BLOG

Atténuez les attaques DDoS jusqu'à 300 fois plus importantes dans les environnements cloud : Présentation de BIG-IP VE pour SmartNIC

Miniature de Tom Atkins
Tom Atkins
Publié le 24 juin 2020

Qu’est-ce qu’un SmartNIC et pourquoi pourriez-vous en avoir besoin ?

Conçues à l'origine pour simplement connecter des périphériques de calcul et de stockage à un réseau Ethernet, les cartes d'interface réseau ( ou NIC en abrégé ) ont béni le monde des réseaux au cours des dernières décennies. Évoluant pour suivre le rythme de la technologie moderne, ils sont devenus exponentiellement plus puissants et ont étendu leurs fonctionnalités de base. Alors que les stratégies axées sur le cloud sont de plus en plus entravées par la baisse des performances et la hausse des coûts, la dernière génération, les SmartNIC, semble jouer un rôle essentiel dans la revitalisation des architectures cloud hyperscale. Dans cet article, nous détaillerons comment la nouvelle solution de F5, composée de BIG-IP Virtual Edition et d'un Intel SmartNIC, est capable de protéger les environnements cloud contre les menaces DDoS bien plus importantes qu'une solution uniquement logicielle, à un coût total de possession nettement inférieur.

En hébergeant des composants programmables intégrés tels que des FPGA, des NPU ou des SoC, les SmartNIC sont capables d'exécuter des fonctions réseau spécifiées par l'utilisateur pour le compte des applications et des serveurs auxquels ils sont connectés, ce qui allège la pression sur les ressources du processeur et améliore considérablement les performances. Contrairement à d'autres produits « intelligents » qui peuvent vous permettre de régler à distance la température de votre réfrigérateur depuis un taxi ou de suivre les Kardashian pendant que vous cherchez des petits pois dans le congélateur, les SmartNIC offrent réellement une valeur significative. La capacité de reprogrammation en fonction de l'évolution des besoins contribue à offrir la flexibilité et l'agilité architecturales souhaitées par les organisations déployant des fonctions réseau cloud natives.

Pour les fournisseurs de services et les entreprises qui effectuent la transition vers une infrastructure réseau 5G et des architectures cloud modernes, cela est particulièrement utile : cela permet d'héberger des environnements virtuels sur des serveurs à faible coût basés sur des normes tout en déplaçant des fonctions spécifiques vers une SmartNIC et en augmentant ainsi les performances et en réduisant la latence au cœur et à la périphérie du réseau.

S'exprimant sur les exigences des architectures Multi-Access Edge Computing (MEC), l'analyste industriel Zeus Kerravala est positif quant au potentiel des SmartNIC pour renforcer les réseaux 5G. « Tout ce qui contribue à fournir des applications et des services de pointe aux utilisateurs à grande échelle et avec une faible latence offre aux fournisseurs de services un avantage concurrentiel sur ce marché âprement disputé », a déclaré Kerravala. « L'augmentation des VNF de périphérie avec des SmartNIC pour renforcer les contrôles de sécurité et accélérer les cas d'utilisation de la gestion du trafic tels que NAT ou la mise en forme du trafic pourrait rendre les réseaux 5G plus robustes et plus fiables. »

À ce titre, nous sommes ravis d’annoncer la disponibilité générale de la nouvelle solution BIG-IP VE pour SmartNIC de F5. Composée d'une édition virtuelle BIG-IP AFM intégrée à une carte d'accélération programmable (PAC) Intel FPGA N3000 (une SmartNIC basée sur FPGA), cette solution commune permet aux organisations de faire la transition du matériel F5 vers le logiciel sans sacrifier les hautes performances auxquelles elles sont habituées.

Le premier cas d’utilisation de cette nouvelle solution est centré sur la protection critique contre les attaques DDoS, répondant aux inquiétudes croissantes selon lesquelles une nouvelle génération de menaces DDoS à grande échelle pourrait émerger à mesure que les réseaux 5G sont déployés à l’échelle mondiale. Fort de plus de 10 ans d'expertise en programmation FPGA, F5 a programmé le FPGA intégré au PAC N3000 d'Intel pour bloquer efficacement les attaques DDoS entrantes. Le transfert de la détection et de l'atténuation des attaques DDoS de l'AFM VE vers le SmartNIC libère non seulement les cycles CPU du VE pour d'autres fonctions, mais améliore également considérablement la capacité globale d'atténuation des attaques DDoS. En fait, les premiers tests comparant la solution BIG-IP VE pour SmartNIC à une instance BIG-IP AFM VE uniquement logicielle ont montré que la première est capable de résister à une attaque DDoS jusqu'à 300 fois plus grande, tout en réduisant le coût total de possession d'environ 47 %.

Figure 1 : Déchargement de l'AFM BIG-IP de F5 vers Intel N3000 SmartNIC pour se protéger contre les attaques DDoS

Décrivant comment cette solution conjointe Pour répondre à une lacune actuelle du marché, Ronnie Vasishta, vice-président et directeur général du groupe de solutions programmables d'Intel, a déclaré ce qui suit :

« Les fournisseurs de services qui effectuent la transition vers le cloud le font pour accroître la flexibilité et l'agilité de leur architecture, mais ils ont du mal à fournir les SLA élevés et les connexions à très faible latence attendues d'eux sans utiliser de matériel personnalisé hautes performances. En utilisant le FPGA PAC N3000 d'Intel dans le cadre d'une plate-forme de serveur Intel, cette solution hybride BIG-IP VE pour SmartNIC permet aux fournisseurs d'évoluer rapidement sans sacrifier la puissance et les performances, tout en gardant leur réseau de qualité opérateur sécurisé et facilement disponible.

En tant que pionnier dans le domaine des services application multi-cloud, F5 est le premier à exploiter la technologie SmartNIC pour renforcer sa solution DDoS virtuelle. En appliquant la veille sur les menaces réseau, l'apprentissage automatique, l'analyse par paquets et la liste blanche au sein de SmartNIC, cette solution innovante peut bloquer plus efficacement les attaques réseau et suivre l'évolution des paysages de menaces tout en accélérant votre stratégie axée sur les logiciels. Et pour ceux qui craignent d’ajouter une autre bosse dans le fil, l’inspection et la suppression des paquets malveillants dans la SmartNIC se produisent à la vitesse de la ligne, garantissant ainsi qu’il n’y a aucun impact négatif sur la latence ou l’expérience utilisateur.

Lors de discussions avec Clint Huffaker, architecte de solutions techniques chez WWT, l'un des partenaires mondiaux de F5, Clint a souligné la nécessité d'une solution de cette nature pour soutenir les clients migrant vers le cloud, en déclarant :

« La majorité de nos clients ont deux préoccupations principales lors de la migration vers le cloud : la sécurité et les performances. Nous sommes extrêmement enthousiasmés par cette nouvelle solution et espérons qu'elle nous aidera à répondre à ces deux préoccupations de longue date de nos clients. »

À l’heure actuelle, la solution BIG-IP VE pour SmartNIC est disponible en tant que module complémentaire pour les instances BIG-IP Advanced Firewall Manager VE nouvelles ou existantes. Pour des informations plus détaillées, veuillez regarder cette leçon Lightboard ou consulter cet article DevCentral .

Ressources supplémentaires