DDoS-Angriffe mit einer bis zu 300-fachen Stärke in Cloud-Umgebungen abschwächen: Einführung von BIG-IP VE für SmartNICs
Was ist eine SmartNIC und warum benötigen Sie möglicherweise eine?
Netzwerkschnittstellenkarten (Network Interface Cards, kurz NICs ) wurden ursprünglich nur für den Anschluss von Computer- und Speichergeräten an ein Ethernet-Netzwerk entwickelt und erfreuen sich seit Jahrzehnten großer Beliebtheit in der Netzwerkwelt. Um mit der modernen Technologie Schritt zu halten, haben sie sich weiterentwickelt und ihre Kernfunktionalität wurde exponentiell leistungsfähiger und erweitert. Und da Cloud-First-Strategien zunehmend durch Leistungseinbußen und steigende Kosten behindert werden, scheint die neueste Generation – SmartNICs – eine entscheidende Rolle bei der Revitalisierung von Hyperscale-Cloud-Architekturen zu spielen. In diesem Artikel erläutern wir im Detail, wie die neue Lösung von F5 – bestehend aus BIG-IP Virtual Edition und einem Intel SmartNIC – Cloud-Umgebungen vor DDoS-Bedrohungen schützen kann, die weitaus größer sind als eine reine Softwarelösung – und das bei deutlich geringeren Gesamtbetriebskosten.
Durch die Bereitstellung von integrierten programmierbaren Komponenten wie FPGAs, NPUs oder SoCs können SmartNICs benutzerspezifische Netzwerkfunktionen für die Applications und Server ausführen, mit denen sie verbunden sind. Dies verringert die Belastung der CPU-Ressourcen und verbessert die Leistung erheblich. Im Gegensatz zu anderen „intelligenten“ Produkten, mit denen Sie beispielsweise die Temperatur Ihres Kühlschranks vom Taxi aus ferngesteuert regeln oder mit den Kardashians Schritt halten können, während Sie im Gefrierschrank nach Erbsen suchen, bieten SmartNICs tatsächlich einen echten Mehrwert. Die Möglichkeit zur Neuprogrammierung bei veränderten Anforderungen trägt dazu bei, die architektonische Flexibilität und Agilität zu gewährleisten, die sich Unternehmen wünschen, die Cloud-native Netzwerkfunktionen bereitstellen.
Dies ist besonders nützlich für Dienstanbieter und Unternehmen, die auf eine 5G- Netzwerkinfrastruktur und moderne Cloud-Architekturen umsteigen, da virtuelle Umgebungen auf kostengünstigen, standardbasierten Servern gehostet werden können, während bestimmte Funktionen auf eine SmartNIC verschoben werden. Dadurch wird die Leistung gesteigert und die Latenz im Kern und am Netzwerkrand verringert.
Branchenanalyst Zeus Kerravala spricht über die Anforderungen von Multi-Access Edge-Computing (MEC)-Architekturen und ist zuversichtlich, dass SmartNICs das Potenzial haben, 5G-Netzwerke zu stärken. „Alles, was dazu beiträgt, Edge Applications und -Dienste in großem Maßstab und mit geringer Latenz an Benutzer bereitzustellen, verschafft Dienstanbietern einen Wettbewerbsvorteil in diesem hart umkämpften Markt“, sagte Kerravala. „Die Erweiterung von Edge-VNFs mit SmartNICs zur Stärkung der Sicherheitskontrollen und zur Beschleunigung von Anwendungsfällen des Verkehrsmanagements wie NAT oder Traffic-Shaping könnte 5G-Netzwerke robuster und zuverlässiger machen.“
Daher freuen wir uns, die allgemeine Verfügbarkeit der neuen BIG-IP VE-Lösung für SmartNICs von F5 bekannt zu geben. Diese gemeinsame Lösung besteht aus einer BIG-IP AFM Virtual Edition, die mit einer Intel FPGA Programmable Acceleration Card (PAC) N3000 (einer FPGA-basierten SmartNIC) integriert ist, und ermöglicht Unternehmen die Umstellung von F5-Hardware auf Software, ohne auf die gewohnt hohe Leistung verzichten zu müssen.
