Productkenmerken

Beveiligingsapparatuur blijft evolueren

De volgende generatie netwerkbeveiligingsimplementaties blijft zich ontwikkelen en ondergaat een architecturale verschuiving van back-up naar inline-implementaties.Met de start van 5G-implementaties en de exponentiële toename van het aantal verbonden apparaten is er een dringende behoefte aan organisaties om de architectuur die wordt gebruikt voor beveiligingsimplementaties te herzien en aan te passen.De vereisten voor doorvoer en latentie van 5G transformeren toegangsnetwerken en vereisen tegelijkertijd extra beveiliging.Deze evolutie leidt tot de volgende veranderingen in netwerkbeveiliging.

1. hogere L2- (MACSec) en L3-beveiligingsdoorvoer.

2. de behoefte aan beleidsgebaseerde analyses aan de edge/access-kant

3. applicatiegebaseerde beveiliging die een hogere doorvoer en connectiviteit vereist.

4. het gebruik van AI en machinaal leren voor voorspellende analyses en identificatie van malware

5. de implementatie van nieuwe cryptografische algoritmen die de ontwikkeling van post-kwantumcryptografie (QPC) aandrijven.

Naast de bovenstaande vereisten worden netwerktechnologieën zoals SD-WAN en 5G-UPF steeds vaker toegepast, wat de implementatie van network slicing, meer VPN-kanalen en een diepere pakketclassificatie vereist.In de huidige generatie netwerkbeveiligingsimplementaties wordt de meeste applicatiebeveiliging afgehandeld met behulp van software die op de CPU draait.Hoewel de CPU-prestaties zijn toegenomen in termen van het aantal cores en verwerkingskracht, kunnen de toenemende doorvoervereisten nog steeds niet worden opgelost door een pure software-implementatie.

Op beleid gebaseerde beveiligingsvereisten voor applicaties veranderen voortdurend, dus de meeste beschikbare kant-en-klare oplossingen kunnen alleen een vaste set verkeersheaders en encryptieprotocollen verwerken.Vanwege deze beperkingen van software en vaste ASIC-gebaseerde implementaties biedt programmeerbare en flexibele hardware de perfecte oplossing voor het implementeren van op beleid gebaseerde applicatiebeveiliging en lost het de latentie-uitdagingen van andere programmeerbare NPU-gebaseerde architecturen op.

De flexibele SoC heeft een volledig geharde netwerkinterface, cryptografisch IP-adres en programmeerbare logica en geheugen om miljoenen beleidsregels te implementeren via stateful applicatieverwerking zoals TLS en reguliere expressie-zoekmachines.

Adaptieve apparaten zijn de ideale keuze

Het gebruik van Xilinx-apparaten in beveiligingsapparaten van de volgende generatie lost niet alleen doorvoer- en latentieproblemen op, maar andere voordelen zijn onder meer het mogelijk maken van nieuwe technologieën zoals machine learning-modellen, Secure Access Service Edge (SASE) en post-kwantum-encryptie.

Xilinx-apparaten bieden het ideale platform voor hardwareversnelling voor deze technologieën, omdat aan de prestatievereisten niet kan worden voldaan met implementaties van alleen software.Xilinx is voortdurend bezig met het ontwikkelen en upgraden van IP, tools, software en referentieontwerpen voor bestaande en volgende generatie netwerkbeveiligingsoplossingen.

Bovendien bieden Xilinx-apparaten toonaangevende geheugenarchitecturen met flowclassificatie soft search IP, waardoor ze de beste keuze zijn voor netwerkbeveiliging en firewalltoepassingen.

FPGA's gebruiken als verkeersprocessors voor netwerkbeveiliging

Verkeer van en naar beveiligingsapparaten (firewalls) wordt op meerdere niveaus gecodeerd, en L2-codering/decodering (MACSec) wordt verwerkt op de link layer (L2) netwerkknooppunten (switches en routers).Verwerking buiten de L2 (MAC-laag) omvat doorgaans diepere parsering, L3-tunneldecodering (IPSec) en gecodeerd SSL-verkeer met TCP/UDP-verkeer.Pakketverwerking omvat het parseren en classificeren van inkomende pakketten en de verwerking van grote verkeersvolumes (1-20M) met een hoge doorvoer (25-400Gb/s).

Vanwege het grote aantal benodigde computerbronnen (cores) kunnen NPU's worden gebruikt voor pakketverwerking met relatief hogere snelheid, maar schaalbare verkeersverwerking met lage latentie en hoge prestaties is niet mogelijk omdat verkeer wordt verwerkt met behulp van MIPS/RISC-kernen en het plannen van dergelijke kernen. op basis van hun beschikbaarheid is moeilijk.Het gebruik van op FPGA gebaseerde beveiligingsapparatuur kan deze beperkingen van CPU- en NPU-gebaseerde architecturen effectief elimineren.