公司也采用了类似的架构构建自己的公共云计算服务,数据中心计算架构的中心开始向智能网卡和 DPU 倾斜。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第5张图片

在 SDN 领域,软硬件融合理念的应用也越来越普及。SDN 之父 Nick 教授在创立 Openflow进行试水后改进了理念,只在数据平面做文章,推出了P4可编程语言,配合白盒交换机或SmartNICs/DPU,在 SDN 落地可行性、性能、功耗、成本等方面找到了平衡点。阿里云洛神Sailfish 云网关使用 Barefoot 公司的可编程 ASIC Tofino 芯片交换机,利用 P4 灵活的可编程特性,实现了高性能(吞吐量、包速率分别比 X86 网关提高 20 倍和 72 倍,而平均延时也比 X86 网关低95%),而 Barefoot 公司正是由 Nick 教授创立的,在 2019 年被 Intel 收购。

 

4、山石网科在网络安全领域的软硬件融合探索之路 

防火墙系列作为山石网科的硬核产品,一直广受业界认可,连续八年入选国际权威分析机构Gartner 的“网络防火墙类魔力象限”,并在 2021 年实现了从“利基者”到“远见者”的闪亮进阶。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第6张图片

图注:Gartner 网络防火墙魔力象限(2021)

作为国内网络安全领域的技术创新领导厂商,山石网科一直在探索网络安全软硬件融合解决方案。StoneOS是山石网科具有自主知识产权的网络安全操作系统,建立在通用 OS 基础之上的网络安全系统平台,经过 15 年以上的历史积累,支持丰富的功能,可支持多核处理器及分布式多 CPU 系统,StoneOS类似于以下友商的网络操作系统,如思科 IOS、VRP、华三 Comware 和 Juniper JUNOS。

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第7张图片

图注: StoneOS 的架构和软件模块示意图

在承载 StoneOS 的硬件层面,山石网科防火墙经历了从基于 MIPS 架构的 E 系列到融合构架的 A 系列产品线,通过敏锐的洞察力和对市场前沿技术异构计算在安全领域应用场景的理解,分析如下:

很多的安全产品如 UTM Firewall、IDPS、DPI、上网行为管理、AV、ZTNA SDP、抗 DDoS 设备等,在网络流量持续增长时,很多设备都具有高新建、高并发、高吞吐等特点,是典型的 I/O 密集型应用场景,需要大量 CPU 资源来处理相应的业务逻辑,性能上的瓶颈非常明显。通过异构计算架构对这些安全功能产品做硬件加速,已经是必然趋势。随着云计算和虚拟化技术的发展,上述的安全功能产品的实现方式转为虚拟化或者 NFV 方式,并通过云平台来部署统一管理。这些安全功能产品由于部署在数据中心流量的主要路径上,转发性能对整体网络的吞吐量和时延具有重要的影响。

由于上述安全产品对应用报文处理的深度不同,有些只需要在四层以下处理,有些则需要在四至七层进行处理,所以在硬件加速平台的卸载方式上也存在不同。如 UTM Firewall 和DDoS 等设备,可以通过流表卸载的方式,对流量进行拦截,来加速运行在主机系统中的安全服务应用。如IDPS、DPI 和上网行为管理设备,需要做深度包分析和检测,这时需要硬件加速平台的 CPU 具有较强的性能。 

根据以上的分析,结合硬件平台上丰富的自主研发经验,山石网科探索出硬件和软件场景下两种不同的解决方案:

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第8张图片

图注:硬件方案 : 四层以下流量由 ASIC 芯片处理,

四层以上流量由 Hillstone Mars 硬件加速引擎处理

找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场_第9张图片

图注:软件方案:云环境 X86 服务器上

南北向安全流量卸载

 

5、山石网科重镑发布基于 CPU+Hillstone Mars 硬件加速引擎的高性能防火墙

图注:采用 Hillstone Mars 硬件

加速引擎的 A7600 智能下一代防火墙

通过深入客户安全需求,走近客户痛点场景,山石网科持续精进安全能力,不断为用户提供高性能、高可靠、轻量化、更便捷的安全服务,真正解决用户实际问题。

山石网科推出智能下一代防火墙A7600,搭载 Hillstone Mars 硬件加速引擎,整机吞吐可达320Gbps,小包性能140Gbps,可满足数据中心等对流量要求较高的场景需求。Hillstone Mars 硬件加速引擎专注于流量卸载,在较高流量场景下,也可轻松卸载 CPU 的压力,使得 CPU 更加聚焦综合安全业务处理能力,向客户带来更极致的安全防护体验。

在 Hillstone Mars 硬件加速引擎的加持下,报文转发延时可低至几微秒,完全胜任对时延敏感的应用场景。同时,为应对当前越来越多的加密业务,避免提升安全性的同时损失转发性能,山石网科 A 系列智能下一代防火墙具备硬件解密引擎,相比于纯软件解密,SSL 解密效率提升 2.5+ 倍,有力保障企业业务的高效开展。

你可能感兴趣的:(边界安全,山石发声,安全)