Der erste Anwendungsfall für diese neue Lösung dreht sich um kritischen DDoS-Schutz und geht auf die wachsenden Bedenken ein, dass mit der weltweiten Einführung von 5G-Netzen eine neue Generation hyperskaliger DDoS-Bedrohungen entstehen könnte. Mithilfe von mehr als 10 Jahren Erfahrung in der FPGA-Programmierung hat F5 das eingebettete FPGA im PAC N3000 von Intel so programmiert, dass eingehende DDoS-Angriffe effizient blockiert werden. Durch die Auslagerung der Erkennung und Abwehr von DDoS-Angriffen von AFM VE auf SmartNIC werden nicht nur VE-CPU-Zyklen für andere Funktionen freigegeben, sondern auch die Gesamtkapazität zur Abwehr von DDoS-Angriffen wird erheblich verbessert. Tatsächlich haben erste Tests, bei denen die BIG-IP VE-Lösung für SmartNICs mit einer reinen Software-Instanz von BIG-IP AFM VE verglichen wurde, gezeigt, dass erstere einem bis zu 300-mal stärkeren DDoS-Angriff standhalten kann – und dabei die Gesamtbetriebskosten um etwa 47 % senkt.
Beschreibung, wie diese gemeinsame Lösung Ronnie Vasishta, VP & GM der Programmable Solutions Group von Intel, äußerte sich wie folgt dazu, dass sich das Unternehmen mit der aktuellen Marktlücke befasst:
„Dienstanbieter, die auf die Cloud umsteigen, tun dies, um die Flexibilität und Agilität ihrer Architektur zu erhöhen. Ohne den Einsatz leistungsstarker, kundenspezifischer Hardware fällt es ihnen jedoch schwer, die hohen SLAs und Verbindungen mit extrem niedriger Latenz bereitzustellen, die von ihnen erwartet werden. Diese hybride BIG-IP VE-Lösung für SmartNICs nutzt Intels FPGA PAC N3000 als Teil einer Intel-Serverplattform und ermöglicht es Anbietern, schnell zu agieren, ohne dabei an Leistung und Performance einzubüßen – und gleichzeitig ihr Carrier-Grade-Netzwerk sicher und jederzeit verfügbar zu halten.“
Als Pionier im Bereich Multi-Cloud Application nutzt F5 als erster Anbieter die SmartNIC-Technologie, um seine virtuelle DDoS-Lösung zu stärken. Durch die Anwendung von Netzwerkbedrohungsinformationen, maschinellem Lernen, paketbasierter Analyse und Zulassungslisten innerhalb des SmartNIC kann diese innovative Lösung Netzwerkangriffe effizienter blockieren und mit sich entwickelnden Bedrohungslandschaften Schritt halten und gleichzeitig Ihre Software-First-Strategie beschleunigen. Und für diejenigen, die Bedenken haben, noch ein weiteres Hindernis in der Leitung einzuführen: Die Überprüfung und Entfernung bösartiger Pakete innerhalb des SmartNIC erfolgt mit Leitungsgeschwindigkeit. So wird sichergestellt, dass es keine nachteiligen Auswirkungen auf die Latenz oder das Benutzererlebnis gibt.
In Gesprächen mit Clint Huffaker, Technical Solutions Architect bei WWT – einem der globalen Vertriebspartner von F5 – betonte Huffaker die Notwendigkeit einer Lösung dieser Art, um Kunden bei der Migration in die Cloud zu unterstützen, und erklärte:
„ Die Mehrheit unserer Kunden hat bei der Migration in die Cloud zwei Hauptanliegen: Sicherheit und Leistung. Wir sind von dieser neuen Lösung äußerst begeistert und erwarten, dass sie uns dabei helfen wird, diese beiden seit langem bestehenden Kundenanliegen auszuräumen. “
Derzeit ist die BIG-IP VE-Lösung für SmartNICs als Add-on für neue oder bestehende BIG-IP Advanced Firewall Manager VE-Instanzen verfügbar. Für ausführlichere Informationen schauen Sie sich bitte diese Lightboard-Lektion an oder lesen Sie diesen DevCentral-Artikel .