在时间的 NIC 中
如果您在 20 世纪 90 年代拆下台式计算机的外壳,首先会看到的东西之一就是网络接口卡 (NIC) - 用于将您的机器插入以太网电缆的组件。
尽管听起来不太可能,但不起眼的 NIC 现在却准备帮助电信行业及其客户抵御全球范围内激增的分布式拒绝服务 (DDoS) 攻击。 除此之外。
现代 NIC 的功能远不止直接流量。 这种专业硬件现在被称为 SmartNIC,它可以帮助解决电信公司面临的最大挑战之一:转向依赖于由 CPU(中央处理单元)控制的行业标准服务器的虚拟化架构。 这些虚拟机旨在支持云中的网络功能,通常无法应对大量设备同时请求网络资源的大型 DDoS 攻击。 CPU 很快就会不堪重负。
现在,这些 CPU 比以往更需要保护。 根据 F5 实验室最近对安全事件报告 (SIRT) 数据的分析,DDoS 攻击仅占 1 月份所有报告的客户事件的十分之一。 到三月份,此类事件数量已达到所有事件数量的三倍。 此外,去年向 F5 SIRT 报告的 DDoS 攻击中有 4.2% 被确定为针对 Web 应用程序。 2020 年,这一比例增长了6 倍,达到 26%。 还有许多其他研究呼应了这些趋势,而这种趋势发生的原因也并不神秘。 远程工作和人们在线上花费的更多时间大大增加了风险级别和可用的攻击面。
保护自己的一种方法是在虚拟网络前面放置专门用于检测和减轻 DDoS 攻击的专用设备。 虽然这仍然是一个可行的选择,但它确实降低了实现完整虚拟网络的一些成本优势。 专用设备还会占用电信公司为减少网络延迟而推出的紧凑型边缘计算的宝贵空间。
硬件助力
在 F5,我们意识到将容量 DDoS 缓解功能移植到配备专用处理器(又名现场可编程门阵列 (FPGA))的 SmartNIC 可以在更加虚拟化和以云为中心的世界中发挥巨大作用。 至关重要的是,专用处理器能够处理大部分繁重的工作,并且比在 CPU 上运行的传统软件实现更快地过滤传入的流量。
正是这种洞察力促使我们成为第一家专门为英特尔 FPGA 可编程加速卡(N3000 SmartNIC)创建应用的软件公司。 它已经过一些世界领先的服务提供商的验证和测试。
为了将我们的愿景变成现实,我们对英特尔 SmartNIC FPGA 的编程方式与我们在自己的硬件中编程 FPGA 的方式相同,以支持BIG-IP 高级防火墙管理器 (AFM)虚拟版解决方案,该解决方案旨在使用硬件加速有效阻止云环境中传入的 DDoS 攻击。
通过使用 SmartNIC 处理网络威胁情报、基于数据包的分析、允许列表和其他 DDoS 缓解措施,该解决方案可以让 CPU 周期自由地用于其他功能。 这使得网络能够保持正常运行。 更好的是,SmartNIC 速度极快。 SmartNIC 内的恶意数据包的检查和删除以线速率进行,这意味着延迟和用户体验都不会受到影响。 事实上,将特定功能(例如 DDoS 对策)转移到 SmartNIC 可以提高核心和网络边缘的性能并降低延迟。
这也不是为了实现增量收益,利用 SmartNIC 带来的好处可能是巨大的。 例如,F5 BIG-IP VE 解决方案可以处理比纯软件实施高达 300 倍的 DDoS 攻击,同时将总体拥有成本降低约 47%。
通过保持运营商级网络的安全性和随时可用,基于 SmartNIC 的解决方案意味着运营商可以满足严格的服务水平协议并提供超低延迟连接,而无需依赖昂贵的高性能定制硬件。
同时,FPGA 可以重新编程以适应需要,为电信公司提供更大的架构灵活性和敏捷性,同时也允许标准服务器专注于处理云原生网络功能的核心工作。
优势防守
随着电信行业迅速适应日益复杂的商业和消费者需求,英特尔的 SmartNIC 似乎应运而生。
在传统电信网络中,可能存在几个大型数据中心,所有内容都集中化。 您可以在它们前面部署几个大盒子,以保护它们免受 DDoS 攻击。 那是当时的情况。
如今,随着计算在网络中的分布越来越广泛,物理专用设备正在变得过时。 这包括电信公司在其基础设施边缘部署数据中心,以使在线游戏和虚拟现实等要求苛刻的应用和服务能够做出更好的响应。
随着边缘计算的普及,SmartNIC 将发挥尤为重要的作用,成为分布式网络的主要防线之一。 而且,在 F5,我们已经与几家主要运营商商谈将他们的 DDoS 缓解系统从专用硬件迁移到该技术。
SmartNIC 的前景无疑是光明的,它显然提供了一种创新且经济高效的方式来增强云原生网络的安全性和性能。 F5 的突破性 DDoS 实施就是有力的证据,并且许多其他用例也可能会随之而来。
那些可靠的旧网络接口卡仍然有充足的使用寿命! 事实上,由于他们有了新的、更智能的化身,他们最好的(也是最富有成效的)日子尚未到来。 请关注此空间。