NVIDIA BlueField-2 により、Palo Alto Networks の次世代仮想ファイアウォールを 5 倍高速化することが可能に

FBI によると、2020 年に米国の国民が被ったサイバー犯罪の損害額は、報告されたものだけでも 40 億ドル以上になっています。

この差し迫った脅威への対処を先んじて行うために、サイバーセキュリティの世界的リーダーである Palo Alto Networks は、NVIDIA の BlueField データ プロセッシング ユニット (DPU) による高速化を図った、初の次世代仮想ファイアウォール (NGFW) を開発しました。

DPU は、トラフィックをホスト プロセッサからサーバー CPU とは別の専用ハードウェアにオフロードすることで、パケット フィルタリングとフォワーディングを高速化します。このソリューションにより、Palo Alto Networks の仮想 NGFW に備わっている侵入防止機能や先進のセキュリティ機能を、ネットワーク性能を犠牲にすることなくあらゆるサーバーに提供できるようになります。さらに、ネットワーク フローの重要な部分だけをインテリジェントにスクリーニングし、残りの部分を DPU にオフロードすることにより、これまで不可能または非現実的であった、ネットワーク フローの検査ができるようになります。

このハードウェアアクセラレーテッド ソフトウェアである NGFW は、市場で初めてDPU で加速されたファイアウォールであり、ソフトウェア ファイアウォールの性能を向上させ、データセンター セキュリティの対象範囲と効率性を最大化する上での画期的な一歩となります。

先頃発表された、DPU 対応の Palo Alto Networks VM-Series NGFW では、ゼロトラスト ネットワーク セキュリティの原則が導入されています。DPU は、CPU のオーバーヘッドなしにトラフィック フローの解析、分類および制御を行うインテリジェントなネットワーク フィルターとして機能し、NGFW が一般的なユースケースである 100Gb/s のスループットに対応できるようにします。これにより、CPU だけで VM-Series ファイアウォールを動作させた場合と比べて性能が 5 倍向上し、従来のハードウェアに比べて設備投資を最大 150% 削減することができます。

Palo Alto Networks の製品担当シニアバイスプレジデントのムニンダー シン サンビー (Muninder Singh Sambi) 氏は、次のように話しています。「企業や通信事業者はクラウドのようなデータセンターを構築しており、性能を妥協することなく、クラウドの俊敏性と自動化を必要としています。NVIDIA とともに当社は、VM-Series の ML を活用した仮想 NGFW を加速させています。業界をリードする NVIDIA BlueField DPU は、クラウドのような環境で動作するサイバーセキュリティ ソリューションに最適です」

BlueField 対応の NGFW として初めて市場に投入された VM-Series では、ホスト プロセッサの負荷を軽減することで、パケット フィルタリングとフォワーディング機能を高速化する BlueField DPU により、アプリケーション認識型のセグメンテーションが可能になるほか、マルウェアの予防、新しい脅威の検出、およびデータ流出の防止ができるようになります。

Intelligent Traffic Offload サービス

お客様の環境によっては、トラフィックの大部分は、検査を必要としないもの (例えば、動画、ゲーミングおよびビデオ会議といったストリーミング トラフィック) か、あるいはお客様がファイアウォール上で対応する復号化ポリシーを割り当てられない場合の暗号化されたトラフィックのような検査ができないものです。このような環境では、Intelligent Traffic Offload により、ファイアウォール リソースの利用が最適化され、継続的なセキュリティ検査が必要なフローのみが検査されます。

データセンター内のメディアや暗号化されたデータなど、ネットワーク トラフィックの最大 80% は、ファイアウォールによる検査が必要ないか、検査ができません。これに対処するために、NVIDIA と Palo Alto Networks の共同ソリューションには、ネットワーク トラフィックを調べて、それぞれのセッションのセキュリティ検査が必要かどうかを判断する、Intelligent Traffic Offload (ITO) サービスが実装されています。

ITO サービスは、トラフィックのあらゆるセッションを調べ、そのセッションにセキュリティ検査が必要かどうかを判断します。そのセッションにはセキュリティ検査が必要ではないとファイアウォールが判断した場合、ITO が BlueField-2 DPU にそのセッションのすべての後続パケットをファイアウォールに送らずに、宛先に直接転送するように指示します。(下図を参照。)

セキュリティ検査が必要なフローだけを調べ、残りを DPU にオフロードすることにより、ファイアウォールとホスト CPU の全体的な負荷が軽減され、セキュリティを犠牲にすることなく性能が向上します。

ITO により、企業や通信事業者、クラウド事業者は、ゼロトラスト環境のあらゆるホストで動作する NGFW でエンドユーザーを保護し、無数のサイバー脅威からエンドユーザーを安全に保ちながら、デジタル トランスフォーメーションを促進できるようになります。

Palo Alto Networks と NVIDIA BlueField DPU の連携により、ITO サービスは、追加のセキュリティ検査を必要としないトラフィックをインテリジェントにオフロードします。

NVIDIA DOCA SDK を使う開発者のエコシステムを拡大

Palo Alto Networks は、(Cloud Native Computing Foundation のプロジェクトの) オープンソースの遠隔手続き呼び出しフレームワークである gRPC と、オープンソース主導のハードウェアアクセラレーション フレームワークである NVIDIA ASAP² によって、BlueField DPU をベースとした NGFW の開発を開始しました。

BlueField と ASAP2 への gRPC インターフェースは現在、NVIDIA DOCA SDK に統合されています。DOCA (データセンター インフラストラクチャ オン チップ アーキテクチャ) は、開発者が BlueField DPU で動作するソフトウェアデファインドかつハードウェアアクセラレーテッドのネットワーク、ストレージ、セキュリティおよび管理アプリケーションを構築することのできるオープン プラットフォームです。

DOCA は、NVIDIA GPU と BlueField DPU を活用したデータセンター インフラストラクチャ アプリケーションとサービスに革命をもたらす、幅広い開発者コミュニティを構築するという、NVIDIA の取り組みの 1 つです。

DOCA エコシステムについての詳しい情報を知るには、NVIDIA の開発者コミュニティにご加入ください。