ブログ

タイムのNICで

バート・サラーエツのサムネイル
バート・サラーエツ
2020年10月8日公開

1990 年代にデスクトップ コンピューターのケースを取り外すと、最初に目にするものの 1 つがネットワーク インターフェイス カード (NIC) です。これは、コンピューターをイーサネット ケーブルに接続するために使用するコンポーネントです。

信じられないかもしれませんが、この地味な NIC が、分散型サービス拒否 (DDoS) 攻撃の世界的な急増に対抗するために、通信業界とその顧客を支援することになりました。 他にもいろいろあります。

最近の NIC は、トラフィックを転送する以上の機能を備えています。 現在 SmartNIC として知られるこの特殊なハードウェアは、通信事業者の最大の課題の 1 つである、CPU (中央処理装置) によって制御される業界標準のサーバーに依存する仮想化アーキテクチャへの移行の解決に役立ちます。 クラウド内のネットワーク機能をサポートするように設計されたこれらの仮想マシンは、多数のデバイスが同時にネットワーク リソースを要求する大規模な DDoS 攻撃に対処するには不十分な場合がよくあります。 CPU はすぐに圧倒されてしまいます。

現在、これらの CPU にはこれまで以上に強力な保護が必要です。 F5 Labs による最近のセキュリティ インシデント レポート (SIRT) データの分析によると、1 月に報告されたすべての顧客インシデントのうち、DDoS 攻撃が占める割合はわずか 10 分の 1 でした。 3月までに、その数は事件数の3倍にまで増加した。 さらに、昨年 F5 SIRT に報告された DDoS 攻撃の 4.2% が Web アプリを標的としていたことが判明しました。 これは2020年には6倍の26%に増加しました。 こうした傾向を反映する研究は他にも数多くあり、なぜこのようなことが起きているのかは不思議ではありません。 リモートワークや人々がオンラインで過ごす時間の増加により、リスク レベルと攻撃対象領域が大幅に増加しました。

自分自身を保護する方法の 1 つは、DDoS 攻撃を検出して軽減するように特別に設計された専用キットを仮想ネットワークの前に置くことです。 これはまだ実行可能なオプションですが、完全な仮想ネットワークを選択する場合のコスト上の利点の一部は減少します。 専用アプライアンスは、ネットワーク遅延を減らすために通信事業者が現在展開しているコンパクトなエッジ コンピューティング センターの貴重なスペースも占有することになります。

ハードウェアが手助け

F5 では、ボリューム型 DDoS 緩和機能を、フィールド プログラマブル ゲート アレイ (FPGA) とも呼ばれる専用プロセッサを搭載した SmartNIC に移植することで、仮想化とクラウド中心化が進む世界で大きな違いを生み出すことができることに気付きました。 重要なのは、専用プロセッサが、CPU 上で実行される従来のソフトウェア実装よりもはるかに高速に、多くの重い処理を処理し、着信トラフィックをフィルタリングできることです。

この洞察が、当社がIntel の FPGA プログラマブル アクセラレーション カード (N3000 SmartNIC) 専用のアプリケーションを開発した最初のソフトウェア会社になるきっかけとなりました。 世界有数のサービスプロバイダーによって検証およびテストされています。

私たちのビジョンを実現するために、私たちは、ハードウェア アクセラレーションを使用してクラウド環境での受信 DDoS 攻撃を効率的にブロックするように設計されたBIG-IP Advanced Firewall Manager (AFM) Virtual Edition ソリューションをサポートするために、自社のハードウェアで FPGA をプログラムするのと同じ方法で Intel SmartNIC FPGA をプログラムしました。

このソリューションでは、SmartNIC を使用してネットワーク脅威インテリジェンス、パケットベースの分析、許可リスト、その他の DDoS 緩和対策を処理することで、CPU サイクルを他の機能に自由に使用できるようになります。 これにより、ネットワークは通常どおり稼働し続けることができます。 さらに良いことに、SmartNIC は非常に高速です。 SmartNIC 内の悪意のあるパケットの検査と削除はライン レートで行われるため、レイテンシとユーザー エクスペリエンスの両方に影響はありません。 実際、DDoS 対策などの特定の機能を SmartNIC に移行すると、コアネットワーク エッジの両方でパフォーマンスが向上し、レイテンシが低減されます。

これは漸進的な利益の達成に関するものではなく、SmartNIC を活用することによるメリットは潜在的に非常に大きいものです。 たとえば、F5 BIG-IP VE ソリューションは、ソフトウェアのみの実装よりも最大 300 倍の規模の DDoS 攻撃に対処できると同時に、総所有コストを約 47% 削減します。

SmartNIC ベースのソリューションは、キャリアグレードのネットワークを安全かつ容易に利用できる状態に保つことで、オペレーターが要求の厳しいサービスレベル契約を満たし、高価で高性能なカスタム ハードウェアに頼ることなく、超低遅延の接続を提供できることを意味します。 

同時に、FPGA は必要に応じて再プログラムできるため、通信事業者はアーキテクチャの柔軟性と俊敏性を高めることができ、標準サーバーはクラウドネイティブ ネットワーク機能の処理というコア ジョブのみに集中できるようになります。

優位に立つ防御

通信業界はますます複雑化するビジネスと消費者の要求に急速に適応しており、Intel の SmartNIC はまさにタイムリーに登場したようです。 

従来の通信ネットワークでは、すべてが集中管理された大規模なデータセンターがいくつか存在していた可能性があります。 DDoS 攻撃から保護するために、これらの前にいくつかの大きなボックスを配置することができます。 それは昔の話です。 

最近では、コンピューティングがネットワーク上でより広く分散されるようになったため、物理的な専用アプライアンスは時代遅れになりつつあります。 これには、オンライン ゲームや仮想現実などの要求の厳しいアプリやサービスの応答性を向上させるために、通信事業者がインフラストラクチャのエッジにデータ センターを展開することが含まれます。 

エッジ コンピューティングが普及するにつれて、SmartNIC は分散ネットワークの主要な防御ラインの 1 つとして特に重要な役割を果たします。 また、F5 ではすでに、複数の大手通信事業者と、DDoS 軽減システムを専用ハードウェアからこのテクノロジーに移行することについて話し合っています。

SmartNIC の将来は確かに明るく見えます。SmartNIC は、クラウド ネイティブ ネットワークのセキュリティとパフォーマンスを強化する革新的でコスト効率の高い方法を提供していることは明らかです。 F5 の画期的な DDoS 実装は、このことの強力な証拠であり、他の多くのユースケースもこれに続く可能性があります。

信頼できる古いネットワーク インターフェイス カードには、まだ十分な寿命があります。 実際、新しくてよりスマートな化身のおかげで、彼らの最高の(そして最も生産的な)日々はまだ来ていません。 このスペースを監視してください。

もっと詳しく知りたいですか? オンデマンド ウェビナー (Intel SmartNIC を使用した仮想化インフラストラクチャでの DDoS 軽減) をご覧ください