クラウド環境で最大 300 倍の規模の DDoS 攻撃を軽減: SmartNIC 向け BIG-IP VE のご紹介
SmartNIC とは何ですか? なぜ必要なのでしょうか?
ネットワーク インターフェイス カード (略して NIC ) は、もともとコンピューティング デバイスとストレージ デバイスをイーサネット ネットワークに接続するためだけに設計されましたが、ここ数十年にわたってネットワークの世界に貢献してきました。 現代のテクノロジーに追いつくために進化し、飛躍的に強力になり、コア機能が拡張されました。 また、クラウドファースト戦略はパフォーマンスの低下とコストの上昇によってますます妨げられるようになり、最新世代の SmartNIC はハイパースケール クラウド アーキテクチャの活性化に重要な役割を果たすことが期待されています。 この記事では、BIG-IP Virtual Edition と Intel SmartNIC を組み合わせた F5 の新しいソリューションが、ソフトウェアのみのソリューションよりもはるかに大きな DDoS 脅威からクラウド環境を、大幅に低い総所有コストで保護できる仕組みについて詳しく説明します。
SmartNIC は、FPGA、NPU、SoC などのオンボードのプログラム可能なコンポーネントをホストすることで、接続されているapplicationsやサーバーに代わってユーザー指定のネットワーク機能を実行できるため、CPU リソースへの負担が軽減され、パフォーマンスが大幅に向上します。 タクシーから冷蔵庫の温度を遠隔操作したり、冷凍庫の中の豆を探しながらカーダシアン家のお騒がせセレブライフを楽しんだりできる他の「スマート」製品とは異なり、SmartNIC は実際に有意義な価値を提供します。 ニーズの変化に応じて再プログラムできる機能により、クラウドネイティブ ネットワーク機能を導入する組織が求めるアーキテクチャの柔軟性と俊敏性が実現します。
5Gネットワーク インフラストラクチャと最新のクラウド アーキテクチャに移行するサービス プロバイダーや企業にとって、これは特に便利です。特定の機能を SmartNIC に移動し、仮想環境を低コストの標準ベースのサーバーでホストすることで、コアとネットワーク エッジでパフォーマンスを向上させ、レイテンシを削減できます。
業界アナリストの Zeus Kerravala 氏は、マルチアクセスエッジ コンピューティング(MEC) アーキテクチャの要件について、SmartNIC が 5G ネットワークを強化する可能性について前向きな見方を示しています。 「エッジapplicationsとサービスを大規模かつ低遅延でユーザーに提供することに役立つものはすべて、この激しい競争の市場においてサービスプロバイダーに競争上の優位性を提供します」とケラバラ氏は述べた。 「エッジ VNF を SmartNIC で拡張してセキュリティ制御を強化し、NAT やトラフィック シェーピングなどのトラフィック管理ユースケースを加速すると、5G ネットワークの堅牢性と信頼性が向上する可能性があります。」
そのため、F5 の新しい BIG-IP VE for SmartNICs ソリューションの一般提供を開始できることを嬉しく思います。 この共同ソリューションは、Intel FPGA プログラマブル アクセラレーション カード (PAC) N3000 (FPGA ベースの SmartNIC) と統合された BIG-IP AFM Virtual Edition で構成されており、組織は、慣れ親しんだ高いパフォーマンスを犠牲にすることなく、F5 ハードウェアからソフトウェアに移行できるようになります。
この新しいソリューションの最初の使用例は、重要な DDoS 保護を中心にしており、5G ネットワークが世界的に展開されるにつれて、新世代のハイパースケール DDoS 脅威が出現する可能性があるという懸念の高まりに対処します。 F5 は 10 年以上にわたる FPGA プログラミングの専門知識を応用し、Intel の PAC N3000に組み込まれた FPGA をプログラムして、着信する DDoS 攻撃を効率的にブロックします。 DDoS 攻撃の検出と緩和を AFM VE から SmartNIC にオフロードすると、VE CPU サイクルが他の機能に解放されるだけでなく、全体的な DDoS 緩和能力も大幅に向上します。 実際、BIG-IP VE for SmartNICs ソリューションとソフトウェアのみの BIG-IP AFM VE インスタンスを比較した初期テストでは、前者は最大 300 倍の規模の DDoS 攻撃に耐えることができ、総所有コストを約 47% 削減できることが示されました。
この共同ソリューションがどのように 市場の現在のギャップに対処するために、インテルのプログラマブル ソリューション グループの副社長兼ゼネラル マネージャーであるロニー ヴァシシュタ氏は次のように述べています。
「クラウドに移行するサービス プロバイダーは、アーキテクチャの柔軟性と俊敏性を高めるために移行していますが、高性能のカスタム ハードウェアを使用せずに、期待される高い SLA と超低遅延の接続を提供することは困難です。 このハイブリッド BIG-IP VE for SmartNICs ソリューションは、Intel の FPGA PAC N3000 を Intel サーバー プラットフォーム基盤の一部として活用し、電力とパフォーマンスを犠牲にすることなくプロバイダーが迅速に行動できるようにしながら、キャリアグレードのネットワークを安全かつ容易に利用できる状態に保ちます。」
マルチクラウドapplicationサービス分野の先駆者である F5 は、SmartNIC テクノロジーを活用して仮想 DDoS ソリューションを強化した最初の企業です。 この革新的なソリューションは、ネットワーク脅威インテリジェンス、機械学習、パケットベースの分析、および SmartNIC 内の許可リストを適用することで、ネットワーク攻撃をより効率的にブロックし、進化する脅威の状況に対応しながら、ソフトウェアファースト戦略を加速することができます。 さらに、別の Bump-In-The-Wire を追加することを懸念している方のために、SmartNIC 内の悪意のあるパケットの検査と削除はライン レートで行われるため、遅延やユーザー エクスペリエンスに悪影響が及ぶことはありません。
F5 のグローバル チャネル パートナーの 1 つである WWT のテクニカル ソリューション アーキテクトである Clint Huffaker 氏との話し合いの中で、Clint 氏は、クラウドに移行する顧客をサポートするためにこの種のソリューションが必要であることを強調し、次のように述べています。
「当社の顧客の大多数は、クラウドへの移行時にセキュリティとパフォーマンスという 2 つの主な懸念を抱いています。 私たちはこの新しいソリューションに非常に期待しており、長年にわたる顧客の懸念の両方に対処するのに役立つことを期待しています。 」
現在、BIG-IP VE for SmartNICs ソリューションは、新規または既存の BIG-IP Advanced Firewall Manager VE インスタンスへのアドオンとして利用できます。 詳しい情報については、このLightboard Lessonをご覧いただくか、このDevCentral の記事をご覧ください。