Des firewalls virtuels dopés aux DPU chez Palo Alto Networks

le 19/07/2021, par Serge LEBLAL, Sécurité, 510 mots

L'équipementier Palo Alto Networks commercialise une famille de pare-feu virtuels de nouvelle génération conçus spécifiquement pour être utilisés avec les DPU BlueField de Nvidia.

Des firewalls virtuels dopés aux DPU chez Palo Alto Networks

Annoncé fin 2019, le DPU BlueField-2 de Nvidia - issu du rachat de Mellanox - est conçu pour épauler les processeurs des serveurs en assurant le traitement des charges de travail réseau et sécurité. Palo Alto Networks indique que cela permet à ses pare-feu VM-Series, qui fonctionnent sur des serveurs standards, d'atteindre des débits "proches de 100 Gb/s" dans la plupart des cas d'utilisation, soit une amélioration d'un facteur 5 par rapport à l'exécution du même pare-feu sur un CPU seul. Rappelons que les Bluefield-2 reposent sur une architecture ARM Cortex-A72 (huit unités) et disposent des circuits d'accélération optimisés pour des tâches de sécuritéCette offre répond directement aux défis auxquels sont confrontés les entreprises et les opérateurs de réseau lorsqu'ils mettent en place des centres de données de type cloud, a déclaré dans un communiqué de presse Muninder Singh Sambi, SVP en charge des produits chez Palo Alto Networks.

L'utilisation des DPU et des SmartNIC pour accélérer les pare-feu n'a toutefois rien de nouveau chez des acteurs comme Intel, Nvidia ou Pliops. Les DPU et les SmartNIC sont utilisés dans les appareils de sécurité depuis des années, ce qui change, c'est que les DPU servent également sur des environnements virtuels plutôt que sur une simple appliance. Avec son projet Monterey, VMware est déjà bien engagé dans ce domaine en supportant les DPU d'Intel et Nvidia. En utilisant les Bluefiled-2, la série VM de Palo Alto Networks peut utiliser des serveurs de centres de données équipés de DPU pour s'adapter à des modèles de trafic variables.



Avec ses firewalls de la série VM, Palo Alto Networks propose une technologie extensible et pilotée par API avec les principaux fournisseurs SmartNIC et DPU. (Crédit Palo Alto Networks)

Mieux analyser les flux

La plate-forme fonctionne en déchargeant les processus de filtrage et de transfert des paquets vers l'unité de traitement des données, à partir de laquelle elle analyse, classe et oriente les flux de trafic en fonction de divers critères de politique. Cela libère les ressources du processeur pour les fonctions de sécurité, tout en permettant aux utilisateurs d'éliminer le trafic qui ne bénéficiera pas de l'inspection, à l'aide d'une fonction que Palo Alto Networks appelle le déchargement intelligent du trafic (ITO).

« Jusqu'à 80 % du trafic réseau, y compris les médias et les données cryptées dans un centre de données, n'ont pas besoin d'être - ou ne peuvent pas être - inspectés par un pare-feu », a écrit Ash Bhalgat, directeur principal du cloud chez Nvidia, dans un billet de blog. Si, par exemple, le pare-feu détecte du trafic média chiffré ou en streaming, la plate-forme demande au DPU de transférer tous les paquets suivants vers leur destination, libérant ainsi des cycles de CPU pour un trafic plus prioritaire « Dans de tels environnements, le délestage intelligent du trafic garantira que les ressources du pare-feu sont utilisées de manière optimale pour inspecter uniquement les flux qui bénéficient d'une inspection de sécurité continue », a complété M. Bhalgat .

Sécurité et réseau SD-WAN avec le package Prisma SASE chez Palo Alto...

L'offre Prisma SASE de Palo Alto Networks associe l'offre principale Prisma Access de l'équipementier à sa technologie Prisma SD-WAN. L'équipementier Palo Alto Networks a regroupé ses technologies SD-WAN et de...

le 17/09/2021, par Michael Cooney, IDG NS, et Serge Leblal, 553 mots

Attaque massive contre le moteur Yandex

Yandex voit rouge depuis qu'un botnet a pris le moteur de recherche russe en grippe. Nommé Mēris, il a battu un record d'attaque DDoS avec 21,8 millions de requêtes envoyées par seconde. Le géant russe de...

le 10/09/2021, par Célia Séramour, 493 mots

Un Clusir Bretagne pour regrouper les professionnels de la...

Terre historique de la cybersécurité, la Bretagne n'avait curieusement pas encore de Clusir. C'est désormais chose faite. L'association regroupant les experts en sécurité de la région peut compter sur un...

le 08/09/2021, par Jacques Cheminat, 369 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...