Produktegenskaber

Sikkerhedsapparater fortsætter med at udvikle sig

Den næste generation af netværkssikkerhedsimplementeringer fortsætter med at udvikle sig og gennemgår et arkitektonisk skift fra backup til inline implementeringer.Med starten på 5G-implementeringer og den eksponentielle stigning i antallet af tilsluttede enheder, er der et presserende behov for organisationer at revidere og ændre den arkitektur, der bruges til sikkerhedsimplementeringer.5G-gennemstrømnings- og latenskrav transformerer adgangsnetværk, samtidig med at det kræver yderligere sikkerhed.Denne udvikling driver følgende ændringer i netværkssikkerheden.

1. højere L2 (MACSec) og L3 sikkerhedsgennemløb.

2. behovet for politikbaseret analyse på kant/adgangssiden

3. applikationsbaseret sikkerhed, der kræver højere gennemløb og forbindelse.

4. brugen af ​​kunstig intelligens og maskinlæring til forudsigende analyser og malware-identifikation

5. implementering af nye kryptografiske algoritmer, der driver udviklingen af ​​post-kvantekryptografi (QPC).

Sammen med ovenstående krav bliver netværksteknologier såsom SD-WAN og 5G-UPF i stigende grad vedtaget, hvilket kræver implementering af netværksslicing, flere VPN-kanaler og dybere pakkeklassificering.I den nuværende generation af netværkssikkerhedsimplementeringer håndteres det meste af applikationssikkerheden ved hjælp af software, der kører på CPU'en.Selvom CPU-ydelsen er steget med hensyn til antallet af kerner og processorkraft, kan de stigende gennemløbskrav stadig ikke løses med en ren softwareimplementering.

Politikbaserede applikationssikkerhedskrav ændrer sig konstant, så de fleste tilgængelige hyldeløsninger kan kun håndtere et fast sæt trafikheadere og krypteringsprotokoller.På grund af disse begrænsninger af software og faste ASIC-baserede implementeringer, giver programmerbar og fleksibel hardware den perfekte løsning til implementering af policy-baseret applikationssikkerhed og løser latensudfordringerne for andre programmerbare NPU-baserede arkitekturer.

Den fleksible SoC har en fuldt hærdet netværksgrænseflade, kryptografisk IP og programmerbar logik og hukommelse til at implementere millioner af politikregler gennem stateful applikationsbehandling såsom TLS og søgemaskiner til regulære udtryk.

Adaptive enheder er det ideelle valg

Brug af Xilinx-enheder i næste generations sikkerhedsenheder løser ikke kun problemer med gennemstrømning og latens, men andre fordele inkluderer mulighed for nye teknologier såsom maskinlæringsmodeller, Secure Access Service Edge (SASE) og post-kvantekryptering.

Xilinx-enheder giver den ideelle platform til hardwareacceleration for disse teknologier, da ydeevnekrav ikke kan opfyldes med implementeringer, der kun er software.Xilinx udvikler og opgraderer løbende IP, værktøjer, software og referencedesign til eksisterende og næste generations netværkssikkerhedsløsninger.

Derudover tilbyder Xilinx-enheder brancheførende hukommelsesarkitekturer med flowklassificering soft search IP, hvilket gør dem til det bedste valg til netværkssikkerhed og firewall-applikationer.

Brug af FPGA'er som trafikprocessorer til netværkssikkerhed

Trafik til og fra sikkerhedsenheder (firewalls) er krypteret på flere niveauer, og L2-kryptering/dekryptering (MACSec) behandles ved linklagets (L2) netværksnoder (switches og routere).Behandling ud over L2 (MAC-laget) omfatter typisk dybere parsing, L3-tunneldekryptering (IPSec) og krypteret SSL-trafik med TCP/UDP-trafik.Pakkebehandling involverer parsing og klassificering af indgående pakker og behandling af store trafikmængder (1-20M) med høj gennemstrømning (25-400Gb/s).

På grund af det store antal computerressourcer (kerner), der kræves, kan NPU'er bruges til relativt højere hastighedspakkebehandling, men lav latens, højtydende skalerbar trafikbehandling er ikke mulig, fordi trafikken behandles ved hjælp af MIPS/RISC-kerner og planlægning af sådanne kerner baseret på deres tilgængelighed er vanskelig.Brugen af ​​FPGA-baserede sikkerhedsapparater kan effektivt eliminere disse begrænsninger af CPU- og NPU-baserede arkitekturer.