Des firewalls virtuels dopés aux DPU chez Palo Alto Networks

le 19/07/2021, par Serge LEBLAL, Sécurité, 510 mots

L'équipementier Palo Alto Networks commercialise une famille de pare-feu virtuels de nouvelle génération conçus spécifiquement pour être utilisés avec les DPU BlueField de Nvidia.

Des firewalls virtuels dopés aux DPU chez Palo Alto Networks

Annoncé fin 2019, le DPU BlueField-2 de Nvidia - issu du rachat de Mellanox - est conçu pour épauler les processeurs des serveurs en assurant le traitement des charges de travail réseau et sécurité. Palo Alto Networks indique que cela permet à ses pare-feu VM-Series, qui fonctionnent sur des serveurs standards, d'atteindre des débits "proches de 100 Gb/s" dans la plupart des cas d'utilisation, soit une amélioration d'un facteur 5 par rapport à l'exécution du même pare-feu sur un CPU seul. Rappelons que les Bluefield-2 reposent sur une architecture ARM Cortex-A72 (huit unités) et disposent des circuits d'accélération optimisés pour des tâches de sécuritéCette offre répond directement aux défis auxquels sont confrontés les entreprises et les opérateurs de réseau lorsqu'ils mettent en place des centres de données de type cloud, a déclaré dans un communiqué de presse Muninder Singh Sambi, SVP en charge des produits chez Palo Alto Networks.

L'utilisation des DPU et des SmartNIC pour accélérer les pare-feu n'a toutefois rien de nouveau chez des acteurs comme Intel, Nvidia ou Pliops. Les DPU et les SmartNIC sont utilisés dans les appareils de sécurité depuis des années, ce qui change, c'est que les DPU servent également sur des environnements virtuels plutôt que sur une simple appliance. Avec son projet Monterey, VMware est déjà bien engagé dans ce domaine en supportant les DPU d'Intel et Nvidia. En utilisant les Bluefiled-2, la série VM de Palo Alto Networks peut utiliser des serveurs de centres de données équipés de DPU pour s'adapter à des modèles de trafic variables.



Avec ses firewalls de la série VM, Palo Alto Networks propose une technologie extensible et pilotée par API avec les principaux fournisseurs SmartNIC et DPU. (Crédit Palo Alto Networks)

Mieux analyser les flux

La plate-forme fonctionne en déchargeant les processus de filtrage et de transfert des paquets vers l'unité de traitement des données, à partir de laquelle elle analyse, classe et oriente les flux de trafic en fonction de divers critères de politique. Cela libère les ressources du processeur pour les fonctions de sécurité, tout en permettant aux utilisateurs d'éliminer le trafic qui ne bénéficiera pas de l'inspection, à l'aide d'une fonction que Palo Alto Networks appelle le déchargement intelligent du trafic (ITO).

« Jusqu'à 80 % du trafic réseau, y compris les médias et les données cryptées dans un centre de données, n'ont pas besoin d'être - ou ne peuvent pas être - inspectés par un pare-feu », a écrit Ash Bhalgat, directeur principal du cloud chez Nvidia, dans un billet de blog. Si, par exemple, le pare-feu détecte du trafic média chiffré ou en streaming, la plate-forme demande au DPU de transférer tous les paquets suivants vers leur destination, libérant ainsi des cycles de CPU pour un trafic plus prioritaire « Dans de tels environnements, le délestage intelligent du trafic garantira que les ressources du pare-feu sont utilisées de manière optimale pour inspecter uniquement les flux qui bénéficient d'une inspection de sécurité continue », a complété M. Bhalgat .

La directive NIS2 apporte plus de cybersécurité dans l'UE

Les premiers pas de la directive NIS2 ont été validés par l'Union européenne, mais il faudra patienter jusqu'en 2024 avant une transcription dans le droit de chaque Etat membre. La directive NIS 2 est sortie...

le 19/05/2022, par Dominique Filippone, 686 mots

Thales rachète S21sec et Excellium

Thales vient d'annoncer l'acquisition de deux sociétés spécialisées en cybersécurité : S21sec et Excellium auprès de Sonae Investment Management. La transaction est estimée à 120 millions d'euros. Coup double...

le 17/05/2022, par Jacques Cheminat, 365 mots

Intel dévoile le projet Amber pour l'informatique confidentielle

Lors du dernier événement Vision organisé la semaine passée au Texas, Intel a lancé une initiative de sécurité en tant que service dénommée Project Amber pour l'informatique confidentielle dans le cloud....

le 16/05/2022, par Shweta Sharma, CSO (adaptation Jean Elyan, 1126 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...